Seguridad de la información, también es seguridad de la documentación

Las nuevas tecnologías se han convertido en el principal sistema de información de las organizaciones, mientras que la información en soporte papel ha ido perdiendo protagonismo. Por este motivo en lo que respecta al papel, la cultura de la seguridad de la información a menudo queda en segunda plano.

Actualmente muchas empresas tienden a implantar una política conocida como sin papel «paperless». Sin embargo aún es frecuente encontrar organizaciones que disponen de información en soporte papel que pueda ser considerada sensible o confidencial.

Nóminas, escrituras, datos médicos de trabajadores, fichas de clientes, extractos bancarios, documentación oficial, planes estratégicos o incluso presentaciones corporativas de todo tipo, son tan solo unos pocos ejemplos de la información en papel que podemos encontrar en una empresa. Además, también tenemos que tener en cuenta toda la información que pueda estar afectada por la Ley Orgánica de Protección de Datos (LOPD).

Suele ser costumbre que en nuestras organizaciones, la seguridad de la información sea una tarea que recaiga en el departamento de informática, y por tanto que las medidas de seguridad se centren únicamente en aspectos tecnológicos (sistemas de autenticación, copias de seguridad, securización de la red, etc.). Sin embargo, en lo que se refiere a la implantación de medidas de seguridad relacionadas con el papel, estas quedan relegadas al olvido.

La Información confidencial es información a proteger, independientemente del soporte en el que se encuentre; ya sea automatizado o no automatizado, su divulgación supone un impacto para cualquier organización. Por este motivo, debemos aplicar medidas de seguridad para minimizar los riesgos a los está expuesta la documentación en papel.

Para limitar el riesgo de acceso no autorizado a la documentación en papel, debemos identificar en primer lugar las ubicaciones que contengan información confidencial para poder definir un inventario. Éste debe indicar la clasificación de la información, la ubicación de los archivos, el criterio de archivo, el periodo de retención que puede ser requerido legalmente y el personal que tenga acceso autorizado. En cuanto a la retención debemos tener presente que los datos de carácter personal deben ser destruidos cuando hayan dejado de ser necesarios para la finalidad con la que fueron recabados, siempre que no haya una obligación jurídica para conservarlos.

Además de habilitar las medidas de seguridad oportunas para proteger la información en papel, debemos definir una normativa clara en la organización y fomentarla entre nuestros empleados.

Para impedir el acceso no autorizado a la documentación confidencial, debemos almacenarla en sitios que dispongan de mecanismos de cierre, como armarios o cajoneras bajo llave, y cerrar los despachos o salas donde se encuentre la documentación. En función del volumen de información en soporte papel en nuestra organización puede ser conveniente habilitar una sala como archivo documental.

Del mismo modo que el acceso de usuarios a aplicaciones críticas debe quedar registrado, los archivos físicos que contengan documentación especialmente confidencial deben disponer de un registro de acceso que permita identificar quién y cuándo ha accedido al archivo físico. Para esto es necesario habilitar medidas de acceso que permitan identificar a la persona que accede, como puede ser sistemas de videovigilancia, sistemas de acceso biométrico o dispositivos de acceso personales.

A menudo podemos encontrar información confidencial sobre las mesas de los empleados una vez terminada la jornada laboral; esta situación supone un riesgo de acceso no autorizado. Definir y fomentar una política de mesas limpias que requiera a los usuarios no dejar documentación sobre sus mesas al final de la jornada laboral y almacenarla en lugares habilitados a tal efecto, puede evitar que se den este tipo de situaciones.

El almacenamiento de documentación también puede estar externalizado en un proveedor dedicado a la custodia documental. En el caso de que contratemos estos servicios, debemos establecer un acuerdo de confidencialidad y verificar que el proveedor cumple ciertos requerimientos de seguridad.

También es común desechar documentación en contenedores públicos sin un proceso previo de destrucción, exponiendo nuestra información a cualquiera que pase por la calle. Es conveniente que pongamos a disposición de nuestros empleados mecanismos de destrucción de información, ya sea mediante la adquisición de destructoras de papel o mediante la contratación de servicios de destrucción. Cuando contratemos estos servicios, el proveedor deberá proporcionarnos certificados de destrucción.

Otro de los puntos a tener en cuenta, es el uso de impresoras compartidas por varios usuarios comunes. Es conveniente requerir el uso de contraseña o PIN en la propia impresora para lanzar las impresiones in situ. De esta forma controlaremos la documentación impresa que permanece en las bandejas de impresión, puesto que a menudo se suele abandonar en ellas información sensible. Además, debemos de establecer un proceso de eliminación de la información almacenada temporalmente en las impresoras, ya que muchas impresoras almacenan los documentos que han sido impresos por lo que todo aquel que tenga acceso al panel de configuración podría volver a imprimir información confidencial de otro usuario.

Para preservar la información existente en papel, también podemos hacer uso de servicios de digitalización, que nos permitirá mantener una copia digital de toda nuestra documentación. Sin embargo, debemos recordar que los proveedores que proporcionan este tipo de servicios, son considerados «encargados de tratamiento». Por tanto, siempre y cuando la documentación facilitada incluya datos afectados por la LOPD, deberá suscribirse contractualmente los requisitos establecidos en el artículo 12 de la LOPD.

Cabe mencionar que el Reglamento de Desarrollo de la LOPD, el RDLOPD, establece una serie de medidas técnicas que toda organización debe de cumplir para salvaguardar la información en soporte papel que contenga datos de carácter personal. Estas medidas contemplan la definición de criterios de archivo, la existencia de armarios, archivadores u otros elementos para almacenar de modo seguro la documentación, la regulación de la custodia de la documentación, la gestión de la copia o la reproducción de la documentación entre otras.

Tal y como hemos podido comprobar, existen muchas medidas de seguridad para proteger nuestra documentación confidencial en soporte físico, que tiene su equivalencia en el ámbito digital.

De este modo, el control de acceso a la documentación almacenada en un archivo en papel bajo llave, tiene su equivalencia con los sistemas de autenticación de cualquier aplicación o sistema operativo. La destrucción segura de documentación en papel es el símil directo al borrado seguro de soportes digitales de almacenamiento. La firma manuscrita con la que garantizar la autenticidad de la persona que suscribe un documento ha dado paso a la firma digital.

Esta serie de medidas pueden reducir significativamente los riesgos existentes, por eso es importante que tomemos conciencia de que el valor de la información es independiente del soporte en el que se encuentre. Al fin y al cabo, aunque el papel parezca cosa del pasado, la mayoría seguimos haciendo uso de él, y no podremos hablar de seguridad de la información si no lo tenemos en cuenta.