ISO 27001: Medidas de seguridad en las oficinas
ISO 27001
Te puedes imaginar la siguiente escena: un trabajador que se encuentra revisando su ordenador para preparar un informe sobre los resultados financieros del último trimestre. Recibe una llamada telefónica para que acuda a una reunión y deja su ordenador sin proteger.
Esta situación es muy habitual, más de lo que esperamos y puede suponer un enorme riesgo para la información, ya que si no se toman las medidas adecuadas, toda la información y los activos pueden acceder, ver o tomarse como una persona no autorizada. Si alguien se conectó al sistema de información, cualquiera que tenga acceso al escritorio puede llevar a cabo actividades en nombre del trabajador ausente.
Para estos casos, una empresa tiene que estar preparada para explicar a los trabajadores y otras personas que manipulan la información y los activos cómo procederán de oficio sobre la información que ha guardado en el espacio de trabajo. La norma ISO 27001, para la seguridad de la información y la norma ISO 27002, un código detallado de la práctica, puede proporcionar una buena orientación mediante el control de la seguridad.
La recepción clara y una política clara se refiere a las prácticas que se realizan para obtener cierta garantía para la información sensible, tanto en formato digital y físico, además de los activos que no deben quedarse sin protección en los espacios de trabajo personales y públicos cuando estén o no en uso, o cuando alguien sale de su puesto de trabajo, ya sea por un corto periodo de tiempo o al finalizar el día.
Según la información y los activos que nos encontramos en nuestra zona de trabajo están en uno de los lugares más vulnerables, la adopción de un escritorio y una política clara siendo una estrategia principal para utilizar cuando se quiere reducir el riesgo de los fallos de seguridad. La mayoría de las prácticas son de baja tecnología y fácilmente de implantar, como puede ser:
- Utilizar las áreas cerradas: cajones con freno, gabinetes de archivos, cajas fuertes y salas de archivos que deben estar disponibles para almacenar los medios de información o dispositivos fácilmente transportables cuando sea necesario, o cuando no hay nadie que se ocupe de ellos. Más allá de la protección contra el acceso no autorizado, gracias a esta medida se puede proteger la información y las actividades frente a los desastres naturales.
- Protección de los dispositivos y sistemas de información: los ordenadores y dispositivos se deben colocar de tal forma que se evite que la gente pase a tener la oportunidad de ver en sus pantallas y se puede configurar para utilizar protectores de pantalla que se activen cuando no estas usándola, además de establecer una contraseña para minimizar las posibilidades de que alguien se aprovecha del equipo desatendido. Además, los sistemas de información debe registrarse cuando no se encuentren en uso. Al final de día, los ordenadores deben ser apagados, especialmente los que están conectados a la red.
- Restricciones a la hora de utilizar la copia y la impresión de tecnología: la utilización de impresoras, fotocopiadoras, escáneres y cámaras, por ejemplo, se debe controlar, reducir su cantidad o utilizar funciones que faciliten que sólo personas autorizadas tengan acceso al material enviado por ellos. Y cualquier información envidada a impresoras debe recuperarse de tal forma que sea posible.
- Adoptar una cultura sin papel: los documentos no se deben imprimir de forma innecesaria, y las notas adhesivas con información importante no se deben dejar en los monitores o debajo de los teclados. Recuerde, incluso pequeñas piezas de información pueden ser suficientes para los malhechores para descubrir aspectos de su vida, o de los procesos de las empresas que le pueden ayudar a poner en peligro la información.
- Eliminar la información restante en las salas de reuniones: toda la información sobre pizarras blancas debe ser borrado y todos los papeles utilizados durante una reunión debe ser eliminado de forma adecuada.
Cómo implementar un escritorio y una política clara
Según la norma ISO 27001, es necesario contar con un escritorio limpio y una política teniendo en cuenta:
- El nivel de información, confidencial, que requieren un manejo seguro.
- Requisitos legales y contractuales que exigen la protección de la información.
- Riesgos organizacionales que han sido identificados.
- Aspectos culturales.
- Medidas que se deben adoptar para asegurar escritorios, dispositivos y medios de comunicación.
La empresa debe considerar de forma periódica la formación y la sensibilización de los eventos para comunicar a los trabajadores y otras personas que participan en los aspectos de la política de seguridad. Buenos ejemplos son los carteles, alertas de correo electrónico, boletines con noticias, etc.
Por último, no deben existir evaluaciones periódicas sobre el cumplimento de los trabajadores con las prácticas de las políticas.
No sea víctima de miradas indiscretas
No prestar atención en el espacio de trabajo puede llevar a que la información personal o de la organización se encuentre comprometida. Las contraseñas, datos financieros y correos electrónicos sensibles pueden ser revelados, lo que afecta la privacidad o una ventaja competitiva. Un documento perdido que contiene información sobre una fecha de vencimiento de contrato puede genera que se pierda una licitación y una disminución de los ingresos esperados en la organización.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.