Hablan en El blog Salmón sobre la seguridad de la información en las empresas. Hay un comentario bastante atinado de Gonzalo sobre las auditorías como herramientas de distracción respecto a los puntos realmente importantes de la seguridad.
Nosotros estamos trabajando en esto desde hace unos meses. El punto de partida fue un exceso de celo (en mi opinión) del Consejero Delegado, pero lo cierto es que su postura es comprensible y, realmente, los hechos le dieron la razón.
La seguridad no es solo evitar el mal uso de la información de modo "voluntario" (el empleado descontento que va a salir de la compañía, por ejemplo). Hay mucho más riesgo en errores involuntarios. Un ejemplo, enviar una factura de un cliente a otro. Todos sabemos que no todos los clientes tienen las mismas tarifas, esto vale para empresas industriales, de servicios o de cualquier sector (no quiero poner como ejemplo los tipos de interés de La Caixa a sus clientes preferentes). Bueno, pues confundir el envío de una factura puede provocar la pérdida de un cliente, que vea que sus precios son más elevados que los de otro de sus competidores.
Este es un ejemplo, otro puede ser un informe interno de gestión se envía por error por correo electrónico a un cliente, documentos que se quedan en la bandeja de la impresora, etc...
En mi anterior compañía, con un sólo par de impresoras por planta para toda "la pradera", era muy sencillo acercarte a la impresora y encontrar ofertas a clientes, seguimientos de proyectos, curricula de aspirantes o incluso evaluaciones de desempeño de compañeros. Bastante poco prudente.
a esta situación se une una ley bastante desafortunada (LOPD), cuya puesta en práctica puede considerarse imposible o inútil. Si dificultas demasiado el acceso a la información, penalizas la operativa, si no lo haces, no cumples los requerimientos detallados de la red.
Como casi siempre, con dinero (mucho) y tiempo, la tecnología lo soluciona todo. Como alternativa, utilizar un poquito de tecnología y bastante imaginación. Conseguir que los informes están en directorios adecuados de la red, con accesos controlados, en vez de enviarse por correo electrónico, susceptible de reenvíos ilimitados y no controlados. Enviar la documentación a los clientes en formato Pdf en vez de documentos Word o EXcel. Asignar contraseñas a los documentos para cada clientes y facilitarsela, de forma que si hay un error en el envío, el otro no podrá abrir el documento, etc. Aunque habrá que invertir en un sistema de impresión que implique introducir tu clave en el teclado de la impresora para obtener tus documentos, actualizar algunas herramientas para aprovechar las mejoras en seguridad, etc.
En fin, pequeñas dificultades para intentar evitar errores, porque creo que si de verdad alguién quiere "montarte un lío", es difícil evitarlo con garantías. El ejemplo que siempre se cuenta (seguramente, una leyenda urbana) es el de una persona de RRHH que, el día de su despido, envía a toda la compañía la lista de salarios de todos los empleados. El lío lo tienes garantizado....
Escribe un comentario