No son pocos los casos en que he escuchado de primera fuente, frases que dejan en evidencia lo precario de la seguridad de la información en las organizaciones, sean públicas o privadas.
En una oportunidad me dijeron “esa persona se jubiló hace seis meses y era el único que conocía cómo manejar esta máquina, por eso no sabemos cómo utilizarla y está ahí arrumbada”. En otra escuché “luego que renunció, vino por sus cosas y se llevó el disco duro del computador que usaba”. También cuando he consultado sobre gestión de activos de información, en varios casos se han sincerado reconociéndome que la persona dejó de trabajar con ellos hace días y no saben cuándo volverá a devolver el equipo que le habían asignado.
¿Les suena familiar?
Quisiera que no, pero me temo que es una realidad recurrente que he visto en muchos órganos públicos y empresas, independiente de su rubro y tamaño.
Si han escuchado –o dicho- algunas frases similares a las que mencioné, es muy probable que se pregunten qué problema hay en ello. Muchos, sobre todo cuando algunas de las respuestas se dan con un grado de indiferencia, de resignación y de “cándida ignorancia” (por usar un eufemismo para la incompetencia).
Lo que hay detrás de estos ejemplos es un peligroso problema de gestión documental y de seguridad de la información. En efecto, en esas organizaciones se pierde conocimiento valioso, no solo teórico sino sobre todo, empírico, cada vez que se va un trabajador; no se utilizan correctamente los activos; se confunde lo que le pertenece al trabajador y lo que es de la empresa; se producen fugas de información y pérdidas de activos físicos; y quedan expuestas a sanciones por infringir obligaciones de cuidado de los datos y los recursos, establecidas en leyes, reglamentos o contratos, por mencionar solo algunas consecuencias.
Afortunadamente esta mala gestión de activos de información puede corregirse sin grandes inversiones tecnológicas, sin gastar muchos recursos, en la medida que la organización –y me refiero a todas las personas que trabajan con los activos- vive su cultura de seguridad.
Con esa expresión –vivir la cultura de seguridad- voy un paso más allá que el solo tomar conciencia de lo importante que resulta cuidar la información. Efectivamente, luego de conocer qué es lo que amenaza nuestra información y cuáles son los riesgos asociados, la mayoría puede coincidir por sentido común, en lo útil e importante que es adoptar medidas de seguridad.
Sin embargo, ello no evita la contradicción humana entre lo que se piensa y lo que se realiza. “Sí, la seguridad es importante, es útil, es conveniente, pero…”. Y acá aparecen las excusas, las excepciones que se pueden volver recurrentes, tales como, “…pero eso es para los demás, que no son tan cuidadosos como yo”, “…pero solo por esta vez no voy a seguir el procedimiento establecido”, “…pero en esta situación hay una urgencia y no podemos demorarnos cumpliendo la formalidad del control”, “…pero no tenemos recursos para implementar medidas”, entre tantas otras.
Vivir la cultura de seguridad es acción, no solo pensamiento y declaración. Implica tomar decisiones, formalizarlas, cumplirlas y verificarlas.
Como expresión de lo que menciono, la norma ISO 27001 sobre Seguridad de la Información y, más concretamente, el dominio “Seguridad ligada a los recursos humanos”, del Código de Buenas Prácticas contenido en la ISO 27002, señalan la necesidad de proteger los intereses de la organización como parte del proceso de cambio o desvinculación del empleo.
En este sentido, cuando he realizado diagnósticos de seguridad y me ha correspondido implementar sistemas de gestión en esta materia, siempre recomiendo incluir procedimientos claros, formales y conocidos por la institución, respecto del cuidado de activos de información –documentos, equipos y personas-, especialmente cuando termina un vínculo laboral.
Obviamente, si queremos mejorar gestión no se trata de crear procedimientos burocráticos que inmovilizan, que aumentan papeleo o que se desconocen al interior de la organización. Cuando me refiero a establecer procedimientos internos me refiero a explicitar decisiones, a formalizarlas para reducir la incertidumbre sobre cómo cuidar la información.
De esta manera se despejan dudas sobre el momento y la forma en que se devuelven los equipos asignados –computadores, celulares, notebooks-, evitando que se lleven principalmente la información contenida en ellos.
Del mismo modo, se define de antemano la propiedad de la información, para que luego no haya duda respecto a la que pertenece a la empresa y que no puede llevarse un trabajador, especialmente si accede a bases de datos personales, por ejemplo, de la cartera de clientes.
También es útil contar con procedimientos para transferir conocimiento desde los trabajadores a la institución, de manera oportuna, al igual que para gestionar contingencias en caso de ausencia de personal.
Gracias a estos procedimientos internos, al respetarlos se disminuyen notoriamente los riesgos que mencioné, se optimiza la gestión y, no menos importante, se da transparencia a un proceso normal –más o menos traumático, pero normal a fin de cuentas- como es la desvinculación o término de una relación laboral. En algún momento se acaba ese matrimonio entre el usuario y sus activos de información.