BRETXA DE SEGURETAT:
Ens referim a bretxa de seguretat quan es produeix un accés, manipulació, esborrament o comunicació no autoritzada en relació a la informació de la nostra empresa o entitat, a les instal·lacions físiques (oficines, fàbriques, botigues, etc.) o als seus sistemes informàtics.
Per això les bretxes de seguretat poden estar ocasionades per ciberatacs o també per errors humans, tant si són intencionats com si no.
Alhora quan una bretxa de seguretat afecta especialment dades de caràcter personal parlem de bretxa de dades o violació de privadesa i pot ser tant per mitjans digitals, com per mitjans físics (per exemple, compartir amb un tercer no autoritzat determinada documentació en paper sobre una persona física).
Quines bretxes de seguretat no podem evitar?
Les bretxes de seguretat ocasionades per una persona aliena a l’empresa o entitat, és a dir, els ciberatacs.
Quines bretxes de seguretat podem evitar?
- Accés no autoritzat a les instal·lacions o determinades zones restringides: Quan rebem visites presencials (proveïdors, clients, auditors, col·laboradors, etc.), és molt important que aquestes estiguin acompanyades en tot moment. De la mateixa manera i tot i ser personal de l’empresa o entitat, és important no accedir a determinades zones considerades privades o restringides sense autorització prèvia del responsable d’aquesta àrea o departament (per exemple, els despatxos de direcció en empreses o d’alts càrrecs en entitats públiques).
- Ús no autoritzat de sistemes o de la informació: Cada professional ha de saber quina informació deu i pot tractar i quina no, perquè és necessària per a l’exercici de les seves funcions laborals. El fet de tenir accés a tecnologies oa informació que transcendeixi l’àrea d’activitat o departament pot ocasionar greus bretxes de seguretat. Per això, davant del dubte de si estem o no autoritzats a accedir i fer ús de determinades aplicacions i documents, és preferible preguntar internament al nostre responsable directe i al Dept. d’IT.
- Còpies no autoritzades de documents digitals i físics: Hem de tenir especial cura a l’hora de fer còpies i/o extreure documents digitals i físics. Especialment si el contingut dels mateixos pot ser considerat confidencial o de caràcter personal. Per això, abans de transferir documents d’un dispositiu a un altre, o fins i tot de guardar-los en un USB, és preferible assegurar-se si estem autoritzats a realitzar aquest tipus de còpies, de nou preguntant preferiblement al nostre responsable directe i al Dept. d’IT.
- Reciclatge inadequat: Els documents en paper que continguin informació confidencial o dades de caràcter personal, no haurien de ser reutilitzats per motius mediambientals a manera de “paper en brut” o per prendre notes. En aquest cas prevalen la seguretat i privadesa, sobre la cultura del reciclatge, per motius obvis. De fet, no n’hi ha prou amb llençar-los a les escombraries, cal que siguin destruïts ja sigui mitjançant l’ús d’una destructora de paper o trencant-los en mil trossos. Si no ho feu, aquesta acció podria provocar una important bretxa de seguretat i de dades, a la qual en el nostre dia a dia no li donem prou importància.
- Comunicació verbal d’informació confidencial o privada: L’exercici de les nostres funcions laborals forma part de la nostra vida quotidiana, per la qual cosa estem donats a parlar-ne fins i tot en l’àmbit social o privat. Ara bé, cal ser conscient del que podem compartir, per referir-se exclusivament al nostre exercici professional i de carrera, i allò que ens hauríem de reservar, per tractar-se d’informació confidencial de l’empresa o entitat. Aquesta recomanació ha d’aplicar-se fins i tot entre àrees i departaments, pel que fa a aquella informació que no han de conèixer els nostres companys. Les àrees amb informació més crítica sobre els sistemes o dades de l’empresa o entitat són: Direcció, Financer, RRHH, Legal i IT.
NOTA IMPORTANT: Si tenim la sospita d’haver ocasionat nosaltres o un tercer una bretxa de seguretat, tenim l’obligació legal derivada de la nostra responsabilitat com a usuaris de les tecnologies i de la informació, de alertar-ne en l’àmbit professional el Dept. IT, el Responsable de Seguretat (CISO), el Delegat de Protecció de Dades (DPO) i el superior directe , perquè ens puguin aconsellar i ajudar-nos al més aviat possible. I si ens afectés a nivell personal denunciar-ho també a les autoritats policials.
*Data d’enviament: 11 de febrer de 2025