BRECHA DE SEGURIDAD:
Nos referimos a brecha de seguridad cuando se produce un acceso, manipulación, borrado o comunicación no autorizada en relación a la información de nuestra empresa o entidad, a sus instalaciones físicas (oficinas, fábricas, tiendas, etc.) o a sus sistemas informáticos.
Por lo que las brechas de seguridad pueden estar ocasionadas por ciberataques o también por errores humanos, tanto si son intencionados como si no.
A su vez cuando una brecha de seguridad afecta especialmente a datos de carácter personal hablamos de brecha de datos o violación de privacidad y puede ser tanto por medios digitales, como por medios físicos (por ejemplo, compartir con un tercero no autorizado determinada documentación en papel sobre una persona física).
¿Qué brechas de seguridad no podemos evitar?
Las brechas de seguridad ocasionadas por una persona ajena a la empresa o entidad, es decir, los ciberataques.
¿Qué brechas de seguridad podemos evitar?
- Acceso no autorizado a las instalaciones o determinadas zonas restringidas: Cuando recibamos visitas presenciales (proveedores, clientes, auditores, colaboradores, etc.), es muy importante que las mismas estén acompañadas en todo momento. De igual forma y aún siendo personal de la empresa o entidad, es importante no acceder a determinadas zonas consideradas privadas o restringidas sin autorización previa del responsable de esa área o departamento (por ejemplo, los despachos de dirección en empresas o de altos cargos en entidades públicas).
- Uso no autorizado de sistemas o de la información: Cada profesional ha de saber qué información debe y puede tratar y cual no, por ser necesaria para el ejercicio de sus funciones laborales. El hecho de tener acceso a tecnologías o a información que trascienda al área de actividad o departamento, puede ocasionar graves brechas de seguridad. Por lo que, ante la duda de si estamos o no autorizados a acceder y hacer uso de determinadas aplicaciones y documentos, es preferible preguntar internamente a nuestro responsable directo y al Dpto. de IT.
- Copias no autorizadas de documentos digitales y físicos: Debemos poner especial cuidado a la hora de realizar copias y/o extraer documentos digitales y físicos. Especialmente si el contenido de los mismos puede ser considerado confidencial o de carácter personal. Por lo que, antes de transferir documentos de un dispositivo a otro, o incluso de guardarlos en un USB, es preferible asegurarse de si estamos autorizados a realizar este tipo de copias, de nuevo preguntando preferiblemente a nuestro responsable directo y al Dpto. de IT.
- Reciclaje inadecuado: Los documentos en papel que contengan información confidencial o datos de carácter personal, no deberían ser reutilizados por motivos medioambientales a modo de «papel en sucio» o para tomar notas. En este caso priman la seguridad y privacidad, sobre la cultura del reciclaje, por motivos obvios. De hecho, no es suficiente con tirarlos a la basura, es necesario que sean destruidos ya sea mediante el uso de una destructora de papel o rompiéndolos en mil pedazos. De no hacerlo, esta acción podría provocar una importante brecha de seguridad y de datos, a la que en nuestro día a día no le damos la suficiente importancia.
- Comunicación verbal de información confidencial o privada: El ejercicio de nuestras funciones laborales forma parte de nuestra vida cotidiana, por lo que estamos dados a hablar de ello incluso en el ámbito social o privado. Ahora bien, hay que ser consciente de lo que podemos compartir, por referirse exclusivamente a nuestro desempeño profesional y de carrera, y lo que deberíamos reservarnos, por tratarse de información confidencial de la empresa o entidad. Esta recomendación ha de aplicarse incluso entre áreas y departamentos, con respecto a aquella información que no tienen por qué conocer nuestros compañeros. Las áreas con información más crítica sobre los sistemas o los datos de la empresa o entidad son: Dirección, Financiero, RRHH, Legal e IT.
NOTA IMPORTANTE: Si tenemos la sospecha de haber ocasionado nosotros o un tercero una brecha de seguridad, tenemos la obligación legal derivada de nuestra responsabilidad como usuarios de las tecnologías y de la información, de alertar de ello en el ámbito profesional al Dpto. IT, al Responsable de Seguridad (CISO), al Delegado de Protección de Datos (DPO) y al superior directo, para que puedan aconsejarnos y ayudarnos lo antes posible. Y si nos afectase a nivel personal denunciarlo también a las autoridades policiales.
*Fecha de envío: 11 de febrero de 2025