La política de escritorio limpio y pantalla despejada encaja dentro de los controles del Anexo A que forman parte de la norma ISO 27001. Esta política es un elemento clave para la Seguridad de la Información, impresa o digital, en cualquier organización.
Muchos empleados gestionan información sensible, confidencial o privilegiada. Y son conscientes de que lo hacen. Por eso toman precauciones e implementan los respectivos controles propuestos por el estándar ISO 27001. Pero siempre existen momentos en los que la cotidianidad y la familiaridad llevan a olvidar de forma momentánea las preocupaciones.
Una visita repentina al baño, la llamada urgente de un superior o la necesidad de atender con cierta privacidad una llamada de orden familiar llevan al empleado a abandonar su puesto de trabajo con la libreta de notas abierta, con números telefónicos estratégicos para la organización, y con los resultados financieros de un proyecto confidencial.
Es un escenario común y seguramente familiar para el lector de este texto. Es, sin más preámbulos, un riesgo de alta probabilidad y de alto impacto para la Seguridad de la Información. Un riesgo que justifica la existencia de una política de escritorio limpio y pantalla despejada.
¿Qué es una política de escritorio limpio y pantalla despejada?
La política de escritorio limpio y pantalla despejada reúne un conjunto de instrucciones y protocolos, de obligatoria aceptación, creados para evitar que la información sensible, en papel o en medio digital o virtual, esté expuesta a observadores no autorizados, aun durante breves periodos de tiempo.
La política de escritorio limpio y pantalla despejada se ocupa también de la posibilidad de que un transeúnte ocasional o un empleado no autorizado tenga la posibilidad de conocer datos o informes confidenciales, aun cuando el empleado titular esté en su puesto de trabajo.
¿Por qué es importante la política de escritorio limpio y pantalla despejada?
La política es importante porque aporta a las instrucciones la obligatoriedad, el carácter normativo y el tono de la Alta Dirección a las acciones que, de otra forma, no serían tomadas tan en serio, no serían sistemáticas y no formarían parte de evaluaciones sobre cumplimiento del estándar, como auditorías o inspecciones.
La política de escritorio limpio y pantalla despejada permite, a su vez, estandarizar comportamientos que facilitan el tratamiento de activos, y la información que implican, con seguridad. Al estar en una política, todos los empleados los adoptarán de forma uniforme.
¿Qué incluir en una política de escritorio limpio y pantalla despejada?
Escritorio limpio y pantalla despejada es un Control del Anexo A de ISO 27001: el Control A.7.7. El control indica que los activos de información que no estén en uso deben permanecer bajo llave. Igualmente solicita que se instale, en terminales, ordenadores u otros dispositivos informáticos, protectores de pantalla que entren en uso ante periodos muy cortos de inacción.
Contraseñas para el uso de copiadoras, escáneres, impresoras, y destrucción de copias imperfectas o sobrantes, son otras acciones solicitadas por el control. Pero no todas las solicitudes son para los medios digitales o virtuales.
En el escritorio, libretas de notas, post-its, o cualquier documento confidencial necesita ser almacenado bajo llave.
¿Qué se requiere para implementar una política de escritorio limpio y pantalla despejada?
La política incluye una serie de acciones y procedimientos que garantizan la seguridad de la información y de los activos que la contienen o la tratan. Estos procedimientos pueden hacer relación a un recurso adicional o externo. Los controles y las herramientas necesarias para implementarlos se consideran para la creación de la política. Entre ellos se destacan:
1. Escritorios, archivadores o espacios con cerradura
La accesibilidad y la facilidad de uso es una característica indispensable para este tipo de recurso. El empleado necesita contar con estructuras o espacios adecuados para guardar con seguridad elementos digitales, como unidades USB, discos externos, teléfonos y tabletas, pero también documentos en papel, libretas de notas u otro tipo de posibles depositarios de información confidencial.
2. Ubicación de ordenadores y escritorios
La posibilidad de visualización fortuita o involuntaria es también una circunstancia para evaluar al crear la política de escritorio limpio y pantalla despejada. Es importante tener en cuenta que un empleado absorto en sus tareas no percibirá las miradas sobre su hombro, sean estas intencionales o no.
Son dos los aspectos para tener en cuenta: la ubicación del ordenador y el uso de protectores de pantalla, con contraseña, que se activen ante intervalos muy cortos de tiempo sin que el empleado desarrolle alguna acción.
3. Seguridad para el uso de máquinas de impresión o duplicación
Todos los dispositivos capaces de reproducir, copiar o multiplicar imágenes, documentos o sonidos, requieren control. El número de documentos que se olvidan en una impresora o un escáner, o las copias defectuosas o sobrantes que son arrojadas al cesto de la basura, en condiciones de perfecta legibilidad, han sido fuente de divulgación de información sensible desde que este tipo de dispositivos existen.
Es preciso normalizar el uso de estos aparatos e implementar contraseñas para su uso, que permitan establecer trazabilidad para la identificación de posibles puntos de fuga de información.
Conoce el significado de la política de #EscritorioLimpio y pantalla despejada, y aprende a implementarla dentro de un Sistema de Gestión #ISO27001 #SeguridadInformación Share on X4. Cultura de Cero Papel
La confidencialidad y la integridad de la información es un riesgo en el mundo digital, pero también en el de los documentos en papel. Sin embargo, las funcionalidades que entregan los dispositivos electrónicos, la popularización de su uso y la facilidad para transmitir y recibir, hacen que este sea el escenario que concentre la mayor cantidad de controles, y para el que es más fácil hacerlo.
Crear controles efectivos para la información en papel es cada vez más difícil. Y lo es, entre otras razones, por la dificultad para monitorear el desempeño y establecer la trazabilidad de las acciones. Fomentar una cultura de Cero Papel es una medida que facilita el logro de objetivos que persigue la política de escritorio limpio y pantalla despejada.
5. Información etérea
Existe un rango de información que parece no tener mayor relevancia, pero que puede transmitir datos sensibles o confidenciales. Se trata de las notas que se toman en una reunión, o la información que queda escrita en una pizarra. Este tipo de información también debe considerarse en la política de escritorio limpio.
6. Comunicación, capacitación y monitoreo
Finalmente, la política necesita incorporar mecanismos apropiados para comunicar a los empleados, capacitar a los que lo requieran y realizar seguimiento a la implementación y a los resultados obtenidos.
La Transformación Digital entrega a las organizaciones soluciones avanzadas para digitalizar y automatizar Sistemas de Gestión ISO 27001. Las organizaciones que siguen esta senda encuentran mejores oportunidades para obtener una acogida efusiva para su política de escritorio limpio y pantalla despejada. La formación es el otro elemento esencial.
Diplomado de Seguridad de la Información ISO/IEC 27001
Entre los temas de gran relevancia que conforman los contenidos del Diplomado de Seguridad de la Información ISO/IEC 27001 está el de los Controles del Anexo A. Así como otros conceptos clave como la política de escritorio limpio y pantalla despejada.
El Diplomado ha sido actualizado a la edición 2022 de la norma. Los alumnos, además de adquirir el conocimiento y las competencias necesarias para implementar un Sistema de Gestión basado en la norma ISO 27001, obtienen acreditación como auditores certificados. Incluso pueden expandir su radio de acción laboral si optan por aplicar al Certificado ERCA, que los habilita para trabajar en Europa y América Latina. Ensancha tu mundo laboral: todo empieza aquí.