La normativa interna de uso de recursos informáticos y de comunicaciones (I)

Noticias como ésta: http://www.iustel.com/v2/diario_del_derecho/noticia.asp?ref_iustel=1042217, nos dan una idea de lo importante que para una organización es establecer una normativa interna sobre el uso de los recursos informáticos y de comunicaciones, e implantar las medidas de índole técnico necesarias para velar por su cumplimiento por parte de los usuarios.

Estas situaciones son mucho más frecuentes de lo que podría parecer. Otro ejemplo de una situación muy similar fue la sanción de 150.000 Euros impuesta a un centro médico de Bilbao por dejar disponibles en la red 11.300 historias clínicas, algunas de ellas (un porcentaje bastante significativo) correspondientes a interrupciones de embarazo. En este caso, como en el anterior, los datos también quedaron a disposición del público a través de la utilización del programa eMule.

Estos dos casos tienen una especial relevancia desde el punto de vista de la protección de datos de carácter personal porque se divulgan datos muy sensibles (hay otros casos muy similares), pero se pueden citar otros muchos, que tienen que ver de forma directa con la protección de datos de carácter personal, y también otros en los que se deja a disposición de cualquier persona otro tipo de información confidencial de las empresas.

Todos estaremos de acuerdo en que la información constituye un activo estratégico de las organizaciones, ya que de ella depende en gran medida la propia continuidad del negocio, pero es que, además, la divulgación de información confidencial puede acarrear muy diversas consecuencias, algunas de ellas traducibles directamente a pérdidas económicas, y otras, aunque difícilmente cuantificables en este sentido, también con un indudable impacto económico (tales como: pérdida de ventajas competitivas – filtración de clientes, características de productos/servicios, ofertas,… – , pérdida de credibilidad o confianza, etc.), además de las posibles sanciones en el caso de que se vean involucrados datos de carácter personal (como en el citado caso del centro médico de Bilbao).

Por otra parte, la utilización inadecuada de los recursos informáticos y de comunicaciones por las personas que integran una organización puede, además, tener otros efectos igualmente dañinos con respecto a las otras dos vertientes que se consideran tradicionalmente en los proyectos de seguridad, es decir, tanto sobre la integridad de los datos como sobre la disponibilidad de la información.

Por ejemplo y referido a la integridad de los datos, todos sabemos que una utilización inapropiada del correo electrónico o la descarga de archivos desde sitios web no confiables son una de las vías más frecuentes de infección por virus y por otro tipo de software malicioso.

Mientras que en lo que se refiere a la disponibilidad de la información, prácticas como la descarga de archivos muy voluminosos (películas, etc.) o el envío masivo de correos electrónicos pueden comprometer el rendimiento de los sistemas e, incluso, llegar a su indisponibilidad por sobrecarga de los mismos.

Por todo ello, desde mi punto de vista, se hacen imprescindibles, tanto la sensibilización y formación a los usuarios sobre los riesgos que conlleva una utilización inadecuada de los recursos informáticos y de comunicaciones que la organización pone a su disposición, como el establecer una normativa clara sobre el uso de dichos recursos e implantar las medidas técnicas pertinentes para velar por su cumplimiento (monitorización de los sistemas, filtrado de páginas web accesibles y de los tipos de archivo que se reciben como anexos a los correos electrónicos, imposibilitar la modificación de la configuración de los sistemas y la introducción de elementos extraños, tanto hardware como software, etc.).

Esta normativa, además de considerar otra serie de aspectos (uso de los medios para fines no profesionales, etc.), deberá advertir también de las consecuencias que para el trabajador podría suponer su incumplimiento.

Dicho todo lo anterior y ya que este post lo he iniciado haciendo referencia a casos concretos relacionados con la protección de datos de carácter personal, me gustaría terminar con una breve reflexión sobre el valor añadido que puede aportar a las organizaciones el acometer un proyecto de adecuación a la LOPD (“preguntas del millón” que nos hacen los clientes. Pero, ¿esto para que sirve?. Lo tengo que hacer porque lo dice la Ley, ¿No?, ¿Vale con que parezca honrado o, además, debe serlo?).

Pues bien, en mi opinión, a parte de otros aspectos (implantar y sistematizar determinados procesos - identificación y autenticación, control de accesos, gestión de incidencias, inventariado de recursos, etc. - para la mejora en la gestión de los sistemas e infraestructuras), un proyecto de LOPD debería servir como base de un proyecto de seguridad de la información en sentido más amplio, es decir, tanto para la sensibilización y obtención del compromiso de los usuarios sobre la seguridad de TODA la información manejada por la organización, como para establecer "las reglas de juego" respecto a la utilización de los recursos y la implantación de las medidas tendentes a preservar dicha seguridad o, al menos, a mitigar los riesgos a los que la información se encuentra expuesta.