Aprovechando que el tema del robo de información esta de moda, gracias a los últimos acontecimientos en la formula 1 entre dos famosas escuderías y ante la recurrencia del “temita” en las cenas veraniegas, sobre “cómo es posible que con tanto dinero en los boxes se pueda robar información (si a los gobiernos les roban planos de armas nucleares, el robo de un plano de un F1, esta chupado!)”. Vamos a tratar una pequeña introducción de cómo esta el tema de la gestión de la confidencialidad dentro de las empresas.
Bueno! Para comenzar, destacamos, que si existe una cosa cierta, es que las empresas no tienen, para nada claro lo que es la gestiona de información confidencial (datos, documentos, etc.) y que se escuchan y aplican políticas de confidencialidad mas cercas a leyendas urbanas (o de Internet), que a una realidad jurídica practica. Pero esto es España!, así que no debemos sorprendernos.
Muchas empresas parten de planteamientos de aplicación de la confidencialidad completamente errónea, ya que confunden la aplicación de la LOPD (en estos momentos de obligado cumplimiento) con un contrato de confidencialidad sobre todos los contenidos y documentos de la empresa (apreciación bastante grave!).
Así, cuando un nuevo empleado entra en una empresa, se le suele hacer firmar uno o dos documentos tipo (normalmente descargados de Internet sin leerlos) . Uno sobre la propia LOPD, si el empleado en cuestión va trabajar con información “sensible” listados de clientes, nominas, afiliaciones, etc y un segundo documento en el cual se autoriza a la propia empresa al tratamiento de los datos confidenciales del propio empleado (la nomina, afiliación sindical, etc.), también destacamos en al algunas caso las empresas ni siquiera se molestan en entregan las copias numeradas y conformadas de aceptación mutua (una copia para la empresa, una para el empleado y en caso de necesidad, una tercera para registrar en el organismo pertinente), incurriendo automáticamente en “mala fe” con los problemas que esto les supone en caso de la necesidad de realizar acciones jurídicas posteriores.
La verdad es que las empresas aplican estos documentos como las aspirinas “que una, vale, para todo” y también presuponen que estos conceptos se aplican a todo el ámbito documental de la empresa.
Bueno, pues esa no es la realidad, esos documentos sirven para lo que sirven y nada mas, son solo para la LOPD.
Para la gestión de la confidencialidad, las empresas deben a aplicar un concepto completamente distinto.
Se parte de definir un documento tipo, más cercano a la cesión de información y colaboración entre empresas con intercambio de tecnologías o conocimientos que al pobre planteamiento anterior.
Un ejemplo Aquí
como se puede apreciar, los acuerdos de confidencialidad que se suelen aplicar, poco tienen que ver con las consideraciones anteriores, ya que no se esta tratando información, sino tecnología y conocimientos y su gestión es completamente distinta.
Una vez descritos los ámbitos de aplicación, las empresas deben de proceder a una gestión correcta y responsable de sus conocimientos y esto se demuestra a través de la creación y aplicaron de protocolos de actuación sobre sus conocimientos, tecnologías y sobre los documentos que los van a contener.
Esto es.
Partiendo de lo más básico, el propio documento, consistiría en definir plantillas documentales tipo, en las cuales se indica el nivel de confidencialidad del contenido del mismo y su tratamiento.
Una vez definido el contenedor de la información, en este caso el documento, se deben definir todos los procesos asociados al mismo.
Muchas organizaciones aplican la políticas generales, definiendo por sistema todos y cada uno de los documentos generados por los Dep. Clave como confidenciales. Este es un planteamiento “cómodo” pero poco efectivo ya que los documentos iniciales, revisiones y correcciones posteriores deben de ser conservados en su totalidad, con lo que la cantidad de documentos a manejar es ingente y se pierde el control sobre los mismos con facilidad, debido a su rapido incremento.
Una segunda aproximación, y es esta la más correcta, parte del desarrollo real de un plan de gestión de seguridad documental, en el cual se definirán los siguientes puntos a cumplir:
-Generación de Plantillas tipo, asociadas a los distintos niveles de confidencialidad las cuales informaran del nivel del documento y su tratamiento.
-Tipo y estado de los documentos, indicando la categorización de los mismos y su estado actual en los procesos asociados.
-Políticas de nivel de acceso por parte del personal, departamentos, así como las acciones que los mismos pueden realizar sobre los procesos relacionados, (modificaciones, revisiones, revocaciones, etc).
-Zonas y protocolos de almacenamiento, unidades de red, almacenes de datos, etc, así como las políticas de seguridad asociadas (log de control de actividad, etc).
-Procesos de gestión y ordenación asignados, inclusión, exclusión de los distintos documentos, dentro de índices de procesos, documentales, etc.
- Procesos de copia de seguridad, integración dentro de los planes de copia de seguridad y salvaguarda, integridad referencial de los soportes a utilizar y de los datos a almacenar.
-Políticas de Acceso físico a los soportes, salvaguarda de los mismos y planes y procesos de contingencia y seguridad asociada a los mismos.
Ósea en pocas palabras, lo que muy pocas empresas utilizan o gestionan. Aunque existen excepciones, ya que todos estos procedimientos se aplican de manera rutinaria dentro las empresas de ámbito bancario o de determinadas corporaciones.
Y como final
Bye, Bye Sun, hola Java!
Un gigante cambia de nombre.