Hace unas semanas, al entrevistar a un usuario durante la realización de una auditoría, le preguntamos si poseía portátil corporativo y lo llevaba a casa consigo. Efectivamente, como suele suceder en cargos de cierta importancia, nos confirmó que así era, pero que además, él mismo realizaba las copias con una grabadora de DVD de su casa y que dichos soportes los guardaba en su domicilio. Como anécdota, al darse sólo parcialmente cuenta del problema, se apresuró a decirnos que por supuesto, su mujer y él eran una misma unidad.
Entrar en el tema del portátil no es la intención de esta entrada, ya que podríamos empezar y no parar; se puede escribir un libro con las no conformidades y problemas a los que puede dar lugar, así que lo dejaremos para otro día. En su lugar, y de manera breve ya que muchos de ustedes estarán ya pensando (como mínimo) en el puente (para algunos) que viene, quería hablar de esas copias en DVD que esta persona almacena en su casa probablemente con la mejor voluntad del mundo estrictamente desde el punto de vista del RMS. Y digo esto porque a fin de cuentas, almacenar copias de información corporativa en casa de uno puede ser una actividad poco recomendable en unos casos (la mayoría) y justificada en otros, pero me aventuro a afirmar que por lo general no supone una infracción de ninguna reglamentación legal. Almacenar datos de carácter personal de los que la empresa es responsable, en la propia vivienda, eso sí lo es.
Y lo cierto es que es más habitual de lo que parece que un directivo, director de departamento o persona de cierta responsabilidad de la empresa decida hacer y sobre todo almacenar las copias en su propia casa, mediante un disco duro portátil, CDs, DVDs, llaves USB o, peor aún si cabe, en su propio equipo personal, al que pueden tener acceso terceras personas o que puede estar conectado a una línea ADSL privada de dudosa seguridad. Esto puede ser debido a una mala política de copias de seguridad por parte de TI, a una falta de confianza justificada o injustificada en el personal técnico, a un exceso de celo sobre los incorrectamente considerados datos propios, o a cualquier otra razón; en cualquier caso, insisto, desde el punto de vista del RMS, ninguna de estas causas es una razón justificadora, aunque muchas veces sea comprensible. Como comprenderán, en el caso particular que les mencionaba al principio, analizar los artículos que inciden en el registro de entrada/salida de soportes, o la necesidad de que la salida de éstos fuera de los locales en los que esté ubicado el fichero deba ser autorizada por el responsable del fichero, resulta un poco kafkiano desde el momento en el que tales soportes no salen, sino que se crean directamente fuera de las ubicaciones inventariadas, pero imagino que adivinan por dónde voy.
Es decir, si no quiere usted tener que inventariar su comedor o despacho en el Documento de Seguridad como zona de acceso restringido, no quiere tener que llevar un registro de entrada a su casa (sus amigos van a mirarle muy raro), o no quiere llevar a los auditores a su casa imagine la cara de su pareja y sus hijos para que examinen las medidas de seguridad, no guarde copias de seguridad en su casa. Si no desea que su casa se convierta en una prolongación de su empresa, repito, no guarde copias de seguridad con datos de carácter personal en su casa. Su pareja se lo agradecerá Manolo, ¿es necesario que la puerta del comedor sea acorazada y haya cámaras de seguridad en el recibidor?, sus hijos se lo agradecerán Daniel, ¿has vuelto a perder tu tarjeta identificativa? ¿Y esta chica que va contigo, ha firmado en el registro de entrada?, y en caso de sufrir una inspección de la AEPD, su empresa se lo agradecerá.
Háganos caso, y pase un buen y largo fin de semana.