Seguridad “de la otra”

Creo que a estas alturas no hace falta recalcar por enésima vez la importancia de la seguridad “ciber”. O sí, porque los ataques no cesan, y por desgracia aún son muchas las entidades del sector público que descuidan aspectos como el cumplimiento del Esquema Nacional de Seguridad (ENS), la normativa sobre protección de datos o la propia estrategia de ciberseguridad. Pero el tema, en cuanto a su tratamiento doctrinal, está muy manido. Por tanto hoy no hablaremos de esta cuestión.

Lo cierto es que aún estamos en un periodo transitorio. La digitalización de las Administraciones Públicas no es total, en primer lugar porque evidentemente no todas han alcanzado el último nivel, el de implantación total, y en segundo, mucho más preocupante, porque unas pocas ni siquiera han empezado o bien se encuentran en una fase muy inicial. Sea como fuere, no existe la interoperabilidad y sí existen todavía miles de millones de “papeles” que contienen información confidencial al alcance de cualquier granuja del mundo físico. Además de lo anterior, la actividad administrativa se desarrolla en el mundo real, donde no solo cada papel, sino cada conversación, cada actuación, debe realizarse procurando la seguridad.

Poco conocidas son las “medidas no electrónicas” del ENS. Imaginen un Ayuntamiento. El viernes a las 15 horas se queda poco menos que desierto, y aunque existen cuerpos de funcionarios con horarios especiales (como la policía local), es un hecho que miles de dependencias y oficinas quedan desprotegidas hasta la reapertura del lunes a primera hora. Lo hemos visto también durante el pasado mes de agosto. Dichas dependencias administrativas albergan miles de datos sujetos a diversos niveles de protección, y el mero hecho, nada infrecuente, de que el último empleado en salir no cierre la puerta con llave (o bien se asegure de que otro lo haga de forma inmediata), compromete dicha información. Obviamente también se producen otro tipo de ilícitos, como el robo de material informático, que por cierto contiene millones de datos al alcance de quien supere la simple barrera del password, cuando terceras personas pueden acceder a las oficinas. Pero robar información directamente de los papeles que se dejan encima de las mesas es algo que también podrían hacer perfectamente en esa misma intrusión. Incluso pueden hacerlo, no ya un domingo, sino un martes a las 10 horas mientras todos los empleados de una determinada dependencia han salido a tomar café al mismo tiempo.

Por eso la mejor solución a este problema es el desarrollo de una mayor cultura de la seguridad y de la protección de los datos confidenciales (no ya solo personales). Aquí la formación es muy importante. Y también el sentido común, porque aplicándolo se deduce fácilmente que si en una dependencia hay seis empleados, deberían ir a tomar café en turnos consecutivos de tres y tres. Tampoco estaría nada mal utilizar con mayor frecuencia la destructora de papel, sobre todo una vez aprobada la política de expurgo de documentos. Incluso tras la digitalización. Almacenamos demasiados papeles. El archivo administrativo debe ser únicamente electrónico. Por poner otro ejemplo, y podríamos poner cientos, obviamente la atención al público debe realizarse en un tono discreto, no dando pie a que el usuario de la mesa de al lado se entere, por ejemplo, de que su vecino tiene un nivel de renta mínimo o quizá, y no es un ejemplo exagerado, una enfermedad de transmisión sexual. Y es que en la Administración manejamos información de ese tipo.

Por último, conceptos que ya nos resultan familiares, como análisis de riesgos, cortafuegos, protección de datos de carácter personal, disociación, seudonimización, anonimización, son tareas o herramientas que deberíamos aplicar tanto en el tratamiento informatizado de los datos como en la gestión de los mismos en el mundo físico.