Si el Pen Drive hablara...

Si el PEN DRIVE hablara o pudiese hablar, qué deberíamos hacer?


 


Lo primero de todo, pensar qué contiene. El caso Gürtel ha puesto en boca de toda la importancia de un PEN DRIVE dado que en este caso, el pequeño dispositivo ha supuesto una “bomba” para el Partido Popular. Y todo por ese pequeño dispositivo que tenía el contable en el momento del registro y que no logró ocultar con éxito.


 


Si bien es cierto que desde el punto de vista de tener información confidencial que no quieres que se encuentre la medida es acertada no lo es el que el Pen Drive no estuviese encriptado.


 


Además, pueden rastrearse los usos de estos dispositivos.


 


No sabemos la cantidad de Pen Drive que se PIERDEN…... En Uneon hemos recibido varias llamadas en este sentido.


 


Veamos algunas recomendaciones:


 


El Pen Drive debe tener en nuestra opinión el mínimo de información posible, el imprescindible. Es mejor tener una conexión VPN directa con los servidores de la empresa y con protocolos seguros que basarse en Pen Drive.


 


A ser posible no tener en el Pen Drive información muy sensible: datos contables, Bases de Datos, o documentos que su pérdida supone un problema.


 


El Pen Drive tiene que estar identificado con una pequeña etiqueta que identifique la dirección de la empresa y si puede ser con una nota de “se recompensará la devolución”. No es lo mismo el criterio del ciudadano de “a pie” cuando vé que se recompensa la devolución, puede ser un incentivo.


 


El Pen Drive tiene que estar en lugares que no dañen la información: calor, frío etc.., no deja de ser un dispositivo electrónico.


 


El Pen Drive tiene que contar con un dispositivo de apertura del mismo y encriptación de la información, por lo que si un tercero lo encuentra NO podrá consultar el contenido si el software de encripación es robusto y si tiene suficientes caracteres alfanuméricos y con signos.


 


La policía según el Pen Drive y su encripación puede tardar hasta dos años en descifrarlo y no siempre lo logran.


 


Sólo debe usarse el Pen Drive propio, existen sistemas por los que el Pen Drive de un tercero dispone de dispositivos ocultos (incluso desconocidos por el propietario) por los que se obtiene información del sistema.



 


 


Es recomendable que el propio Pen Drive tenga un dispositivo de Antivirus, antes de obtener información, para que así se asegure que previamente se controla la información que almacena. 


 


Desde el punto de vista de la normativa en protección de datos recordemos que el artículo 9 de la LOPD dispone:


El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.


Desde el punto de vista de la organización:


 


               No habilitar la salida de puertos USB para Pen Drive u otros dispositivos si no es necesario.


 


Controlar la entrega de estos dispositivos y registro de los mismos en el Documento de Seguridad.


 


Facilitar el documento de confidencialidad y medidas de seguridad por el que se establecen políticas de uso a los que acceden a información.


 


 


Si se pierde el dispositivo y no se han adoptado las medidas de seguridad señaladas podría incurrirse en supuestos de INFRACCIÓN CON SANCIONES que ya todos conocemos. El usuario sería el responsable frente a la empresa (reforzado si ha firmado un documento como el previsto y se le ha formado en este aspecto), pero es la empresa que debe responder. Recordemos que sólo se responderá respecto a la existencia de Datos Personales pero a veces, los datos personales son lo de menos en una organización respecto a las nóminas, datos fiscales, presupuestos etc…


 


En definitiva, mejor que el Pen Drive no pueda hablar.