Recomendaciones
Tamaño de Partícula
TAMAÑO DE PARTÍCULA Y TRATAMIENTO CONFIDENCIAL, PIEZAS CLAVE EN LA DESTRUCCIÓN DOCUMENTAL
El fomento de la seguridad de la información, las políticas de seguridad y las exigentes normativas en cuanto a la destrucción de la información desechada cobran cada vez más importancia, concienciando así a las organizaciones a adoptar procesos que aseguren el cumplimiento total de normas e incluso, de su propia responsabilidad social corporativa.
La información manejada por una empresa es considerada como uno de sus activos fundamentales y en consecuencia debe ser protegida como tal, hasta el mismo instante de su destrucción. Esta información se puede encontrar en distintos soportes (papel, magnético, electrónico) y puede ser de diferente naturaleza: información estratégica (facturas, balances), información protegida por LOPD o por otras legislaciones (curriculum, expedientes médicos) e información pública (catálogos, guías).
Dichos activos son desechados a diario y son gestionados por servicios de limpieza de oficinas, por empresas de reciclaje de papel, en pequeñas destructoras, o bien se externaliza su destrucción. En todos los casos hay que definir protocolos de actuación auditables, de tal manera que garanticen la gestión confidencial y la irrecuperabilidad e irrecomponibilidad de los documentos.
Explicaremos una solución basada en el outsourcing de destrucción confidencial que descarga a las compañías de una tarea que no pertenece a su core business y que a la vez se debe contratar con unos niveles de servicio que por su singularidad, puede que al definirlos queden sin matizar aspectos que luego no garanticen normas esenciales como la LOPD o los propios manifiestos de responsabilidad social corporativa. Determinar por escrito el tamaño de partícula a la que finalmente quedarían destruidos los documentos y la gestión confidencial que se realizaría hasta que son destruidos, son piezas clave a la hora de modelar una externalización.
En líneas generales, un modelo de outsourcing que realmente apueste por la seguridad de la información que se desecha, debe cumplir 4 premisas fundamentales:
1. Custodiar de forma confidencial y en origen la información que un empleado acaba de desechar, mediante contenedores cerrados dotados de medidas que realmente eviten los accesos no controlados de terceros.
2. Transportar de forma confidencial en vehículos cerrados y controlados via gps hacia plantas igualmente cerradas y con medidas perimetrales que aseguren la inviolabilidad de los activos documentales.
3. Destruir los documentos de forma irrecuperable e irrecomponible. Eso implica triturarlos en partículas asimétricas a un tamaño de diámetro determinado y exigir un certificado de destrucción que indique expresamente
4. Auditabilidad de los 3 procesos anteriores, tal que se verifique el cumplimiento de normas como la Ley Orgánica de Protección de Datos (LOPD), Ley de Residuos, Ley RAEE y Medioambiente, así como del cumplimiento de los Planes de Seguridad y de contingencia que las organizaciones deben detallar para cualquier tipo de información (electrónica, magnética o en soporte papel).
Sin embargo, a pesar de las recomendaciones ocurre que es habitual encontrarse con 3 errores esenciales nacidos en la propia concepción que algunas organizaciones han ideado para dar el servicio de destrucción:
- 1- A veces el proceso de destrucción responde a directrices legislativas, o a directrices internas corporativas y en otros, como es el caso de la información pública, no cuenta con unas exigencias determinadas. A pesar de esto, en este último caso se recomienda aplicar el mismo tratamiento de destrucción que en el resto de documentación desechada, puesto que se ha demostrado que dejar en manos de cada empleado la responsabilidad de discriminar correctamente la naturaleza de cada documento para aplicarle distinto tratamiento, es más complicado y costoso que el aplicar un tratamiento homogéneo a todos los documentos. Además representa una amenaza de fuga al exterior si por ejemplo un documento estratégico no recibe el tratamiento de destrucción por el mero hecho de haberlo depositado en un contenedor que sólo era para reciclaje de papel.
- 2- Ocurre otra amenaza, esta vez de accesos no autorizados por parte de terceros, si no se presta suficiente atención al formato de los contenedores donde depositar la documentación, al traslado de los mismos a las Plantas donde se realiza la destrucción y a las propias medidas de seguridad en las Plantas. En este sentido hay que tener en cuenta que, con la reciente entrada en vigor del Reglamento de Desarrollo LOPD (RDLOPD), se ha ampliado el alcance a los ficheros en soporte papel. Y se establece que los contenedores utilizados deben ser cerrados, con medidas reales que eviten sustracción, pérdida o accesos indebidos. Así como la adopción de un transporte confidencial en vehículos cerrados hacia plantas igualmente cerradas y con medidas perimetrales que aseguren la inviolabilidad de los activos. Utilizar cajas de cartón o camiones abiertos hacia plantas de fácil acceso representa un error grave en la concepción del servicio de destrucción.
- 3- Siguiendo la línea legislada por el RDLOPD, se ha establecido que siempre que se deseche información en cualquier soporte, se debe proceder a su destrucción de modo que no se pueda recomponer posteriormente. Dicho de otra manera, cuando se externaliza un servicio de destrucción irrecomponible se debe exigir en su concepción, que destruyan los documentos en partículas asimétricas a un tamaño de diámetro máximo entre los 20 y los 60 milímetros y lo que es más importante, exigir en el certificado de destrucción emitido, que indique expresamente a qué tamaño de partícula ha quedado triturada la documentación y el lugar físico en donde se ha llevado a cabo. ¿Esto está plasmado en los últimos certificados que le han emitido?
Conformarse con externalizar el servicio no es suficiente, debe cerciorarse de que su información no pueda verse comprometida. En este sentido, debe considerarse obligatoria la visita in situ a una de las plantas de destrucción de los partner seleccionados y comprobar los procedimientos y las medidas dispuestas en los contenedores, el transporte, las plantas y la capacidad de auditabilidad de todo el proceso.
Recapacitar sobre lo que hoy estamos haciendo mal nos sirve para vislumbrar lo que mañana serán las amenazas que causen nuestras preocupaciones (incumplimientos normativos, pérdida reputacional, accesos no controlados). En definitiva, las empresas deben minimizar sus riesgos prestando una especial atención al proceso de destrucción. Determinar los niveles de servicios adecuados supone algo más que una destrucción segura de documentos, supone la garantía de mantener la seguridad en las empresas.
Obligaciones del reglamento
– El nuevo reglamento obliga el tratamiento de información en cualquier soporte, pero esta vez, regula expresamente el soporte papel. (ART: 2.1)
– A HACER UNA DESTRUCCIÓN (ART: 112.2) (ART: 92.4) (ART.87.2)
– A que la destrucción SEA IRRECUPERABLE E IRRECOMPONIBLE (ART: 92.4) (ART: 112.2)
– A VERIFICAR que el proveedor elegido para ello, reúna garantías suficientes (ART: 20.2)
– Para evitar el acceso a la información (ART: 92.4)
– Para evitar la recuperación posterior (ART: 92.4)
Cómo debe hacerse la Destrucción
– El nuevo reglamento obliga el tratamiento de información en cualquier soporte, pero esta vez, regula expresamente el soporte papel. (ART: 2.1)
– A HACER UNA DESTRUCCIÓN (ART: 112.2) (ART: 92.4) (ART.87.2)
– A que la destrucción SEA IRRECUPERABLE E IRRECOMPONIBLE (ART: 92.4) (ART: 112.2)
– A VERIFICAR que el proveedor elegido para ello, reúna garantías suficientes (ART: 20.2)
– Para evitar el acceso a la información (ART: 92.4)
– Para evitar la recuperación posterior (ART: 92.4)
¿Quién es el responsable de hacerla?
– La empresa que haya generado el Fichero, pudiendo delegarlo en el Encargado del Tratamiento (ART 5).
– Ahora se equipara con la misma responsabilidad a la empresa contratante como al proveedor (ART: 20.2)
– El responsable de Informática como último responsable de los ficheros no automatizados.
¿Cuáles son los riesgos si lo incumples?
– Incumplimiento de normas (Lopd, etc.), con su correspondiente Sanción Administrativa desde los 600 € hasta los 600.000 € (ART 127)
– Perdida de imagen Corporativa y REPUTACIONAL.
– Accesos no autorizados a terceros.
En lo que se refiere a la información confidencial o estratégica, para cuándo se dedica desechar
En buena medida, para la Información Confidencial o Estratégica y en cualquier soporte, podemos seguir los mismos Procesos que aplicamos para gestionar la destrucción de información protegida por la LOPD. Porque esos Procesos marcan en definitiva, una GUIA DE BUENAS PRACTICAS