Temas

Proteger la Seguridad Física

Protección de los Activos Físicos

Un componente esencial de la seguridad de la información es la seguridad física de sus dispositivos. Además de mitigar el impacto de un dispositivo robado mediante el uso de pantallas de bloqueo y contraseñas, la implementación del cifrado completo del disco y la activación de las funciones de borrado remoto, también debe considerar cómo evitar el robo de esos dispositivos en primer lugar. Para dificultar los robos, asegúrese de instalar cerraduras fuertes (y cambiarlas cada vez que se desvincule un miembro del personal) en la oficina o en casa. Considere también la posibilidad de comprar una caja fuerte para computadoras portátiles o un armario con cerradura para mantener los dispositivos más protegidos durante la noche. Las cámaras de seguridad se han abaratado mucho, y las versiones sencillas diseñadas para uso doméstico son las más disponibles. Estos sistemas de cámaras o sensores de movimiento alrededor de las instalaciones pueden detectar y, con suerte, disuadir los robos físicos. Busque una opción que respete la privacidad disponible en su país, y asegúrese de seleccionar cámaras proporcionadas por empresas de confianza que no tengan un incentivo para entregar datos e información a un adversario potencial.

Si el riesgo de robo o allanamiento de la oficina es alto, mantenga los datos más delicados de la organización fuera de la oficina, ya sea almacenándolos de forma segura en la nube (como se indicó anteriormente) o trasladándolos físicamente a un lugar menos peligroso. Si los dispositivos antiguos aún tienen información almacenada pero ya no se utiliza, considere la posibilidad de borrarla: esta guía de WireCutter es un buen recurso sobre cómo hacerlo para la mayoría de los dispositivos modernos. Si no es posible borrar sus dispositivos, también puede destruirlos físicamente. La forma más fácil, aunque no la más respetuosa con el medioambiente, es romper los dispositivos y sus discos duros con un martillo. A veces, las soluciones más antiguas siguen siendo las mejores.

Incluso antes de estos pasos técnicos, tómese un momento para crear un inventario de todos los equipos de la organización. Si no tiene una lista de todos sus dispositivos, es más difícil hacer un seguimiento de lo que puede faltar si le roban uno.

Cómo instalar su propio sistema de seguridad en la oficina

Si un sistema de seguridad completo para la oficina está fuera del presupuesto de su organización y le preocupa especialmente la privacidad, puede probar una opción creativa como la aplicación Haven de Guardian Project para notificar posibles intrusiones en la oficina. Haven es una aplicación para teléfonos inteligentes que puede convertir cualquier teléfono Android en un detector de movimiento, sonido, vibración y luz. Puede configurar la aplicación en unos pocos dispositivos Android baratos en diferentes puntos de la oficina para notificar y registrar cualquier invitado inesperado e intruso no deseado. La aplicación Haven también puede ser útil para instalarla en una habitación de hotel o en un apartamento si usted corre un mayor riesgo. Lo mejor es un sistema de seguridad completo, pero si eso está fuera de su alcance y quiere saber más sobre cómo utilizar la aplicación Haven, puede visitar el sitio web del proyecto.

¿Qué hacemos con todo este papel?

Es probable que su organización tenga mucha información impresa en papel, escrita en cuadernos o garabateada en notas adhesivas. Parte de dicha información puede ser muy sensible: impresiones de presupuestos, listas de participantes, cartas confidenciales de donantes y notas de reuniones privadas. Es esencial pensar también en la seguridad de esta información. Si es absolutamente necesario conservar copias impresas de la información confidencial, asegúrese de que se guardan en un armario cerrado con llave o en otro lugar seguro. No guarde ninguna información privada o delicada (incluso las contraseñas) en un escritorio o escrita en una pizarra. Si cree que su organización corre un alto riesgo de sufrir un robo o allanamiento, guarde la información altamente confidencial en un lugar que no sea un blanco fácil.

En la medida de lo posible, procure eliminar la información impresa innecesaria. Recuerde: si no la tiene, no se la pueden robar. Establezca una política organizacional en relación con la propiedad de las notas en papel y asegúrese de recoger las notas en papel del personal si este decide desvincularse o es despedido de la organización (al igual que recogería una computadora o un teléfono de la organización). Para deshacerse de documentos confidenciales, compre una trituradora de calidad. Una actividad divertida de fin de semana puede ser tomarse un descanso de 15 minutos con el personal para destruir los restos de impresiones o notas con información delicada de la semana anterior.

La política de la oficina

Aunque para muchos las realidades de “la oficina” han cambiado significativamente desde el comienzo de la pandemia de COVID-19, sigue siendo importante que su organización establezca una política clara respecto del acceso a la oficina. Esta política debe abordar cuestiones clave, como quién puede entrar en la oficina (y cuándo), quién puede acceder a qué recursos de la oficina (como la red wifi) y qué hacer con las visitas.

Una pregunta sencilla, pero importante, es quién tiene la llave de la oficina. Solo el personal de confianza debe tener llaves, y las cerraduras deben cambiarse cuando el personal se vaya o de forma semirregular. Durante el día, cualquier puerta que se deje sin cerrar debe estar a la vista de alguien de confianza en la organización. Considere también si la organización tiene una relación de confianza con el propietario o el personal de limpieza. Piense en la información o los dispositivos a los que estas personas podrían tener acceso y asegúrese de que estén protegidos, especialmente si no tiene esa relación de confianza. Sea cual fuere el acceso, siempre se debe designar a alguien de confianza para que cierre la oficina y se asegure de que los dispositivos estén bien protegidos antes de marcharse al final del día.

¿Se permite la entrada de invitados a la oficina? Si es así, asegúrese de que no tengan acceso (o, al menos, acceso desatendido) a los dispositivos ni a los datos confidencias en papel. Si es un requisito o una expectativa que los invitados tengan acceso a internet cuando hagan una visita, debe configurar una red de “invitados” para que dichos invitados no tengan la capacidad de monitorear su tráfico regular. En general, solo el personal de confianza debe poder acceder a la red y a los dispositivos de red, como las impresoras. También suele ser una buena idea exigir el registro de los invitados para tener un registro de quiénes lo han visitado.

A la hora de desarrollar una política de oficina, el objetivo debe ser permitir que solo las personas de confianza accedan a los dispositivos, documentos, espacios y sistemas privados.

Apoyo al personal y a los voluntarios

Las amenazas a la seguridad física de su organización también pueden afectar a su personal. Al igual que el acoso en las redes sociales, estas amenazas a la seguridad física suelen afectar de forma desproporcionada a las mujeres y a las comunidades marginadas. No se trata solo de ventanas rotas y computadoras portátiles robadas. La intimidación, las amenazas o los casos de violencia física o sexual, el maltrato doméstico y el miedo a los ataques pueden tener un grave impacto negativo en la vida del personal. Para las organizaciones que trabajan o apoyan a las mujeres políticamente activas en particular, la herramienta de planificación de la seguridad #Think10 del NDI es un recurso útil para proporcionar a las personas que podrían estar en mayor riesgo personal como resultado de su actividad.

El bienestar del personal es obviamente un activo importante para ellos como individuos, pero también es un elemento crucial para una organización saludable y que funcione bien. Para ello, considere qué recursos adicionales puede proporcionar al personal para mantenerlo protegido y, en caso de ataque físico o digital, ayudarlo a recuperarse. Como se ha mencionado anteriormente en el Manual, esto significa, como mínimo, elaborar una lista de recursos a los que puede poner en contacto con el personal para obtener asistencia jurídica, médica, de salud mental y técnica, si es necesario. Una vez más, el Manual de Campo contra el Acoso en Línea de PEN América incluye ideas sobre cómo las organizaciones pueden apoyar al personal durante y después de las crisis, y el Manual de Seguridad Holística de Tactical Tech incluye contenido relevante sobre cómo las organizaciones suelen responder en momentos de amenaza intensa.

Reservación segura de los viajes para su Organización

Cuando elabore una política de viajes, también tenga en cuenta la información que puede quedar expuesta cuando organice o reserve un viaje. Esto puede ser especialmente importante si se organizan grandes eventos, capacitaciones o conferencias en las que se maneja información privada de diversos empleados, socios o asistentes. Piense detenidamente en cómo compartirá y almacenará de forma segura (si es necesario) información personal, como datos del pasaporte, itinerarios de viaje e historiales médicos. El Organizer Activity Book (Libro de actividades del organizador) de Tactical Tech tiene una excelente hoja de trabajo para ayudar a su organización a pensar en las cuestiones clave relacionadas con la seguridad de los viajes, cuyo enlace está aquí.

Seguridad en los viajes

Viajar (a otro país o a la ciudad vecina) suele intensificar los riesgos de seguridad de la información física. En general, es seguro asumir que usted y sus dispositivos no tienen derechos de privacidad cuando cruzan las fronteras. Por ello, es una buena idea incluir una política de viajes de la organización dentro de su plan de seguridad que incluya recordatorios sobre las mejores prácticas de seguridad clave.

La política de viajes de su organización debe incluir mucha de la información que se trata en otras secciones del Manual, por ejemplo, el uso seguro de internet y el mantenimiento de los dispositivos y otras fuentes de información físicamente seguros y con usted en todo momento cuando viaja. Si es posible, deje su información privada y simplemente utilice una computadora nueva y con contenido borrado, acceda a los archivos que necesite desde la nube, y luego bórrelos al regresar a casa.

Además de prepararse para viajar y minimizar los datos compartidos cuando viaja, hay algunos consejos operativos esenciales que se deben considerar e incluir en la política de viajes de la organización.

Considere la posibilidad de utilizar computadoras portátiles o teléfonos específicos para viajes, en los que se almacenen pocos o ningún dato confidencial. Si la mayor parte del trabajo de su organización se realiza en la nube, una Chromebook relativamente asequible puede ser una buena opción para un dispositivo de este tipo. Restablezca la configuración de fábrica, o haga un borrado de datos, a su regreso antes de conectarse a redes wifi comunes en casa o en la oficina.

Prepare al personal para saber qué hacer si es interrogado por las autoridades o detenido en un cruce fronterizo. Considere cómo puede limitar la cantidad de información con la que alguien viaja si esto representa una preocupación y elabore protocolos de registro para el personal que viaja a regiones sensibles. Proporcione al personal información de contacto y un plan de acción sobre lo que deben hacer si algo sale mal en su viaje. Esto incluye información sobre hospitales, clínicas o farmacias locales en caso de que necesiten asistencia médica durante el viaje.

El personal también debe mantener todos los dispositivos consigo mientras viaja. Por ejemplo, mantenga la computadora portátil a sus pies (no en el compartimento superior ni en el equipaje documentado) cuando viaje en autobús, tren o avión. No asuma que una habitación de hotel (o la caja fuerte del hotel) es un “lugar seguro” para guardar dispositivos y objetos delicados. Y no confíe en los puertos de carga USB públicos. Los puertos de carga USB de aeropuertos, estaciones y vehículos se están convirtiendo en algo cada vez más habitual y en una forma muy cómoda de fuente de alimentación para los dispositivos. Pero pueden ser un vector fácil para captar malware. Así que asegúrese de cargar los dispositivos de la manera tradicional a través de un enchufe en la pared, o compre bloqueadores de datos USB para que el personal que viaja pueda cargar sus dispositivos de forma segura a través de USB.

Proteger su Seguridad Física

  • Recuerde al personal que debe mantener los dispositivos protegidos físicamente en todo momento.
  • Compruebe y asegure todas las vías de acceso a su espacio: puertas y ventanas.
  • Desarrolle una política de invitados y acceso a la oficina.
  • Utilice cerraduras fuertes, y rótelas o cámbielas cuando sea necesario.
  • Considere la posibilidad de instalar una cámara u otro sistema de seguridad en la oficina.
  • Tenga y utilice una trituradora de papel.
    • Establezca un tiempo exclusivo para que el personal elimine los documentos impresos que contienen información delicada.
  • Elabore una lista de profesionales, organizaciones y cuerpos de seguridad locales con los que pueda poner en contacto al personal para obtener asistencia jurídica, médica y de salud mental en respuesta al acoso en línea.
  • Desarrolle una política de viajes de la organización.
  • Asegúrese de que el personal sepa qué hacer en caso de una emergencia durante el viaje, por ejemplo, la preparación del personal para saber qué hacer si es detenido en una frontera o un puesto de control.
  • Antes de cualquier viaje local, nacional o internacional, recuerde al personal que debe limitar la información almacenada en los dispositivos.
  • Tenga en cuenta los datos adicionales que se crean y comparten al organizar viajes o eventos.