Para preservar la información en una organización, sea o no con fines de lucro, pero que posea datos críticos, que de ser extraídos por un tercero represente una amenaza, hay que tomar acciones de diversas índoles.
La primera y obvia medida, tiene que ver con el acceso físico. Aunque es evidente, aun se siguen viendo empresas que carecen de adecuados sistemas de control de ingreso de visitantes, incluso, este tipo de restricciones deben abarcar a los mismos trabajadores, es decir, que cada uno solo pueda entrar a las áreas que le correspondan.
En importante, disponer de un área en la cual se atiendan a los visitantes. Es un error garrafal, permitir la entrada a las oficinas o puestos de trabajo, ya que es normal que se tenga sobre los escritorios una cantidad de documentos que en un descuido puedan ser hurtados. O que se tengan datos en carteleras, stikers (calcomanía, adhesivo).
Por ende, lo prudente es que se tengan salones de reuniones y cada vez que se termine alguna, borrar pizarras (si las hay), desechar papeles usando destructores especiales, por supuesto, no dejar nada en el recinto, pues allí es donde se supone que llegarán todo tipo de individuos a los que se les dé acceso.
El segundo nivel tiene que ver con lo digital, si bien existe una gran gama de equipos y software de seguridad, estos solo protegen una parte de la plataforma tecnológica, pero todas las estaciones de trabajo deben velar por evitar cualquier tipo de vulnerabilidad. Por ejemplo, hay que crear políticas de creación de claves lo suficientemente complejas para que no sean adivinadas, ni siquiera por los robots virtuales.
Pero también, debe haber restricciones de acceso a sitios web que no tengan que ver con el trabajo. No se trata de prohibir momentos de esparcimiento en medio de la jornada laboral, sino de garantizar la integridad de la data que en cada estación se maneja. Si se da libertad para que naveguen por Internet, cualquier virus puede atacar como los bombas de tiempo, gusanos, troyanos, hijackers, keylogger, zombie.
El tercer nivel, es uno de los más complejos de controlar, está asociado con la conducta y actitud de los empleados. Tanto es así, que existe lo que se ha denominado como ingeniería social, que no es más que una forma de obtener información a partir de la manipulación de usuarios y trabajadores. Es como una especie de espía, que de manera amistosa se acercan a sus víctimas, física o virtualmente, para sacarles datos sin que ellos siquiera se den cuenta.
Lo que se puede hacer al respecto, son charlas orientativas para que sean prudentes y tengan herramientas para detectar ese tipo de intenciones maliciosas.