Principal » El Manual de Protección para Defensores de Derechos Humanos » Capítulo 12: La seguridad en las comunicaciones y la información tecnológica

Guía para una gestión más segura de la oficina y la información.

‹ Encriptación: Preguntas y RespuestasarribaConsejos generales para Internet cafés y otros ›

Gestión de oficina más segura

Para conseguir una gestión de oficina más segura es necesario crear ciertos hábitos. Los hábitos en la gestión de oficina pueden ser positivos o nocivos. Para desarrollar unos buenos hábitos, conviene comprender el razonamiento que se esconde detrás de ellos. Hemos elaborado una lista de hábitos que podrían serte de utilidad para gestionar tu información de una manera más segura – pero sólo si desarrollas estos hábitos y reflexionas por qué son importantes.

¿Qué es lo más importante para la privacidad y la seguridad en la gestión de oficina?

  • Ser consciente de tu información y de quien tiene acceso a ella.

  • Desarrollar hábitos seguros y practicarlos constantemente.
  • Utilizar las herramientas apropiadamente.

Administración

Muchas organizaciones poseen un sistema administrador o alguien con privilegios administrativos para acceder al correo electrónico, la red de ordenadores y supervisar la instalación del nuevo software. Si alguien abandona la organización o no está disponible, el administrador puede acceder a su información y el proyecto puede continuar sin interrupción. Esto también significa que hay un responsable de asegurar que el sistema de software esté limpio y que provenga de una fuente de confianza.

El problema es que algunas organizaciones consideran este papel como un simple soporte técnico y conceden a un trabajador externo esos privilegios administrativos. Este administrador tiene un control efectivo sobre toda la información de la organización, y debe por lo tanto ser de absoluta confianza. Algunas organizaciones reparten el papel de administrador entre el director de la organización y otra persona de confianza.

Existen organizaciones que optan por agrupar las claves privadas y contraseñas del PGP, encriptarlas y guardarlas de forma segura y en un lugar remoto con otra organización de confianza. Esto evita problemas en caso de que alguien olvide su contraseña o pierda su clave privada. Sin embargo, la ubicación de los archivos debe ser completamente segura y de confianza, y deben crearse protocolos específicos y extensos en relación al acceso a los archivos.

Las normas:

1. NUNCA otorgues privilegios administrativos a un trabajador externo. No sólo son menos fiables que la gente de la organización, pero en caso de emergencia podría resultar difícil contactar con alguien externo a la oficina.

2. Sólo deberían otorgarse los privilegios administrativos a las personas de mayor confianza.

3. Decide a qué información podrá acceder el administrador: a todos los ordenadores, frases de pase del ordenador, frases de pase para iniciar la sesión, claves y frases de pase del PGP, etc.

4. Si decides mantener copias de frases de pase y claves privadas del PGP en otra organización, deberás crear ciertos protocolos de acceso.

5. Si una persona abandona la organización, sus frases de pase y códigos de acceso personales deberán ser cambiados inmediatamente.

6. Si alguien con privilegios administrativos abandona la organización, todas las frases de pase y códigos de acceso deberán ser cambiados inmediatamente.

Administración del Software

El uso de software pirateado puede exponer a una organización a la denominada “policía de software”. Los policías pueden tomar medidas drásticas con una organización que usa un software ilegal, imponiendo multas muy elevadas y cerrándola. En estos casos la organización no podrá contar con la simpatía o apoyo de los medios de comunicación occidentales porque más que un ataque a una ONG de derechos humamos verán un ataque contra la piratería. Sé extremadamente cauto con tus licencias de software y no permitas que la gente las copie indiscriminadamente. El software pirateado puede también ser inseguro ya que podría contener virus. Utiliza siempre un programa anti-virus cuando instales el software.

El administrador debería controlar la instalación del nuevo software para comprobarlo primero. No permitas la instalación de un software presuntamente inseguro, e instala solamente el software que necesites.

Instala los parches de seguridad más actuales en todo el software, sobretodo en Microsoft Office, Microsoft Internet Explorer y Netscape. Las peores amenazas a la seguridad provienen de los software y soportes físicos entregados con vulnerabilidades intencionadas. Mejor todavía, plantéate pasarte a un software de Código Abierto, que no está basado en el modelo de "Seguridad por Oscuridad" sino que invita tanto a expertos de seguridad como a piratas informáticos a probar rigurosamente todos los códigos. El uso del software de Código Abierto y de cualquier otro que no sea Microsoft tiene la ventaja añadida de hacerte menos vulnerable a los virus estándar y a los piratas informáticos generales. Son pocos los virus creados para los sistemas operativos de Linux o Macintosh porque la mayoría de la gente utiliza Windows. Outlook es el programa de correo electrónico más conocido, y por lo tanto el blanco más conocido de los piratas informáticos.

Hábitos del correo electrónico

La encriptación del correo electrónico debería convertirse en un hábito. Es más sencillo encriptarlo todo que crear una política de cuando debería encriptarse el correo electrónico y cuando no. Recuerda que si encriptas siempre el correo electrónico, quien vigile tu correspondencia no sabrá nunca cuando tus comunicaciones pasan a ser más importantes y confidenciales.

Otros puntos importantes:

  • Guarda siempre el correo electrónico codificado en un formato encriptado. Siempre podrás desencriptarlo luego, pero si alguien obtiene acceso a tu ordenador, será tan vulnerable como si nunca hubiera sido codificado.
  • Recuerda a todo el mundo con quien intercambies correos electrónicos encriptados que no descodifiquen y reenvíen los mensajes, o que no los contesten sin encriptarlos. La pereza individual es la mayor amenaza para tus comunicaciones.

  • Sería interesante crear algunas cuentas de correo seguras para las personas en el campo que no se utilicen generalmente y así no caerán en manos de servidores de spam. Estas direcciones deberían ser revisadas constantemente pero no utilizadas, excepto por el personal de campo. De esta forma podrás eliminar direcciones electrónicas que obtengan mucho correo basura sin que peligre tu base de contacto.

»