Un componente esencial de la seguridad de la información es la seguridad física de sus dispositivos. Además de mitigar el impacto de un dispositivo robado mediante el uso de pantallas de bloqueo y contraseñas, la implementación de cifrado completo del disco y la activación de funciones de borrado remoto, también debería considerar cómo evitar que roben esos dispositivos en primer lugar. Para dificultar el robo, asegúrese de instalar cerraduras fuertes (y cambiarlas cada vez que cambie el personal) en las instalaciones parlamentarias y en el hogar. Además, considere comprar una caja de seguridad para la computadora portátil o un gabinete con cerradura para mantener los dispositivos protegidos durante la noche. Los sistemas de cámaras o sensores de movimiento por todas las instalaciones pueden detectar y, con suerte, disuadir robos físicos y entradas forzadas. Busque una opción que respete la privacidad disponible en su país, y asegúrese de seleccionar cámaras y sistemas de seguridad proporcionados por empresas de confianza que no tengan un incentivo para entregar datos e información a un adversario potencial.
Si hay dispositivos antiguos que aún tienen información almacenada pero ya no se utilizan, considere borrar su contenido: esta guía de WireCutter es un buen recurso para saber cómo hacerlo en la mayoría de los dispositivos modernos. Si no es posible borrar sus dispositivos, también puede destruirlos físicamente. La forma más fácil, aunque no la más respetuosa con el medioambiente, es romper los dispositivos y sus discos duros con un martillo. A veces, las soluciones más antiguas siguen siendo las mejores.
Incluso antes de estos pasos técnicos, tómese un momento para crear un inventario de todo el equipamiento en el parlamento en su totalidad. Si no tiene una lista de todos sus dispositivos, es más difícil hacer un seguimiento de lo que puede faltar si le roban uno.
¿Qué hacemos con todo este papel?
Es probable que su organización tenga mucha información impresa en papel, escrita en cuadernos o garabateada en notas adhesivas. Parte de dicha información puede ser muy sensible: impresiones de presupuestos, listas de participantes, cartas confidenciales de donantes y notas de reuniones privadas. Es esencial pensar también en la seguridad de esta información. Si es absolutamente necesario conservar copias impresas de la información sensible, asegúrese de que se guardan en un armario cerrado con llave o en otro lugar seguro. No guarde ninguna información privada o sensible (incluidas las contraseñas) en un escritorio o escrita en una pizarra. Si cree que su organización corre un alto riesgo de sufrir un robo o saqueo, guarde la información altamente delicada en un lugar que no sea un blanco fácil.
En la medida de lo posible, procure eliminar la información impresa innecesaria. Recuerde: si no la tiene, no se la pueden robar. Establezca una política organizacional en relación con la propiedad de las notas en papel y asegúrese de recoger las notas en papel del personal si éste decide desvincularse o es despedido de la organización (al igual que recogería una computadora o un teléfono de la organización). Para deshacerse de documentos confidenciales, compre una trituradora de calidad. Una actividad divertida de fin de semana puede ser tomarse un descanso de 15 minutos con el personal para destruir los restos de impresiones o notas con información sensible de la semana anterior.
La política parlamentaria
Aunque para muchos las realidades de "la oficina" han cambiado en forma significativa desde el comienzo de la pandemia de COVID-19, aún es importante que su organización establezca una política clara sobre el acceso a la oficina. Esta política debe abordar cuestiones clave como quién puede entrar en la oficina (y cuándo), quién puede acceder a qué recursos de la oficina (como la red Wi-Fi) y qué hacer con las visitas.
Una pregunta simple pero importante es quién obtiene llave de la oficina. Solo el personal de confianza debe tener llaves, y las cerraduras deben cambiarse cuando el personal se vaya o de forma semirregular. Durante el día, cualquier puerta que se deje sin cerrar debe estar a la vista de alguien de confianza en la organización. Considere también si la organización tiene una relación de confianza con el propietario o el personal de limpieza. Piense en la información o los dispositivos a los que estas personas podrían tener acceso y asegúrese de que estén protegidos, especialmente si no tiene esa relación de confianza. Sea cual fuere el acceso, siempre se debe designar a alguien de confianza para que cierre la oficina y se asegure de que los dispositivos estén bien protegidos antes de partir al final del día.
¿Se permite la entrada de invitados a la oficina? Si es así, asegúrese de que no tengan acceso (o, al menos, acceso desatendido) a los dispositivos ni a los datos sensibles en papel. Si es un requisito o una expectativa que los invitados tengan acceso a internet cuando hagan una visita, debe configurar una red de “invitados” para que dichos invitados no tengan la capacidad de monitorear su tráfico regular. En general, solo el personal de confianza debe poder acceder a la red y a los dispositivos de red, como las impresoras. También suele ser una buena idea exigir que los invitados se anoten para tener un registro de quiénes han estado de visita.
Mientras desarrolla una política de oficina, la meta debería ser permitir que solo personas de confianza accedan a dispositivos, documentos, espacios y sistemas delicados.
Instalaciones de Información Compartimentada Confidencial (SCIF)
Para mantener conversaciones altamente confidenciales, algunos parlamentos han instalado salas físicas protegidas llamadas SCIF. Estos espacios se establecen de manera que los MP y su personal puedan ver y comentar cuestiones de información confidencial tales como las relacionadas con seguridad nacional o inteligencia, sin preocuparse por vigilancia o espionaje externos. Además de la construcción física correcta, un SCIF adecuado requiere que las personas dejen los dispositivos (como sus teléfonos celulares) fuera de la sala antes de ingresar para el debate.
Apoyo al personal y a voluntarios
Las amenazas a la seguridad física de su organización también pueden afectar a su personal. Al igual que el acoso en las redes sociales, estas amenazas a la seguridad física suelen afectar de forma desproporcionada a las mujeres y a las comunidades marginadas. No se trata solo de ventanas rotas y computadoras portátiles robadas. La intimidación, las amenazas o los casos de violencia física o sexual, el maltrato doméstico y el miedo a los ataques pueden tener un grave impacto negativo en la vida del personal. En organizaciones que trabajan o apoyan en particular a las mujeres activas en política, la herramienta de planificación de seguridad #Think10 de NDI es un recurso útil para proporcionar a las personas que podrían estar en mayor riesgo personal como resultado de su participación en el parlamento y en la política en general.
El bienestar del personal es obviamente un activo importante para ellos como individuos, pero también es un elemento crucial para una organización saludable y que funcione bien. Para ello, considere qué recursos adicionales puede proporcionar al personal para mantenerlo protegido y, en caso de ataque físico o digital, ayudarlo a recuperarse. Como se ha mencionado anteriormente en el Manual, esto significa, como mínimo, elaborar una lista de recursos a los que puede poner en contacto con el personal para obtener asistencia jurídica, médica, de salud mental y técnica, si es necesario. Como ya se mencionó, el Manual de campo contra el acoso en línea, de PEN America, incluye ideas sobre cómo las organizaciones pueden apoyar al personal durante y después de las crisis.
Seguridad en Viajes
Viajar, ya sea a otro país o a una ciudad vecina, suele intensificar los riesgos de seguridad de la información física. En general, es seguro asumir que usted y sus dispositivos no tienen derechos de privacidad cuando cruzan las fronteras. Por eso es una buena idea incluir una política parlamentaria de viajes dentro de su plan de seguridad que incluya recordatorios sobre las mejores prácticas de seguridad clave.
La política de viajes de su parlamento debería incluir mucha de la información que se trata en otras secciones del Manual, como el uso seguro de internet y el mantenimiento de la seguridad física de los dispositivos y otras fuentes de información, que deberían estar con usted en todo momento cuando viaja. Si es posible, deje su información sensible y simplemente utilice una computadora nueva y con contenido borrado, acceda a los archivos que necesite desde la nube, y luego bórrelos al regresar a casa.
Reserva Segura de Viajes para su Parlamento
Cuando elabore una política de viajes, también tenga en cuenta la información que podría quedar expuesta cuando organice o reserve un viaje. Esto puede ser importante en particular si se organizan grandes eventos o conferencias en las que se maneja información delicada de una variedad de integrantes del personal, miembros o asistentes. Piense detenidamente en cómo compartirá y almacenará de forma segura (si es necesario) información personal, como datos del pasaporte, itinerarios de viaje e historiales médicos.
Además de prepararse para viajar y minimizar los datos compartidos cuando viaja, hay algunos consejos operativos esenciales que debería analizar e incluir en la política de viajes.
Considere la posibilidad de utilizar computadoras portátiles o teléfonos específicos para viajes, en los que se almacenen pocos o ningún dato sensible. Si la mayor parte del trabajo de su organización se realiza en la nube, una Chromebook de relativo bajo costo puede ser una buena opción para un dispositivo de este tipo. Restablezca la configuración de fábrica, o haga un borrado de datos, a su regreso antes de conectarse a redes Wi-Fi comunes en casa o en la oficina.
Proporcione al personal información de contacto y un plan de acción sobre lo que deben hacer si algo sale mal en su viaje. Esto incluye información sobre hospitales, clínicas o farmacias locales en caso de que necesitaran asistencia médica durante el viaje.
El personal también debería mantener todos los dispositivos consigo mientras viaja. Por ejemplo, mantenga la computadora portátil a sus pies (no en el compartimento superior ni en el equipaje despachado) cuando viaje en autobús, tren o avión. No asuma que una habitación de hotel (o la caja fuerte del hotel) es un “lugar seguro” para guardar dispositivos y objetos delicados. No confíe en puertos de carga USB públicos. Los puertos de carga USB de aeropuertos, estaciones y vehículos se están convirtiendo en algo cada vez más habitual, y en una forma muy cómoda de fuente de alimentación para los dispositivos. Pero pueden ser un vector fácil para captar malware. Así que asegúrese de cargar los dispositivos de la manera tradicional en un enchufe en la pared, o compre bloqueadores de datos USB para que el personal que viaja pueda cargar sus dispositivos de forma segura por USB.
- Recuerde a los miembros y al personal que mantengan los dispositivos físicamente protegidos en todo momento.
- Revise y proteja todas las formas en que las personas pueden ingresar a sus instalaciones.
- Desarrolle una política de acceso e invitados.
- Use cerraduras fuertes, sistemas de identificación y credenciales, y cámbielos cuando sea necesario.
- Considere colocar cámaras u otros sistemas de seguridad en las instalaciones.
- Tenga y use trituradoras de papel.
- Establezca un tiempo exclusivo para que el personal elimine los documentos impresos que contienen información delicada.
- Elabore una lista de profesionales, organizaciones y agencias policiales locales con los que pueda poner en contacto a los miembros y al personal para obtener asistencia legal, médica y de salud mental en respuesta a ataques físicos o amenazas.
- Desarrolle una política parlamentaria de viajes.
- Asegúrese de que el personal sepa qué hacer en caso de emergencia durante el viaje.
- Tenga en cuenta los datos adicionales que se crean y comparten al organizar viajes o eventos.
