"Aquello que no te mata... debería hacerte más fuerte" ;)
InfoSecMan Blog
Acuerdos de Confidencialidad… ¿Limpios?
25 May 2007Por la naturaleza de mi trabajo suele ser bastante habitual el tener que firmar acuerdos de confidencialidad con nuestros clientes. La información que manejamos o los lugares en los que estamos suelen tener un valor importantísimo para las organizaciones, que de ser difundido podría tener graves pérdidas para las mismas.
La mayoría de las compañías (no todas) están bastante concienciadas y es una de las primeras cosas que se hacen al comenzar un proyecto, a veces incluso en la fase de oferta.
Esto está muy bien y enlaza ligeramente con lo que comentaba ayer de “quién vigila al vigilante”… ya que no lo vigila nadie, por lo menos que sea “mudo” (habitualmente no solemos ser “sordos” 
). Parece claro que una persona o compañía externa que va a introducirse en el núcleo de nuestra compañía debería firmar, al menos, un acuerdo de confidencialidad.
Pero, yo me pregunto: ¿cuántas compañías de las que conocéis tienen firmado un acuerdo de confidencialidad con su empresa de limpieza? ¿cuántas tienen un protocolo de actuación definido ante fugas de información por ese medio? ¿la vuestra lo tiene? (no hace falta que contestéis, no es necesario…).
Como podéis suponer, los empleados de las empresas de limpieza son los usuarios con mayores privilegios de toda la organización. Pueden acceder (y lo hacen a diario) a todos y cada uno de los rincones de nuestras organizaciones: CPD, despachos de altos directivos, almacenes, etc. Tienen acceso físico a todos nuestros dispositivos pudiendo introducir mecanismos maliciosos de obtención de información (como Keyloggers físicos, etc.) y ¿quién los controla? … o aún mejor, ¿tienen alguna responsabilidad por escrito en sus contratos? ¿saben o están obligados a no decir lo que leen en los documentos encima de las mesas?
Siempre pensamos que esas personas “no son un problema”, que esas cosas sólo pasan en las películas y que la formación que tienen no les permite entender lo que ponemos en nuestras pizarras (permitidme que me ría). ¿Por qué? ¿No sería muy interesante para un competidor conocer los próximos movimientos de una compañía? ¿Y qué le impide el introducir un topo en esa empresa de limpieza para hacerlo? ¿Vosotros no lo haríais si la ganancia fuese importante?… ¿y si no hubiéseis firmado un acuerdo de confidencialidad sería ilegal que obtuviéseis esa información por el mero método de la observación?
Estoy muy preguntón hoy, así que lo dejaremos para la semana que viene. Yo hoy me llevaré el portátil a casa, que nuestra señora de la limpieza tiene la costumbre de ¿ordenar? la mesa… porque lo que hace es ¿ordenarla? …. mmm…
Ya que es viernes, y llega el fin de semana, podríamos pensar también en firmar un acuerdo de confidencialidad con la cafetería, bar o restaurante más cercano a nuestra oficina…. ¿o me váis a decir que allí nadie habla de cuestiones confidenciales? ja!
1 Comment » | Posted in Ingenieria Social, Mercado, Normativas, Sociedad | del.icio.us |
1 Comment so far
Leave a reply
Últimas entradas
- Negocio y TI (II)
- Negocio y TI
- Contratación en la Nube: El Ayuntamiento de los Ángeles y Google
- ISACA International Conference (Cancún, México)
- Conferencias ISSA España: Jueves 15 de Abril
- Publicado el Borrador del Real Decreto sobre Protección de Infraestructuras Críticas
- 322 Días Después…
- Gobernanza de TI en Breve
- Cuando la Autenticación es Importante
- La Nube es a las Infraestructuras Gestionadas lo que Guitar Hero es al Karaoke…
Lo de la limpieza ha sido un ejemplo clave, sin duda. No es la primera vez que una amistad me dice que su tía, que trabaja en EULEN Limpieza ve como, por ejemplo, los curriculum de las mujeres son tirados directamente a la basura. Lo del CPD no se… jamás vi limpiar uno… la verdad. No van a mayor presión para que no entre polvo?
Ultimamente estás planteando cosas interesantes