La entrada en vigencia del Reglamento General de Protección de Datos (GDPR), el último 25 en mayo, finalmente definió a nivel europeo la delicada cuestión relacionada con la gestión de datos que las empresas privadas y los organismos públicos tratan diariamente.
Durante muchos años, la legislación ha permitido a los países individuales implementar regulaciones a nivel puramente nacional que, aunque rígidas y claras, no estaban adecuadamente armonizadas para abordar el largo proceso de globalización. Esto podría generar fallas en el sistema o una definición poco clara de responsabilidades que obviamente condujo a una protección inconsistente de los sujetos.
Hoy en día, los empleados de cualquier nivel y responsabilidad deben conocer la legislación y adoptar comportamientos y procesos que protejan la información personal de los clientes, proveedores y empleados de la mejor manera posible.
Sin entrar en las bases normativas bien conocidas, y en las consecuencias que pueden derivarse de una gestión incorrecta de los datos o los sistemas utilizados para almacenarlos (el robo de los mismos datos o su uso con fines ilícitos son solo dos ejemplos derivados de una gestión incorrecta), Es importante subrayar que no solo los aspectos relacionados exclusivamente con el entorno informático pueden castigarse con ataques.
Con demasiada frecuencia es una opinión común que los ataques solo pueden provenir de la red, por ejemplo a través de un mal funcionamiento del sistema de protección contra intrusos (firewall), pero es bueno recordar que la información no circula exclusivamente a través de correos electrónicos o redes sociales. Red pero también en papel (copias de archivos y fotocopias son dos ejemplos).
Los sistemas multifuncionales y las impresoras forman parte integrante del proceso administrativo y de comunicación. En general, están interconectados a la red y generan, crean y administran información como una computadora personal. Precisamente por este motivo, deben ser objeto de atención y protección adecuadas, ya que el documento impreso contiene la misma información personal que el archivo, información muy importante desde un punto de vista legal y, por lo tanto, protegido. Además, es necesario tener en cuenta que incluso hoy en día el documento en papel se utiliza para almacenar y gestionar la información más importante.
Por lo tanto, es suficiente olvidar cualquier documento en la bandeja de salida del papel, o dejarlo solo durante unos minutos antes de recogerlo, para poner en riesgo los datos de la empresa o de las personas que trabajan allí. Cualquiera puede leer el contenido y usar esa información confidencial para fines personales, dañando, incluso involuntariamente, a la persona involucrada o causando daños a la empresa propietaria de los datos.
Teniendo en cuenta que, en muchos casos, los periféricos personales son suplantados por sistemas departamentales que atienden a grupos de personas más o menos grandes para las necesidades de optimización de costos, la gestión correcta de los sistemas de impresión es aún más importante ya que más personas comparten la misma herramienta. por lo tanto, será necesario tener más cuidado para dejar claro quién es el responsable de un proceso de prensa.
Un simple ejemplo de lo que puede pasar:
El sujeto A, al que llamamos Antonio por conveniencia, imprime su comprobante de salario, la impresión se deposita regularmente en la bandeja multiusos ubicada en el corredor. Al mismo tiempo, el sujeto B, Bruno, está haciendo una fotocopia y por error junto con su paquete también recoge el comprobante de su colega.
Bruno descubre que Antonio gana mucho más que él y usa esta información para su beneficio o simplemente la divulga a otros.
Antonio sufre daños (los datos financieros se consideran "sensibles") y pueden informar el hecho. La empresa, si participa, debe demostrar que ha puesto a disposición de los empleados las herramientas y los procesos para evitar estas situaciones.. Sin duda, Bruno estará sujeto a sanciones, y la empresa tendrá que demostrar que el sistema de gestión de impresión fue diseñado correctamente.
El cumplimiento del Reglamento GDPR exige a las empresas, entre otras cosas, este último aspecto o el uso de procesos y sistemas para evitar el robo de información personal de terceros.
Pero luego, dada la relevancia del problema, ¿cuáles son los pasos principales que deben implementar las empresas e instituciones para lograr el cumplimiento del GDPR en relación con sus sistemas de impresión?
Siguiendo el flujo lógico de operaciones, es fundamental que los pasos básicos de 3 se mantengan bajo control, que simplemente resumimos a continuación:
1. INFRAESTRUCTURA DE RED SEGURA
Es esencial que la infraestructura de la red sea segura y controlada, después de lo cual los dispositivos de impresión deben adoptar sistemas que garanticen la protección, como la autenticación del usuario, la eliminación de datos latentes en el disco duro, la comunicación de red cifrada y el cifrado de datos nativos. Por último, pero no menos importante, la adopción de un software especial que hace que el proceso de impresión sea seguro.
2. FLUJOS DE IMPRESION SEGURA
Las impresiones deben ser publicadas por el sistema de impresión solo en presencia del usuario que tendrá que autenticarse (mejor con la autenticación a factores 2), ingresando en el nombre de usuario y la contraseña de la pantalla o incluso a través de la credencial de la empresa. El usuario también tendrá que esperar hasta el final de su impresión para recoger los documentos, evitando dejar cualquier tipo de información desatendida en la bandeja de entrega. También es importante que el software de administración de colas de impresión también maneje los errores de la impresora, evitando que un documento se libere inesperadamente luego de la resolución de cualquier tipo de falla.
3. TRAZABILIDAD DE OBRAS COMPLETAS
Para redescubrir cualquier evento, es esencial realizar un seguimiento de los trabajos de impresión con registros e informes especiales de computadora que contienen todos los datos relacionados con el documento mediante el uso de un software de administración específico. El software de administración centralizada y los informes relacionados también deben permitir la eliminación de cualquier información de un usuario determinado en caso de que se solicite la solicitud del derecho a ser olvidado.
Como un factor de seguridad adicional, es posible usar marcas de agua y firmas digitales en el documento, identificar directamente la fuente y almacenar en un servidor seguro una copia de cada impresión producida para obtener un registro histórico completo y preciso.
Para concluir: Todos deben usar sistemas de impresión seguros, pero en algunas organizaciones no pueden prescindir de ellos. Algunos ejemplos son los bancos, la defensa y todas las actividades relacionadas, los organismos gubernamentales y también todas las empresas que operan cada vez más en el campo del comercio electrónico. En estos entornos es importante utilizar sistemas certificados. El más reciente es el HCD PPV1 que impone estrictos estándares de cumplimiento, recientemente adoptados por los sistemas Sharp.
Naturalmente todo esto no se puede improvisar de la noche a la mañana.
De hecho, además del conocimiento de los procesos internos de la empresa, es necesario dominar las normas internacionales de seguridad.
Para obtener más información:
https://www.sharp.it/cps/rde/xchg/it/hs.xsl/-/html/information-security.htm
(foto: web / Ejército de EE. UU.)
