Secretos y su Protección
Seguridad Documental,
herramienta eficaz para la Integridad y Veracidad de la Información
El articulo Motivo de Contraespionaje, en su parte última, orientaba sobre las líneas de trabajo para cómo conformar el contraespionaje en las organizaciones, entre las que se planteaba entre otras, la necesidad de disponer de un sistema de seguridad documental.
Éste, trata de los métodos para asegurar los secretos y la información crítica, optimizar la cadena de custodia y evitar la cadena de fallos. Es decir, desarrolla, cómo proteger los documentos valiosos, en la práctica.
Secretos y su Protección [i]
Si la publicidad ha de ser característica de la actuación de los órganos del Estado (porque las cosas públicas que a todos interesan pueden y deben de ser conocidas), es innegable la necesidad de imponer limitaciones. Cuando precisamente de esa publicidad puede derivarse perjuicio para la causa pública, la seguridad del mismo Estado o los intereses de la colectividad. Destacan por su especial importancia aquellas cuestiones cuyo conocimiento por persona no autorizada pueda dañar o ponga en riesgo la seguridad del Estado o los intereses fundamentales de la nación y que constituyen los verdaderos secretos oficiales, protegidos por el código penal.
Las sanciones penales, sólo de forma indirecta por medio de la intimidación, protegen el descubrimiento o revelación de secretos. Las medidas de protección eficaces son las que la propia Administración y los responsables de la custodia y reserva de los secretos han de establecer para garantizar que los documentos o materiales en que físicamente se reflejan los secretos, no puedan ser conocidos más que por aquellas personas que, por razón de su cometido, estén autorizadas para ello.
Violación de secretos
Las diferentes legislaciones penales, mercantiles, de telecomunicaciones, etc., tratan sobre descubrimiento, revelación y cesión de secretos y datos reservados, sin autorización, con ánimo de obtener provecho propio o de un tercero o perjudicar al titular, lo que incluye la adquisición de secretos por medio de espionaje o procedimiento análogo.
También se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales, tecnológicos, o de cualquier otra especie de secretos a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de infringir normas o de conductas ilícitas.
En este mismo sentido, las Normas para la Protección de la Información Clasificada https://www.cni.es/comun/recursos/descargas/Normas_de_la_Autoridad_Nacional_para_la_Proteccion_de_la_Informacion_Clasificada.pdf, consideran el Comprometimiento de la Información clasificada, como: “cualquier violación o fallo de la seguridad que acontece como una acción u omisión que infrinja las normas de seguridad establecidas y que puede poner en riesgo la integridad, confidencialidad o disponibilidad de dicha información. Ello incluye el acceso de personas no autorizadas a la información clasificada o a las zonas donde se maneja la misma”
En términos concretos una u otra normativa contempla las siguientes obligaciones: 1) La obligación de no revelar secretos ajenos y la de guardar el debido sigilo o reserva de los que tenga conocimiento por razón de su oficio o sus relaciones laborales. 2) La obligación de no descubrir, revelar o ceder datos reservados, de personas jurídicas o físicas, sin el consentimiento de sus representantes, salvo lo dispuesto expresamente para ello por la ley.
Pero la obligación en la protección de los secretos y la información sensible, no se limita a la existencia de normas y planes de seguridad aplicables, o en el simple cumplimiento de las mismas, sino se han realizado por parte de los responsables de su custodia, todos los esfuerzos para protegerla. “Las conductas y hechos punibles cometidos en las empresas, por sus administradores o por cualquier empleado, pueden dar lugar a responsabilidad civil, penal y de todo orden; si pudiéndolo evitar y remediarlo, las empresas, no hubieran adoptado medidas para ello”
Seguridad Documental [ii]
Cómo proteger los documentos valiosos
Cómo evitar la cadena de fallos…
Cómo interactuar en la cadena de custodia…
Materializadas las ideas relevantes y los secretos en soportes físicos, informáticos o de cualquier otra naturaleza (manuscritos, notas de trabajo, planos, diseños, bocetos, proyectos, fotografías, grabaciones, películas, moldes, CD, DVD, memoria USB, etc.), es decir, en documentos, éstos deben de ser protegidos ante posibles riesgos: daños accidentales y electroestáticos, el fuego, el robo, la negligencia en su trato, la indiscreción…, y especialmente, en cuanto a restricción de acceso a sus contenidos y a sus lugares de custodia.
También deben protegerse aquellos otros soportes originales (evidencias y pruebas documentales, escritos y muestras para análisis e investigación, ficheros de datos, relaciones de claves, impresos timbrados sin escribir, talonarios de cheques en blanco, tarjetas de crédito y códigos alfanuméricos sin asignar, etc.) factibles de sufrir manipulación fraudulenta, falsificación o alteración sus contenidos y aplicaciones, ser descubierta su existencia, contenidos o protocolos de seguridad, o sencillamente, ser robados y destruidos.
El alcance de la protección de los documentos debe extenderse tanto a las personas, locales, equipos, programas informáticos y sistemas de información y comunicación, como a los procesos de elaboración y manipulación, a los prototipos, reproducciones, copias y duplicados, a la entrada, salida y distribución, al envío y transporte, a la transmisión, la cesión temporal, a la custodia, inventario y archivo, y a la destrucción.
La cesión temporal de documentos confidenciales tanto para su uso en proyectos o actividades por terceros (subcontratistas o servicios externos de “outsourcing”), como para grafoanálisis, psicodiagnósticos por escritura u otros exámenes y peritajes, debe ser autorizada y regirse según normativa de seguridad. El deber de custodia y secreto se extiende a dichos usuarios autorizados desde su aceptación, incluso, hasta después de la entrega del objeto del contrato o finalizado el servicio.
En cualquier caso, se debe mantener el control y la gestión de los documentos, identificando y clasificando aquellos más importantes a proteger, fijando niveles de distribución y de acceso, ejerciendo una selección de personal basada en criterios de confianza y compromiso, especificando responsabilidades y procedimientos, y efectuando auditorias e inspecciones y controles de seguridad periódicos.
Aquellos documentos que por especial relevancia y cuyo descubrimiento o revelación pueda ocasionar perjuicios o comprometer intereses fundamentales, deben aplicárseles específicas medidas de custodia y secreto. En definitiva, asegurar el adecuado tratamiento y conseguir las condiciones de seguridad necesarias, que garanticen la confidencialidad, la integridad y la disponibilidad. Esto incluye, la adopción de controles de identificación de defraudaciones y cuantas medidas de seguridad organizativas y técnicas, sean aplicables.
En el caso de pruebas documentales y demás documentos originales y muestras para investigación y evaluación técnica, así como de los análisis y dictámenes resultantes, la adopción de cautelas y salvaguardas permitirán preservar no sólo su integridad, sino la autenticidad y validez, evitando se pongan objeciones a su admisibilidad ante investigaciones, autoridades y tribunales.
Lo prioritario. Habilitar un entorno necesario de seguridad y de niveles de restricción de información, y adaptarse a la legislación en estas materias. La primera medida en esa línea, es de índole organizativa y corresponde en formalizar la política de seguridad integrada que proteja las distintas clases de información sensible: documentos y efectos valiosos, muestras, evidencias y pruebas confidenciales, secretos industriales, tecnológicos o corporativos, datos de carácter personal reservados, etc. así como las telecomunicaciones propias.
Organizaciones formalizadas. De acuerdo con la expresada necesidad de seguridad y con objeto de evitar cualquier violación de protección, es preciso disponer de una estructura de protección de la información valiosa, cuya función sea parte principal y no un cometido accesorio, dirigido por un gestor de la información y responsable de su seguridad (una adecuada convergencia de seguridad, aconseja que éste sea el Director de Seguridad corporativo).
Profesionales independientes. Ante la dificultar de mantener una estructura estable de seguridad y no disponer de personal idóneo, los profesionales autónomos implicados en una “cadena de custodia”, como depositarios de documentos y conocedores de secretos, deben de asumir aquellas estrategias y cometidos más significativos de “seguridad documental” que garanticen su custodia y reserva, y le salvaguarde ante posibles responsabilidades profesionales, administrativas, civiles o penales.
En resumen, para proteger los documentos valiosos, las medidas de protección deben de contemplar los principios, la forma y la estructura específica para protegerla; así como unas normas organizativas y técnicas acerca de la seguridad en el personal, la seguridad física, la seguridad de la información, la seguridad en los sistemas de información y comunicaciones, y la seguridad industrial y tecnológica, y demás medidas y contramedidas de seguridad y contraespionaje aplicable.
Tratamiento y seguridad de documentos. Cómo hacerlo
1 Elaboración.
La elaboración y manipulación de documentos sensibles se limitará a al personal expresamente autorizado y cualificado. Éste, deberá conocer su responsabilidad, tener firmados compromisos de seguridad o cláusulas contractuales de confidencialidad y adoptar las pertinentes medidas de custodia y secreto. Las medidas deben incluir no sólo la protección física y la destrucción sistemática de borradores o material inutilizado, sino precauciones contra revelación o cesión no autorizada de datos, contra alteraciones y pérdidas negligentes o fraudulentas, y muy especialmente, cautelas contra indiscreciones o descuidos que eviten el descubrimiento de la existencia y contenidos.
2 Clasificación y desclasificación.
Cada documento dependiendo de la criticidad de sus contenidos y la posibilidad de sufrir riesgos, precisa le sea asignado el grado y nivel de protección conveniente; así como, las circunstancias añadidas: periodo para su desclasificación si procede, personas que tienen acceso y demás restricciones.
3 Reproducciones, copias y duplicados.
Precisan autorización expresa del propietario o responsable. Las copias y fotocopias autorizadas de documentos, tendrán el mismo tratamiento y control que si fuesen originales. En el caso de impresión de documentos en talleres de imprenta o fotocopiado, se mantendrá su protección y vigilancia mientras dure su elaboración, bien por el responsable de su seguridad o por el contratista que realiza la impresión.
4 Acceso a documentos y contenidos.
Sólo tendrá acceso el personal debidamente autorizado; existirá un registro actualizado de identificación y control de usuarios.
5 Agrupación de documentos según los grados y niveles de protección.
Para su mejor control y custodia, los documentos se agruparán según la clasificación que corresponda; en el caso de coincidir documentos de distinto nivel de protección, se aplicará la que corresponda al de mayor grado.
6 Identificación y Marcas.
Todo documento que precise de especial reserva, llevará de forma visible marca o sello específico que indique el grado de seguridad asignado
Al igual que los billetes incorporan elementos de seguridad (marca de agua, hilo de seguridad, holograma, tinta de color variable, banda iridiscente…) en sus sistemas de impresión, en el papel y en los dibujos, que ayudan a detectar ejemplares falsos. Estos elementos, también pueden ser utilizados (bien en su totalidad o en parte, debido a su elevado coste), a diversos medios de acreditación, de pago, impresos y demás soportes de información que una vez escritos o grabados se conviertan en documentos de uso; autentificando con ello al original y dificultando su copia o falsificación.
7 Registro, Recuento y Salvaguardia.
(Registro, auditorias y controles). Por el propietario o por el personal específico de seguridad documental, se llevará de forma actualizada:
- un Inventario de los documentos y del personal autorizado;
- un Registro formalizado de entradas y salidas de documentos que permita conocer entre otras circunstancias de control el emisor o destinatario, tipo de información y soporte, y fecha y persona responsable recepción o entrega; y
- una Vigilancia, custodia y control sistemático sobre los documentos y personal usuario y los locales y equipo utilizado.
8 Envío, transporte o transmisión.
De estas acciones quedara constancia registral, así como de circunstancias de gestión tales como: orden de traslado, fecha y forma de envío, medio utilizado, identificación de emisor y destinatario, persona responsable del transporte, recepción o entrega.
Cuando el envío de un documento se efectúa por correo o mensajería, éste irá protegido, contra su lectura y manipulación, por dos envueltas, ya sea por medio de sobres o de paquetes. La envuelta externa, no figurará signo alguno del nivel de seguridad del documento que contiene el paquete o sobre interno. Para complementar la protección, especialmente de documentos secretos, debe de utilizarse sobres o envoltorios opacos con especiales características de seguridad contra apertura y manipulación fraudulenta.
Entre los procedimientos de envío más seguros destacan: los que se realizan por contacto directo entre personal de seguridad; la transmisión cifrada; el empleo de mensajeros propios con garantías de discreción y reserva; los servicios de mensajería de confianza; y el correo certificado. En cualquier entrega de documentos se expedirá o requerirá recibo.
El uso de telecomunicaciones (radio, teléfono, fax, Internet…) para la transmisión de textos y datos, no debe de emplearse, salvo que se disponga de medios y herramientas de seguridad y la red segura. Ejemplo de herramientas de seguridad informática para comunicaciones electrónicas/Internet: Security scanners, Firewalls, Antivirus, anti-Spyware, anti-Spam, Privacy service, Criptografía, Firma electrónica, etc., etc…
9 Custodia y Archivo. Seguridad en locales
El archivo de documentos y su acceso se autorizará o denegará en función de protocolos específicos. Cualquier local en que se trate o almacene documentación sensible deberá disponer de los medios de seguridad necesarios (protección física, seguridad informática, contra incendios, contra el espionaje tecnológico, dispositivos contra fallos eléctricos, causas del medio físico o natural, etc.); así como aplicarse medidas de vigilancia y control acordes al tipo de riesgo y al nivel de protección considerado.
10 Destrucción.
El control de los documentos permanece incluso cuando sea precisa su destrucción, tras haber perdido interés. Se utilizarán métodos seguros que impidan su recuperación o recomposición parcial o total, comprobándose la realidad de su destrucción total. Posteriormente, se levantará acta con especificación de los motivos y circunstancias. Existirá un procedimiento para casos de peligro y urgencia.
11 Extravío y Recuperación.
En ambos casos se dará cuenta al personal responsable de la custodia de los documentos para su registro de incidencias, control de los documentos y posible investigación.
Otras consideraciones acerca de tratamiento y custodia:
Secretos, documentos e información reservada. (También, datos de carácter personal “especialmente protegidos”).
Siempre que se trate o almacene documentos y datos de la citada naturaleza, deberá tenerse establecidas medidas de seguridad, acordes a la naturaleza de la información, a los riesgos a que está expuesta (ya provengan de la acción humana, o del medio físico o natural) y a las consecuencias de la incidencia en su descubrimiento y seguridad.
Precauciones para preservar la veracidad y validez de documentos. Originales y “muestras”.
Cualquier actividad que pueda generar incidencia o perjuicio a los soportes documentales y sus contenidos, así como muestras, evidencias y pruebas, ha de realizarse con precaución, preservado la integridad de los mismos e impidiendo la alteración, desperfectos, pérdida, descubrimiento, cesión o tratamiento no autorizado. Ello evita objeciones a su admisibilidad ante Investigaciones y Juicios.
Cautelas y Salvaguardas a adoptar especialmente por los Analistas de documentos: No alterar, no manipular, no ceder a terceros (ni originales, ni copias de trabajo. Adoptar medidas de control y seguridad desde el primer momento de la investigación.
Cadena de custodia. Esquema de funcionamiento en la protección de documentos:
1) Propietario o responsable de la información documental: dicta normativa, clasifica y autoriza acceso, desclasifica y autoriza destrucción.
2) Responsable de seguridad o servicio de protección: Ejecuta procedimientos de seguridad (incluido la destrucción), supervisa el cumplimento de la protección en todos los niveles de la organización; inspecciona y audita el sistema de seguridad; informa de situación al propietario.
3) Usuarios autorizados (responsables del tratamiento/uso): – El acceso a la información es autorizado en función de la “necesidad de saber” y no exclusivamente del cargo – Utilizan la información según normativa- No autorizan- No destruyen – No desclasifican- Informan al servicio de protección y al propietario de las incidencias
4) Personal NO autorizado: – No pueden acceder sin consentimiento expreso del propietario o responsable. – Deben conocer la normativa de protección y las responsabilidades de contraen si acceden a ella. – Informan al servicio de protección y al propietario de la “necesidad de saber” e incidencias.
Jesús Villasante.
Asesor en asuntos de Inteligencia y Seguridad
Comandante de Artillería (en la reserva)
[i] Jesús Villasante. Secretos y su protección. Periódico Empresarial Europeo, abril 2002
[ii] Jesús Villasante. Cómo proteger sus documentos valiosos. Periódico Empresarial Europeo, mayo 2002
