2.3.1.2. Destrucción

Sin adecuadas medidas de seguridad la institución puede estar a merced no solo de la destrucción de la información sino también de la destrucción de sus equipos informáticos. La destrucción de los equipos puede darse por una serie de desastres como son: incendios, inundaciones, sismos, posibles fallas eléctricas o sabotaje, etc.

Cuando se pierden los datos y no hay copias de seguridad, se tendrá que recrear archivos, bases de datos, documentos o trabajar sin ellos.

Esta comprobado que una gran parte del espacio en disco esta ocupado por archivos de naturaleza histórica, que es útil tener a mano pero no son importantes para el funcionamiento normal. Un ejemplo típico son las copias de la correspondencia conservados como documentos de referencia o plantilla. Si se guarda una copia de seguridad de estos archivos las consecuencias de organización pueden ser mínimas.

Los archivos Electrónicos Contable son de disposición diferente, ya que volver a crearlos puede necesitar de mucho tiempo y costo. Generalmente la institución recurre a esta información para la toma de decisiones.

Sin los datos al día, si el objetivo se vería seriamente afectado. Para evitar daños mayores se hacen copias de seguridad de la información vital para la institución y se almacenan en lugares apropiados (de preferencia en lugar externo a las instalaciones).

Hay que protegerse también ante una posible destrucción del hardware o software por parte del personal no honrado. Por ejemplo, hay casos en la que, trabajadores que han sido recientemente despedidos o están enterados que ellos van a ser cesados, han destruido o modificado archivos para su beneficio inmediato o futuro. Depende de los Jefes inmediatos de las áreas funcionales dar importancia a estos eventos, debiendo informar al Jefe del CIT para el control respectivo.

2.3.1.3. Revelación o Deslealtad

La revelación o deslealtad es otra forma que utilizan los malos trabajadores para su propio beneficio. La información de carácter confidencial es vendida a personas ajenas a la institución. Para tratar de evitar este tipo de problemas se debe tener en cuenta lo siguiente:

 Control de uso de información en paquetes/ expedientes abiertos, cintas/disquetes y otros datos residuales. La información puede ser conocida por personal no autorizadas.

 Se deben tomar medidas para deshacerse del almacenaje secundario de información importante o negar el uso de esa a aquellas personas que pueden usar mal los datos residuales de estas.

 Mantener información impresa o magnética fuera del trayecto de la basura. El material de papel en la plataforma de descarga de la basura puede ser la fuente altamente sensitiva de recompensa para aquellos que esperan el recojo de la basura. Para tener una mayor seguridad de protección de la información residual y segregada, esta deberá ser destruida, eliminada físicamente, manualmente o mecánicamente (picadoras de papel).

 Preparar procedimientos de control para la distribución de información. Una manera de controlar la distribución y posible derivación de información, es mantener un rastro de copias múltiples indicando la confidencialidad o usando numeración como “pag 1 de 9”

Desafortunadamente, es muy común ver grandes volúmenes de información sensitiva tirada alrededor de la Oficinas y relativamente disponible a gran número de personas.