Título: Seguridad de la Información

Para los profesionales del derecho han finalizado las vacaciones estivales e inicia el
nuevo año, y es que para nosotros el año laboral empieza en el mes de septiembre y
finaliza en el de agosto, y durante esos, a veces, largos meses estamos concentrados en
nuestro trabajo, que no es sólo redactar escritos, sino también encontrarlos en nuestros
ordenadores, en nuestros programas de gestión, y luego en papel, aunque los tiempos
cambian y estamos en la era de las nuevas tecnologías, continuamos "cogidos" por el
papel.
Sea como sea, debemos de tener en cuenta que la documentación que nos notifican por
medios electrónicos, la que remitimos al procurador debe de integrarse en un sistema de
gestión de la información que preserve la confidencialidad, proteja los datos personales y
dé confianza a nuestros clientes, dispongamos con prontitud de la información; y todo
ello, desde la seguridad e integración en los procesos organizativos y la estructura de
nuestro despacho, y siempre de acorde con las necesidades y capacidad del mismo.
El propósito de establecer, implementar, mantener y mejorar constantemente nuestro
sistema de gestión de la información es conocer, gestionar y minimizar los riesgos de
seguridad.
Uno de los primeros objetivos es conocer nuestras brechas de seguridad, y para ello
debemos conocer cuáles son los mecanismos de acceso a los dispositivos, servicios y
aplicaciones, garantizando la autenticación del usuario, para lo cual debemos de
establecer y documentar un procedimiento para habilitar, revocar las credenciales y los
permisos de acceso, y es que el usuario identifica y la contraseña autentica, por lo que
aquellas contraseñas que sean deficiente (ejemplo: nombre de hijos, mascota, fecha de
nacimiento o matrimonio de padres, de hijos o de nosotros mismos, un número previsible
como 1234567, número del DNI, días de la semana o del mes, etc.) o que estén mal
custodiadas (ejemplo: en un Post-it en la pantalla del ordenador, en una libreta al acceso
de cualquier empleado, en una tarjeta de visita, compartir contraseñas con otros
empleados para poder acceder a sus dispositivos, etc.) favorecerán el acceso y en
consecuencia el uso no autorizado a los datos.
Frente a ello, deben de garantizarse unas buenas prácticas para fortalecer nuestras
contraseñas; y así, actualizarlas periódicamente, no utilizar las contraseñas que se nos
remiten por defecto, sino cambiarlas, memorizarlas, y es que no tenemos porque no usar
una contraseña fuerte de difícil memorización, ciertamente accedemos a multitud de

Fecha de impresión: 11/04/19 Document1

Pág.: 1 de 3
 Título: Seguridad de la Información
dispositivos y servicios que nos solicitan la contraseña, lo cual no está reñido con el hecho
de que podamos memorizar un grupo de contraseñas a partir de la reglas mnemotécnicas
asociativas, un ejemplo sería señorcarabebamg, y la contraseña: SrCaRaBeBaMg_50
(elementos químicos de la tabla periódica), y ¿qué hacer cuando debamos actualizarla?
pues, o bien cambiar los elementos químicos (señorconina: SrCoNiNa_28) o cambiar la
regla mnemotécnica.
La política de contraseñas debe estar documentada, al alcance de todos los empleados
(principio de disponibilidad), y debe, sobre todo, cumplirse, por lo que deberemos auditar
periódicamente el cumplimiento de la política de contraseñas, para asegurar que el
sistema de gestión de la seguridad de la información consigue los resultados previstos,
prevenir o minimizar los efectos no deseados y evaluar la eficacia de las acciones
preventivas y correctivas para tratar los riesgos.
En cuanto a los controles de la política de contraseñas podemos clasificarlos en dos
niveles:
 Básico, en el que el esfuerzo y los recursos necesarios para implantarlo son
asumibles. Es el uso de la lógica y de las herramientas de seguridad que incorporan
nuestros sistemas y aplicaciones, o bien que exige nuestra política de seguridad; y así:
 Documentar el historial de contraseñas para no repetir la contraseña, al menos las
últimas cuatro.
 Diferenciar la anterior de la posterior.
 Fijar una duración máxima o vencimiento de la contraseña para su cambio, por
ejemplo tres meses o mensualmente.
 No contener el login o usuario de acceso.
 No repetir la contraseña
 Establecer una longitud mínima y unos parámetros (ejemplo: que sea
alfanumérica, que contenga una o dos mayúsculas.
 Avanzado, en el que tanto el esfuerzo como los recursos necesarios requieren de
software específico, unas veces ya incorporado a nuestros programas de gestión, otras
veces externo de creación, notificación de vencimiento, sincronizador de contraseñas,
liberando al usuario de tener que recordar múltiples contraseñas. Se pueden precisar
mecanismos de recuperación ante fallos.

Fecha de impresión: 11/04/19 Document1

Pág.: 2 de 3
 Título: Seguridad de la Información
Y sobre todo no facilitar la contraseña bajo ningún caso a personal externo o interno,
y cuanto menos por teléfono o email, si el técnico en informática desea realizar
instalaciones de programas en nuestro dispositivo seremos nosotros, en cualquier caso,
quienes escribamos la contraseña.
Dejo aquí un enlace bajo el título: Política de seguridad de protección de datos
realizado para el presente artículo sobre protección de datos y política de seguridad de la
información, por si es de vuestro interés
http://prezi.com/jznparbsnrc1/?utm_campaign=share&utm_medium=copy

Fecha de impresión: 11/04/19 Document1

Pág.: 3 de 3