Política de escritorio limpio y pantalla limpia

La Política de escritorio limpio y pantalla limpia (P10) establece controles rigurosos para garantizar que la información sensible esté protegida frente a acceso no autorizado, divulgación, pérdida o robo en cualquier entorno de lugar de trabajo físico o híbrido. Apoya obligaciones de cumplimiento reconocidas globalmente como ISO/IEC 27001:2022 (especialmente las cláusulas que abordan la seguridad física y el comportamiento consciente de la seguridad), artículos del GDPR sobre protección de datos y confidencialidad, y otros marcos, incluidos NIST SP 800-53, EU NIS2, EU DORA y COBIT 2019. Esta política tiene un alcance amplio y se aplica de forma universal a empleados permanentes y temporales, contratistas, proveedores terceros de servicios e incluso visitantes que puedan tener acceso a espacios de trabajo confidenciales. Regula estrictamente la conducta en despachos individuales, espacios abiertos, salas de reuniones y entornos de trabajo remotos o híbridos como el hot-desking. El objetivo es estandarizar el comportamiento seguro para que todo el personal, independientemente de su función o ubicación de trabajo, deba adherirse a las mismas reglas para salvaguardar la información. Se establecen requisitos claros tanto para medios físicos como tecnológicos de control. Los usuarios deben mantener los escritorios libres de documentos sensibles expuestos, bloquear pantallas antes de ausentarse, almacenar o eliminar de forma segura materiales confidenciales y no dejar credenciales o dispositivos desatendidos. Se exige a Operaciones de TI configurar los sistemas con temporizadores de bloqueo de pantalla establecidos en un máximo de 5 minutos, desplegar filtros de privacidad en zonas de alto tránsito e implementar aplicación técnica para todos los endpoints. Los equipos de Gestión de instalaciones y activos y Seguridad del acceso físico proporcionan almacenamiento con cierre, destructoras y señalización clara, además de realizar recorridos periódicos de cumplimiento y gestionar los incumplimientos. Las responsabilidades de aplicación y supervisión se distribuyen entre la alta dirección, el Director de Seguridad de la Información (CISO)/Responsable del SGSI, Gestión de instalaciones y activos, Operaciones de TI y los superiores jerárquicos, garantizando un enfoque por capas de rendición de cuentas. La política exige un programa de formación sólido, incorporación y formación de actualización periódica para educar a todo el personal sobre los riesgos asociados a la información sensible desatendida. Auditorías periódicas, seguimiento de métricas de cumplimiento (como incumplimientos observados y registros de finalización de la formación) y rutas de escalado estrictas para el incumplimiento, incluidas medidas disciplinarias de Recursos Humanos (RR. HH.), demuestran un compromiso con la disciplina operativa y la preparación legal. También existen procesos de Gestión de excepciones y Aceptación del riesgo residual, que requieren aprobación avanzada, documentación y controles adicionales para cualquier desviación. De forma integral, esta política unifica el comportamiento del usuario, el diseño del espacio de trabajo, la aplicación técnica y los procesos de auditoría en un marco repetible vital para la resiliencia organizativa y el cumplimiento normativo. Todas las actualizaciones están sujetas a requisitos de revisión y actualización, se comunican a través de canales oficiales y requieren un nuevo acuse de recibo de la política. Las políticas alineadas sobre política de seguridad de la información, Gestión de riesgos de seguridad de la información, Manejo de datos, Clasificación de datos, Política de conservación de datos, eliminación y Seguimiento refuerzan aún más el sistema general de Gobernanza.