Para las empresas, así como para otros tipos de organizaciones, la seguridad de los documentos es una preocupación latente, ya que es uno de los activos más preciados de una empresa, y más aún cuando hablamos de datos sensibles como nóminas, contratos, trámites o facturas. En este artículo, hablaremos de los aspectos mas importantes de la seguridad de los documentos que deben tenerse en cuenta a la hora de usar un software de gestión documental.
La seguridad de los documentos en un sistema de gestión documental basado en el papel suele lograrse limitando el acceso a los mismos. Sin embargo, restringir el acceso a todos y cada uno de los documentos puede llevar mucho tiempo y provocar retrasos en la toma de decisiones estratégicas clave que requieren un acceso inmediato a los papeles. Por estas razones, una solución de seguridad con estas capacidades no es lo suficientemente ágil.
Adicionalmente, al manejar registros en papel toda nuestra información está expuesta a catástrofes como lo puede ser un incendio, en la cual perderíamos gran parte de nuestros documentos sin tener una copia de seguridad de los mismos.
A la hora de trabajar y tomar decisiones, un sistema de gestión documental basado en documentos electrónicos mejorará considerablemente la seguridad de la información de la empresa y, en consecuencia, su funcionamiento.
El acceso a las carpetas y papeles secretos puede restringirse en un sólido sistema de documentos digitales mediante la restricción electrónica del perfil del empleado con niveles de permiso o mediante contraseña. Sin embargo, un sistema de seguridad basado únicamente en los permisos no garantiza la protección de los documentos.
Gran parte de los documentos digitales son almacenados actualmente haciendo uso de servicios en la nube como OneDrive, Google Drive, DropBox, entre otros. Es decir, todos estos archivos están alojados en Internet, donde prosperan los hackers, los virus, el malware y otras amenazas de las que debemos ser conscientes.
Sin importar el tamaño de la empresa, usted se puede encontrar expuesto a ciber ataques como por ejemplo el robo de datos, el espionaje industrial y el sabotaje. Según el estudio "The Cost of Data Breach Study: Global Analysis", el coste medio de cada registro perdido o robado es de 148 dólares.
El software de gestión de documentos, al consolidar una gran parte de los documentos críticos de una organización, requiere un cuidado especial. Por ello, las empresas deben contar con buenos procedimientos de seguridad documental para salvaguardar sus datos.
Antes de explicar los aspectos más importantes de la seguridad de los documentos, es necesario entender cuáles son los tipos de ciberataques que se pueden llevar a cabo contra una empresa:
El phishing consiste en robar información sensible como nombres de usuario, contraseñas y datos de tarjetas de crédito haciéndose pasar por una entidad o persona de confianza. Esto se suele hacer a través de correos electrónicos que solicitan este tipo de información y que parecen proceder de una fuente legítima.
El spyware es un software que se instala en un ordenador sin el consentimiento del usuario con la intención de obtener datos sensibles como contraseñas, números de tarjetas de crédito o información de cuentas bancarias. Este tipo de malware también puede rastrear las pulsaciones del teclado, hacer capturas de pantalla y grabar conversaciones.
El adware es un tipo de malware que muestra publicidad no solicitada en el ordenador del usuario. También puede rastrear la actividad de navegación y recopilar información personal como direcciones de correo electrónico, números de teléfono y direcciones de casa.
El ransomware es un tipo de malware que cifra los archivos del ordenador infectado y luego exige un rescate para desencriptar los archivos.
Un gusano es un tipo de malware que puede replicarse a sí mismo y propagarse de un dispositivo a otro sin interacción humana. Los gusanos suelen utilizarse para realizar ciberataques como la denegación de servicio o el robo de datos, entre otros.
Después de conocer los tipos de ciberataques que existen, a continuación se detallan los 8 aspectos más importantes de la seguridad de los documentos que deben tenerse en cuenta a la hora de evaluar qué tan seguros están sus documentos en su gestor documental.
Una de las medidas de seguridad más básicas es disponer de contraseñas fuertes y exigir a los usuarios que se autentiquen antes de acceder a los documentos. De este modo, aunque alguien consiga robar la contraseña, no podrá acceder a los documentos sin la debida autenticación.
Adicionalmente, se puede brindar la posibilidad de forzar el reseteo de contraseñas y capacidad de utilizar certificados digitales para asegurar la identidad del usuario.
Custodia y control de documentos significa tener políticas establecidas para quién tiene acceso a qué información, cuándo y cómo. Además de poder controlar el uso de los documentos por parte de los empleados o de terceros.
Utilice la estructura de archivos de cada sistema o aplicación para organizar a cada empleado por jerarquía informática y establezca permisos bien definidos para que pueda limitar el acceso (de las personas de la organización y de las que no lo son) a los archivos y la información que les corresponde por su posición en las dependencias.
Esta técnica también es muy conocida como custodia y control de documentos ya que pretende tener políticas establecidas para quién tiene acceso a qué información, cuándo y cómo. Además de poder controlar el uso de los documentos por parte de los empleados o de terceros.
La transmisión segura de la información también es un elemento importante ya que de este modo, puede estar seguro de que los datos no son interceptados en tránsito. Para esto se puede hacer uso de protocolos seguros de transmisión de datos como lo son el SSL
Los documentos deben ser encriptados cuando se almacenan y transmiten. De este modo, aunque alguien consiga robarlos, no podrá leerlos sin la clave de cifrado adecuada.
Un exploit es un programa informático, una parte de un software o una secuencia de comandos que se aprovecha de un error o vulnerabilidad para provocar un comportamiento no intencionado o imprevisto en un software.
Las posibilidades de sufrir un exploit pueden ser paleadas si se hace uso de técnicas de desarrollo seguras y de buenas prácticas para evitar agujeros y vulnerabilidades en nuestro código.
Otra de las herramientas es el uso de registros históricos de accesos y acciones realizadas, que permitan identificar las causas de cualquier cambio o acceso prohibido a la información almacenada.
Este es un elemento muy importante que muchas empresas aún no tienen en cuenta. Significa poder controlar los datos en todo momento, incluso poder desencriptarlos cuando queramos y donde queramos, sin depender de terceros o de servicios externos. La soberanía de los datos se refiere a las leyes y normas que rigen los documentos mientras están archivados en un lugar determinado.
Por su parte, la disociación de los datos es un tratamiento de datos que nos permite que la información obtenida por un ciberataque no pueda vincularse a una persona u organización determinada.
La firma es un mecanismo para asegurar la autenticación de los actores involucrados en el proceso, la integridad del contenido y el no repudio de las acciones realizadas por los usuarios de las aplicaciones.
Para crear un sistema sólido de gestión de documentos, puede considerar la aplicación de las siguientes medidas:
Si tienes alguna inquietud sobre seguridad y gestión documental no dudes en contactarnos. Somos una empresa especializada en Software de gestión documental y estaremos encantados de ayudarte en todo el proceso.
