Mantener el secreto, mantener la seguridad: el papel esencial de la ciberseguridad en la gestión de documentos
En la enorme variedad de documentos que se acumulan a lo largo de la vida de una organización residen cantidades incalculables de datos confidenciales. Mantenerlos a salvo, independientemente de dónde estén almacenados, debe ser una prioridad absoluta.
A medida que la gestión de documentos continúa su larga transición desde los archivadores físicos hacia bases de datos digitales y la nube, el potencial de las ciberamenazas aumenta con cada paso y cada migración. Por eso, es fundamental que las organizaciones comprendan y se ocupen de la conexión entre la gestión de documentos y la ciberseguridad.
La seguridad en torno a la gestión de documentos es absolutamente esencial, ya que los documentos contienen parte del material corporativo más sensible, afirma Cheryl McKinnon, analista principal de Forrester Research. Puede tratarse de información sobre propiedad intelectual, datos financieros o datos de empleados o clientes -los llamados datos no estructurados- que se encuentran en forma de hojas de cálculo, documentos de Word o PDF.
«Tenemos que asegurarnos de que disponemos de capas de protección para estos depósitos de datos corporativos, porque las malas prácticas de gestión pueden ocasionar filtraciones involuntarias o que se compartan de forma inadecuada a través del correo electrónico», afirma.
Desde la aparición de los sistemas de gestión de documentos en la década del 1970, la adopción de las computadoras personales en la década del 1990, el crecimiento de Internet y el cambio generalizado a los sistemas de gestión de documentos basados en la nube, la digitalización de la información fue transformando gradualmente la forma en que las organizaciones manejan los documentos, dice Allen Ureta, director general de Deltamine, un proveedor de servicios de aseguramiento y asesoramiento en TI.
Esta tendencia ahora incorpora la integración con la inteligencia artificial y el aprendizaje automático para mejorar las búsquedas de documentos, centrarse en la automatización, el análisis de datos y la mejora de las medidas de seguridad, según Ureta. «Estas medidas, que antes llamábamos ‘seguridad de la información’, existen desde los tiempos del César», afirma. «La ciberseguridad, la modernización de la seguridad de la información, aborda específicamente la seguridad de los activos digitales y la infraestructura que les da soporte».
La seguridad de la información sigue siendo el ámbito más amplio y se aplicaría a la gestión de documentos en este sentido, afirma Ureta. La ciberseguridad apunta a la digitalización de estos documentos. Comprender la intersección entre la ciberseguridad y la gestión de documentos sigue siendo fundamental para salvaguardar los datos confidenciales.
Conceptos clave sobre la intersección de la ciberseguridad y la gestión de documentos
Los conceptos fundamentales que comparten tanto la ciberseguridad como la gestión de documentos son la seguridad de los datos, el cumplimiento normativo y la gestión de riesgos, según Ureta. La seguridad de los datos es fundamental en esta intersección, ya que garantiza que los documentos estén almacenados y se transmitan de forma segura, ya sea en uso, en depósito o en tránsito, afirma. Esto requiere la aplicación de cifrado, controles de acceso y otras medidas de seguridad para salvaguardar los datos de accesos, usos, divulgación, interrupción, modificación o destrucción no autorizados.
«El cumplimiento abarca el marco legal, normativo y político que rodea a la gestión de documentos», añade Ureta. «Las organizaciones deben cumplir estos requisitos, que incluyen la conservación y eliminación de datos y la creación de registros de auditoría. El cumplimiento de la normativa garantiza no solo la protección de los datos, sino también su gestión dentro de los límites de la ley».
Otro concepto clave en la intersección de la ciberseguridad y la gestión de documentos es la gestión de riesgos, que incluye identificar, evaluar y mitigar los riesgos, afirma.
«Esto implica desarrollar y aplicar políticas y procedimientos de seguridad adaptados a las necesidades específicas de la organización, especialmente para el cumplimiento de la normativa», afirma. «Las auditorías de seguridad periódicas y la formación de los empleados sobre las mejores prácticas de seguridad son componentes vitales de la gestión de riesgos».
La gestión de documentos y la ciberseguridad tienen intereses comunes en conceptos clave a lo largo del ciclo de vida de los documentos en una organización, desde la necesidad de una clasificación efectiva hasta la articulación de un acceso adecuado y la aplicación de requisitos de conservación y destrucción, afirma Reese Solberg, director gerente de EY.
Por ejemplo, una gestión eficiente y eficaz de los documentos empieza con una buena clasificación, afirma.
«Del mismo modo, la seguridad se basa en una buena clasificación para identificar y proteger esos documentos en función de los requisitos pertinentes», afirma Solberg. «Es difícil imaginar el ciclo de vida de los documentos en una organización sin una apreciación de la intersección entre la gestión de documentos y la ciberseguridad».
Cómo encaja la seguridad en la evaluación de estrategias de gestión de documentos
Desde el punto de vista del mercado, muchos proveedores de tecnologías «adyacentes a la seguridad de datos» están ganando terreno en el espacio de la seguridad de datos, afirma Jennifer Glenn, directora de investigación de seguridad de datos e información de IDC. «La gestión de contenidos y documentos es un área», afirma. «Para mí, esto dice que las organizaciones son muy conscientes de los riesgos de seguridad/privacidad asociados a su gestión de documentos y están buscando activamente asegurar ese componente de la actividad empresarial».
Además, la estrategia de seguridad de datos debe informar a la gestión de documentos para que quede claro quién tiene acceso a los distintos depósitos de datos, cómo se cifran esos datos -si es que se cifran-, si deben ser anónimos, durante cuánto tiempo deben conservarse y cómo deben destruirse una vez cumplidos los plazos de conservación aplicables, afirma Krishnan Ramachandran, vicepresidente de asesoramiento financiero y de riesgos de Deloitte Transactions and Business Analytics. «Para determinar cómo una organización administra el ciclo de vida de la gestión de documentos de principio a fin, deben sopesarse todos estos factores», afirma.
Solberg señala que las consideraciones de seguridad deben ser un componente integral de cualquier evaluación estratégica para la gestión de documentos. «Por ejemplo, a la hora de identificar los objetivos clave, las organizaciones suelen señalar el aumento de la eficiencia, la reducción de costos o el incremento de la colaboración», afirma. «Dados los importantes riesgos cibernéticos a los que se enfrentan las organizaciones en nuestro mundo altamente digitalizado, es esencial que la organización también articule un objetivo claro para proteger los datos, documentos y sistemas desde el principio».
La seguridad también debe incorporarse a las fases de evaluación de la gestión de documentos, incluido el análisis del estado actual y la articulación de la hoja de ruta, según Solberg. «La integración de la ciberseguridad en estas fases no solo ayuda a identificar los requisitos básicos de cumplimiento que fundamentarán la estrategia, sino también las capacidades que la organización necesitará para cumplir esos requisitos», añade.
La seguridad es un factor clave para el éxito de cualquier organización y se ha convertido en una prioridad estratégica fundamental para todas las empresas sólidas conectadas a Internet, afirma Jeffrey Bernstein, director de ciberseguridad y privacidad de datos de la oficina de servicios de asesoría de riesgos de Kaufman Rossin, una empresa de contaduría pública y asesoramiento. «Por eso, la mayoría de las organizaciones exitosas transforman sus empresas para mejorar la seguridad y el cumplimiento normativo, aumentar la productividad y optimizar las operaciones mediante la adopción de programas de gestión de documentos», afirma.
Pasos para implantar la ciberseguridad en los sistemas de gestión de documentos
Según Glenn, dado que hay distintos equipos con presupuestos y objetivos empresariales diferentes, el primer paso consiste siempre en alinear los resultados deseados por los departamentos. Después de eso, Glenn dice que los pasos se ajustan a las cuestiones clave que deben abordarse para una seguridad eficaz de los datos y la información:
- ¿Dónde están mis datos? Para proteger los datos o la información, hay que saber dónde están y cómo se almacenan antes de compartirlos.
- ¿Cuáles son mis datos? A continuación, debe saber a qué se enfrenta. ¿Qué tipo de información contienen estos documentos? ¿Qué imágenes o contenidos hay en los documentos a gestionar? ¿Y esa información es considerada como sensible (por ejemplo, números de tarjetas de crédito) o confidencial (por ejemplo, propiedad intelectual)? Normalmente se utilizan tecnologías de descubrimiento y clasificación de datos para encontrar estos contenidos y clasificarlos en función de su riesgo para la empresa.
- ¿Quién tiene acceso a mis datos? También es importante saber quién comparte los documentos/información y con quién lo hace. La filtración de datos, es decir, que usuarios de confianza compartan información con personas que no deberían tenerla, es una preocupación real para la gestión de documentos. Los servicios de intermediarios de seguridad de acceso a la nube y las tecnologías de prevención de filtración de datos pueden ser útiles en este caso para identificar quién está enviando qué. Así, estas tecnologías pueden detectar y bloquear las conexiones anómalas.
- ¿Mis datos están bien protegidos? Las organizaciones, incluidas Box y Egnyte, ofrecen controles que limitan el acceso a documentos específicos en función del contenido, los usuarios, sus funciones y privilegios, y el momento, por ejemplo, ¿tienen acceso a los documentos durante un proyecto activo?
Buenas prácticas para almacenar y compartir documentos de forma segura
Las mejores prácticas para almacenar y compartir documentos de forma segura pueden agruparse en categorías que contribuyen a un enfoque global que abarca diferentes aspectos de la seguridad de la gestión de documentos para proteger la información confidencial de posibles ciberamenazas, afirma Ureta. Según él, estas categorías incluyen:
- La clasificación de los datos y las medidas de seguridad abarcan prácticas para clasificar los documentos en función de su confidencialidad, cifrar los documentos almacenados y los datos en tránsito, aplicar estrictos controles de acceso y utilizar autenticación multifactor para acceder a los documentos.
- La colaboración y formación de usuarios aportan prácticas como el uso de plataformas de colaboración seguras, así como la formación de los empleados en materia de ciberseguridad y buenas prácticas de gestión de documentos.
- Las prácticas de supervisión y respuesta incluyen la vigilancia continua del acceso y modificación de documentos y el desarrollo de un plan de respuesta bien definido ante incidentes.
- La política y cumplimiento implica establecer políticas claras de conservación y eliminación y garantizar que la gestión de documentos se ajusta a la normativa del sector.
- Las prácticas de respaldo y seguridad de los datos están relacionadas con la realización periódica de copias de seguridad de los documentos y la elección de proveedores confiables de servicios en la nube con sólidas políticas de seguridad de los datos.
- La gestión de software y proveedores incluye mantener actualizados el software y las herramientas y garantizar que los proveedores externos cumplen las normas de seguridad.
- La continuidad del negocio y el uso compartido seguro incluyen prácticas tales como desarrollar un plan para imprevistos, utilizar métodos seguros de transferencia de archivos al compartir documentos y desactivar el acceso de los empleados salientes.
Lea el artículo completo en CSO Online.
Jeffrey Bernstein is a Risk Advisory Services Director of Cybersecurity and Data Privacy at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.