Cómo colaborar con usuarios externos sin renunciar a la seguridad

La colaboración con personas u organizaciones ajenas a la empresa es una necesidad cada vez más frecuente. ¿Cómo colaborar sin poner en peligro la seguridad de los documentos?

En toda organización que requiere la asistencia y colaboración de agentes externos, se debe combatir el temor a los riesgos propios de este tipo de prácticas. En realidad, en los tiempos en los que vivimos, esta colaboración es no sólo necesaria, sino también inevitable. Para que esta colaboración funcione, deben realizarse consideraciones en relación a la seguridad de los datos de nuestra empresa.

Dependiendo del nivel de acceso a la información que estos agentes externos puedan tener, las precauciones varían. Al fin y al cabo, no es lo mismo un tercero que sólo necesita acceder a información periférica para realizar sus tarea, a otro que deba utilizar información sensible de los clientes de la empresa (información personal, por ejemplo). Es importante poder ofrecer tranquilidad a nuestros clientes en relación a esta cuestión.

Existen muchos mecanismos para controlar el acceso de agentes externos a nuestra información. El nivel de detalle y “granularidad” con que se pueden gestionar los accesos varían según la plataforma empleada. En Athento, por ejemplo, es posible otorgar permisos hasta el nivel del documento individual, así como de forma jerárquica. 

Es importante que las políticas de acceso a la información estén bien definidas y controladas. Nosotros recomendamos tener esta política de acceso gestionada a nivel de roles por la facilidad de mantenimiento.

Abundan ejemplos recientes respecto al impacto sufrido por empresas de tecnología debido al filtrado de información sensible.El ejemplo más reciente es quizás el de Equifax, dedica al análisis de riesgo crediticio, que este año anunció que información de 143 millones de americanos podría haberse visto comprometida por una fuga de datos. Las pérdidas ocasionadas no son sólo económicas: cuesta mucho recuperar la confianza perdida o el daño a largo plazo que este tipo de sucesos le produce a la marca.

En la práctica, los encargados de proteger la información deben recurrir a soluciones de equilibrio entre el riesgo que pueda producirse una fuga de información, y los objetivos que se persiguen (y por lo cual se recurre al agente externo). Estos objetivos pueden ser por ejemplo, reducir los tiempos de atención al cliente o a proveedores, facilitar la movilidad de trabajadores, externalizar operaciones, etc.

Muchas veces las empresas recurren a la firma de acuerdos de confidencialidad para cubrirse ante los posibles riesgos, pero a veces éstos contienen especificaciones tan vagas, que inevitablemente se apoya en el criterio de los responsables de la empresa para decidir si ese riesgo es aceptable o no.

Asumiendo este “riesgo aceptable”, y teniendo en cuenta que no tenemos las mismas facilidades para controlar la seguridad sobre empleados externos en comparación con los propios, deberemos gestionar adecuadamente los controles de acceso y los permisos de este personal.

Es importante que, ante una auditoría, cada nivel de acceso y permiso definido esté correctamente justificado en relación a la tarea que desarrolla este personal externo. ¿Quién tiene acceso a qué dato?. ¿Por qué tiene ese nivel de acceso? (¿solo puede leerlo, o también puede modificarlo, descargarlo, compartirlo, etc?).

Y si eventualmente se produce un acceso indebido a los recursos de la empresa o una fuga de información, el equipo de seguridad deberá realizar un análisis forense del hecho para determinar la causa verdadera del problema y corregir el procedimiento que corresponda, para evitar fugas similares futuras.

Asegurando los accesos externos

¿Qué medidas puede tomar una empresa para asegurar la disponibilidad de recursos a terceros, de tal manera que satisfaga los requerimientos de seguridad adoptados, pero sin afectar su productividad y eficiencia en el acceso a la información?

El primer paso suele involucrar al agente externo o empresa tercerizada de manera directa. Una buena forma de garantizar consecuencias y compromisos explícitos del tercero es mediante la firma de un acuerdo de confidencialidad. En este se deben establecer niveles mínimos de seguridad que el agente externo debe cumplir. Su aceptación implica la demostración por parte su parte de que esos niveles pretendidos han sido alcanzados. Así mismo, se debe establecer una rutina de auditoría sobre los procedimientos y recursos de seguridad del agente externo.

Superada esa primera etapa, se debe documentar todo el acceso externo requerido por el agente. Una vez definida, se debe elegir el método más adecuado para el acceso y la protección de nuestra información. ¿Les creamos usuarios dentro de la plataforma? ¿Usamos mecanismos de compartición de documentos? ¿Externos o internos? ¿Qué garantías nos dan esas herramientas?

Con Athento, por ejemplo, es posible dar acceso de usuario nominal a esos agentes terceros, garantizando una traza de auditoría sobre todo lo que suceda sobre el documento al que se le ha dado acceso y garantizando que ese usuario está sujeto a la autenticación y sistema de permisos de Athento. También existen mecanismos seguros para compartir mediante URLs, de modo que el usuarios externo no tiene que autenticarse, pero restringimos el acceso a un recurso específico. Vea el artículo ¿Cómo compartir documentos con usuarios externos a nuestra empresa en una forma más eficiente?

Se debe apuntar a que el acceso de terceros se limite a recursos compartidos en lugares desconectados, o bien en entornos de redes o nubes privadas y protegidas. Además debemos intentar que los mecanismos de compartimiento de información provistos, se integren lo más posible con las herramientas que estemos utilizando para proteger o gestionar nuestros datos.

Athento ofrece además mecanismos avanzados de control de acceso, como autenticación de usuarios en dos o más pasos, integración con SAML2, etc.

Otro aspecto importante, es mantener un registro detallado de los accesos de los agentes a la información. ¿Quién accedió a que cosa? ¿A qué hora lo hizo? ¿Desde qué dirección IP?. Es información valiosa que permite conocer en detalle el comportamiento de nuestros agentes, y nos permite depurar y redefinir la gestión de seguridad aplicada. Una auditoría permanente sobre esta información es recomendable.

Conclusión

En los tiempos que corren, es prácticamente inevitable que una empresa deba recurrir a agentes externos para alcanzar sus objetivos. Por ello, se debe tener cierto nivel de confianza en estos agentes respecto al manejo responsable de la información sensible de nuestra empresa, aunque esto no debe confundirse con un “cheque en blanco”.

El criterio a emplear es “confiar, sin dejar de controlar”. Se deben proveer mecanismos, sistemas y procedimientos adecuados para asegurar nuestra información. Se debe exigir un nivel mínimo de cumplimiento al agente externo. Se deben registrar y controlar todas las operaciones realizadas por este último. Y, si es necesario, se deben redefinir los procedimientos de seguridad, para acotar el nivel de acceso externo a un mínimo aceptable.

3 Razones para documentar mi proyecto de gestión documental

A continuación conoceremos 3 razones por las que es importante documentar un proyecto de gestión documental.

Un software de gestión documental tiene todas las herramientas necesarias para registrar, gestionar y organizar la documentación de un proyecto. Un software de gestión documental nos va a permitir mantener una estructura de documentación de un proyecto, y definir las bases para que todos los proyectos que gestionemos sigan las mismas reglas. Con herramientas de gestión documental como Athento, la documentación de proyecto puede alcanzar un mayor grado de normalización y homogenización.

Un proyecto de adquisición de un software de Gestión Documental, al igual que cualquier tipo de proyecto tecnológico, requiere de un esfuerzo en documentación. A continuación, vamos a ver porque cuando iniciamos un proyecto de gestión documental es importante que a lo largo del proyecto se lleve a cabo la tarea de documentar.

1. Tener claridad sobre los requerimientos del proyecto

La documentación de requerimientos es quizás la parte más fundamental de un proyecto tecnológico. Tener una lista de requerimientos documentados, es el requisito mínimo para que todas las partes implicadas en el proyecto puedan tener unas expectativas realistas y comunes sobre lo que se espera del proyecto. En otras palabras, es el acuerdo mínimo sobre el que se va a trabajar.

La documentación de los requerimientos debe además estar accesible a lo largo del proyecto. Si este documento es un documento vivo, que sigue cambiando a lo largo del proyecto, es recomendable poner en marcha herramientas que notifiquen a los interesados sobre los cambios que esta documentación va sufriendo, de modo que los ajustes o desarrollos sobre el gestor documental se realicen a partir de la última versión de los requerimientos.

Cuando en Athento hacemos un proyecto, uno de los primeras actividades de la planificación es el despliegue de Athento. Una vez desplegado con sus características base, habilitamos un espacio en el que se alberga toda la documentación del proyecto.

2. Mantener la metodología del proyecto.

Documentar los procesos, las variables e información relevante de un proyecto crea una metodología que se puede seguir. Si hay cambios en el equipo de proyecto, los nuevos miembros pueden estudiar la documentación del proyecto, informarse y documentarse para continuar con el proyecto.

Es recomendable incluso que, si existe documentación genérica que defina las líneas generales o políticas de cualquier proyecto tecnológico en nuestra empresa, se incluya esta documentación en la carpeta del proyecto, para asegurar que las políticas estén accesibles y se sigan.

En herramientas como Athento, es posible definir plantillas de documentación o de estructuras. Es decir, podemos definir por ejemplo, la estructura de carpetas que debe contener el proyecto para garantizar la organización de la documentación.

3. Simplificar la gestión del proyecto

Los proyectos tecnológicos implican el trabajo conjunto de muchos interlocutores: equipos del cliente o de partners, equipos técnicos, equipos de negocio, equipos de compras, equipos administrativos, etc.

Existen muchas labores administrativas de proyecto como la elaboración de actas, o la gestión de comunicaciones, que se deben llevar a cabo para garantizar unanimidad sobre las reglas de juego y evitar reprocesos o tener que volver a realizar el trabajo.

Cuanta más claridad se tenga sobre las reglas del juego, las expectativas y las limitaciones, más fácil será llevar a cabo la gestión del proyecto. No hay otra manera de mantener esa claridad que mediante documentación compartida que haya sido revisada y aceptada por todos los participantes.

Por otro lado, estos documentos suelen ser elaborados de forma colaborativa, por lo que es importante ofrecer herramientas que permitan este trabajo conjunto: edición colaborativa, control de versiones, flujos de aprobación, etc.

Identificadores Únicos De Documentos

Tener identificadores únicos para los documentos es una funcionalidad por la que preguntan muchas de las personas que están buscando un software de gestión documental. Especialmente, personas que trabajan en entidades públicas o que tienen un departamento de documentación. 

En este artículo, voy a explicarles el funcionamiento de estos identificadores en Athento.

Athento soporta dos tipos de identificadores que veremos a continuación.

Identificador user-friendly: 

Estos identificadores son metadatos y los utilizan los usuarios para llevar controles, realizar seguimiento o identificar la documentación con la que trabajan. Estos números se utilizan por ejemplo en expedientes o en radicados (registro de entrada) y pueden ser generados por Athento de forma automática. Normalmente, tienen algún sentido para el usuario, por ejemplo: EXP-2017-0001. EXP que indica que es un expediente, el año y un número consecutivo. De acuerdo con la configuración elegida para la generación de este identificador, será único o no.

Permalinks ID: Internamente, durante la creación de un documento, el sistema asigna un identificador único a cada documento de forma automática. Este identificador no cambia nunca y sirve al sistema para localizar el documento sin importar si los usuarios lo cambian de ubicación. Este ID nos da acceso directo al documento por ejemplo cuando se trabaja con web services. Este número es del tipo “531ac8ae-8c17-45fb-b0a7-b1fb149a5412”. Los usuarios pueden ver este ID en las URLs cuando hacen clic en el símbolo de infinito que aparece al lado del nombre del documento.

¿Cómo poner en producción un proyecto de 9 meses en 2 meses?

Este mes, nuestro equipo puso en producción Athento en la filial colombiana de una multinacional francesa. Un proyecto muy importante para nosotros con unas limitaciones de tiempo bastante ajustadas. También importante para nuestro cliente porque se trata de un proceso de negocio neurálgico. 

Si ustedes tuvieran que adivinar cómo lo hicimos, podrían pensar que lo hicimos triplicando los recursos humanos dedicados al proyecto. Sin embargo, en un sector como el nuestro, es difícil incorporar personas a un proyecto en un corto periodo de tiempo porque se requieren conocimientos sobre tecnologías muy específicas y el aprendizaje sobre el producto requiere tiempo. Así que incorporar personas en el proyecto no fue nuestra respuesta a este reto.

A continuación, os contamos las claves que nos ayudaron a conseguir poner en producción un proyecto de 9 meses en sólo 2 meses: 

1. Priorizar que los usuarios puedan realizar su trabajo ante cualquier otro requerimiento del proyecto

En primer lugar, priorizamos que el proceso pudiera llevarse a cabo teniendo en cuenta e implicando a los usuarios finales del sistema. Sacrificamos algunas cosas en el camino, de forma que todo lo que pudiera ser prescindible en la puesta en marcha, lo dejamos para una fase de post producción. Tomamos esta decisión porque el objetivo a conseguir era que los usuarios consigan hacer su trabajo y cumplir con los SLAs internos. Esto no es sencillo porque hay que hacer un trabajo de priorización conjunto con negocio, y conseguir que todo el mundo se ponga de acuerdo sobre cuáles son las funcionalidades imprescindibles tanto a nivel tecnológico como de operación. 

2. Integrar a los usuarios en el desarrollo de los casos de uso

Desde el principio tuvimos usuarios finales haciendo pruebas, opinando sobre sí con lo que les mostrábamos podían o no trabajar. Este feedback era importante para saber que íbamos bien y que el objetivo de poner una herramienta funcional para el proceso se estaba cumpliendo o no.

3. Anteponer el desarrollo de producto antes que desarrollos a medida para cada proyecto

Esto por supuesto no es una cosa que se decida únicamente para un proyecto. Es una filosofía de empresa. Nosotros hemos estado trabajando duro los últimos dos años en herramientas que nos permitan acelerar el desarrollo del producto, como Athento Rhombus, que permite customizar el gestor documental sin necesidad de programación. Gracias a esas herramientas podemos ir mucho más rápido en la customización del producto y también en el mantenimiento del mismo.

Como os contamos en Recogida de Requisitos de Proyecto: 3 Lecciones Aprendidas, entender lo que cada cliente necesita es clave para asegurar el éxito de un proyecto software. Y esto se traduce en comprender la importancia que cada hito del proyecto tiene para el cliente tanto desde un punto de vista técnico como de negocio. 

En la sección de Recursos de nuestra web, podéis conocer cómo hemos ayudado a otros clientes a transformar sus procesos documentales.