La colaboración con personas u organizaciones ajenas a la empresa es una necesidad cada vez más frecuente. ¿Cómo colaborar sin poner en peligro la seguridad de los documentos?
En toda organización que requiere la asistencia y colaboración de agentes externos, se debe combatir el temor a los riesgos propios de este tipo de prácticas. En realidad, en los tiempos en los que vivimos, esta colaboración es no sólo necesaria, sino también inevitable. Para que esta colaboración funcione, deben realizarse consideraciones en relación a la seguridad de los datos de nuestra empresa.
Dependiendo del nivel de acceso a la información que estos agentes externos puedan tener, las precauciones varían. Al fin y al cabo, no es lo mismo un tercero que sólo necesita acceder a información periférica para realizar sus tarea, a otro que deba utilizar información sensible de los clientes de la empresa (información personal, por ejemplo). Es importante poder ofrecer tranquilidad a nuestros clientes en relación a esta cuestión.
Existen muchos mecanismos para controlar el acceso de agentes externos a nuestra información. El nivel de detalle y “granularidad” con que se pueden gestionar los accesos varían según la plataforma empleada. En Athento, por ejemplo, es posible otorgar permisos hasta el nivel del documento individual, así como de forma jerárquica.
Es importante que las políticas de acceso a la información estén bien definidas y controladas. Nosotros recomendamos tener esta política de acceso gestionada a nivel de roles por la facilidad de mantenimiento.
Abundan ejemplos recientes respecto al impacto sufrido por empresas de tecnología debido al filtrado de información sensible.El ejemplo más reciente es quizás el de Equifax, dedica al análisis de riesgo crediticio, que este año anunció que información de 143 millones de americanos podría haberse visto comprometida por una fuga de datos. Las pérdidas ocasionadas no son sólo económicas: cuesta mucho recuperar la confianza perdida o el daño a largo plazo que este tipo de sucesos le produce a la marca.
En la práctica, los encargados de proteger la información deben recurrir a soluciones de equilibrio entre el riesgo que pueda producirse una fuga de información, y los objetivos que se persiguen (y por lo cual se recurre al agente externo). Estos objetivos pueden ser por ejemplo, reducir los tiempos de atención al cliente o a proveedores, facilitar la movilidad de trabajadores, externalizar operaciones, etc.
Muchas veces las empresas recurren a la firma de acuerdos de confidencialidad para cubrirse ante los posibles riesgos, pero a veces éstos contienen especificaciones tan vagas, que inevitablemente se apoya en el criterio de los responsables de la empresa para decidir si ese riesgo es aceptable o no.
Asumiendo este “riesgo aceptable”, y teniendo en cuenta que no tenemos las mismas facilidades para controlar la seguridad sobre empleados externos en comparación con los propios, deberemos gestionar adecuadamente los controles de acceso y los permisos de este personal.
Es importante que, ante una auditoría, cada nivel de acceso y permiso definido esté correctamente justificado en relación a la tarea que desarrolla este personal externo. ¿Quién tiene acceso a qué dato?. ¿Por qué tiene ese nivel de acceso? (¿solo puede leerlo, o también puede modificarlo, descargarlo, compartirlo, etc?).
Y si eventualmente se produce un acceso indebido a los recursos de la empresa o una fuga de información, el equipo de seguridad deberá realizar un análisis forense del hecho para determinar la causa verdadera del problema y corregir el procedimiento que corresponda, para evitar fugas similares futuras.
Asegurando los accesos externos
¿Qué medidas puede tomar una empresa para asegurar la disponibilidad de recursos a terceros, de tal manera que satisfaga los requerimientos de seguridad adoptados, pero sin afectar su productividad y eficiencia en el acceso a la información?
El primer paso suele involucrar al agente externo o empresa tercerizada de manera directa. Una buena forma de garantizar consecuencias y compromisos explícitos del tercero es mediante la firma de un acuerdo de confidencialidad. En este se deben establecer niveles mínimos de seguridad que el agente externo debe cumplir. Su aceptación implica la demostración por parte su parte de que esos niveles pretendidos han sido alcanzados. Así mismo, se debe establecer una rutina de auditoría sobre los procedimientos y recursos de seguridad del agente externo.
Superada esa primera etapa, se debe documentar todo el acceso externo requerido por el agente. Una vez definida, se debe elegir el método más adecuado para el acceso y la protección de nuestra información. ¿Les creamos usuarios dentro de la plataforma? ¿Usamos mecanismos de compartición de documentos? ¿Externos o internos? ¿Qué garantías nos dan esas herramientas?
Con Athento, por ejemplo, es posible dar acceso de usuario nominal a esos agentes terceros, garantizando una traza de auditoría sobre todo lo que suceda sobre el documento al que se le ha dado acceso y garantizando que ese usuario está sujeto a la autenticación y sistema de permisos de Athento. También existen mecanismos seguros para compartir mediante URLs, de modo que el usuarios externo no tiene que autenticarse, pero restringimos el acceso a un recurso específico. Vea el artículo ¿Cómo compartir documentos con usuarios externos a nuestra empresa en una forma más eficiente?
Se debe apuntar a que el acceso de terceros se limite a recursos compartidos en lugares desconectados, o bien en entornos de redes o nubes privadas y protegidas. Además debemos intentar que los mecanismos de compartimiento de información provistos, se integren lo más posible con las herramientas que estemos utilizando para proteger o gestionar nuestros datos.
Athento ofrece además mecanismos avanzados de control de acceso, como autenticación de usuarios en dos o más pasos, integración con SAML2, etc.
Otro aspecto importante, es mantener un registro detallado de los accesos de los agentes a la información. ¿Quién accedió a que cosa? ¿A qué hora lo hizo? ¿Desde qué dirección IP?. Es información valiosa que permite conocer en detalle el comportamiento de nuestros agentes, y nos permite depurar y redefinir la gestión de seguridad aplicada. Una auditoría permanente sobre esta información es recomendable.
Conclusión
En los tiempos que corren, es prácticamente inevitable que una empresa deba recurrir a agentes externos para alcanzar sus objetivos. Por ello, se debe tener cierto nivel de confianza en estos agentes respecto al manejo responsable de la información sensible de nuestra empresa, aunque esto no debe confundirse con un “cheque en blanco”.El criterio a emplear es “confiar, sin dejar de controlar”. Se deben proveer mecanismos, sistemas y procedimientos adecuados para asegurar nuestra información. Se debe exigir un nivel mínimo de cumplimiento al agente externo. Se deben registrar y controlar todas las operaciones realizadas por este último. Y, si es necesario, se deben redefinir los procedimientos de seguridad, para acotar el nivel de acceso externo a un mínimo aceptable.
No hay comentarios:
Publicar un comentario