Estrategias para prevenir fugas de datos

La fuga de datos se ha convertido en una de las principales preocupaciones de CTOs y otros directivos en las empresas. Aunque no hay mecanismos de seguridad infalibles, existen buenas prácticas que permiten reducir el riesgo de fugas de información.

Prevenir fugas de datos en las organizaciones se ha convertido en uno de los principales objetivos de los directivos de empresas en la actualidad. Esta preocupación es razonable si tomamos en cuenta que el gasto mundial en productos y servicios de seguridad de la información estuvo alrededor de 86,4 mil millones de dólares en el año 2017, y se espera que para el año 2018 esta cifra supere los 93 mil millones, según estadísticas de Gartner.

Ejemplos de Fugas de datos ocurridos en 2017

En el año 2017, importantes empresas fueron víctimas de ataques que consiguieron extraer información confidencial de sus bases de datos. Tenemos el ejemplo del ataque a Equifax, uno de los más grandes buró de crédito, a quienes los cibercriminales robaron información personal de más de 145 millones de personas.

También se habló mucho, a mediados del 2017, de la brecha de seguridad descubierta en la nube de Amazon (AWS), por expertos en seguridad informática, la cual permitía el acceso a la información de casi 200 millones de electores de los Estados Unidos.

¿Ayudará la GDPR a prevenir fugas de datos?

La nueva legislación conocida como GDPR, entrará en vigencia en mayo de 2018, y contempla fuertes sanciones para las empresas que realicen un tratamiento de datos personales de manera inadecuada, razón por la cual, las organizaciones tienen un motivo adicional para reforzarse en la protección de los datos personales de sus clientes y usuarios, y prevenir fugas de datos.

¿Cómo prevenir fugas de datos?

La seguridad de la información es una tarea que debe evolucionar tan rápido como lo hacen los métodos de ataques de los cibercriminales, es por ello, que no resulta sencilla, pero aquí mencionamos algunas buenas prácticas que pueden dificultar el acceso indebido a información corporativa:

• Implementar procesos estandarizados para impedir el acceso físico o electrónico de ex empleados de la organización, inmediatamente después que dejan su cargo vacante.
• Contar con un manual de seguridad interno que sea difundido y socializado de forma regular con los empleados.
• Documentar los privilegios y niveles de acceso a datos confidenciales otorgados al personal de la empresa, y mantener un registro o bitácora de los accesos realizados.
• Implementar procedimientos que garanticen que el usuario utiliza contraseñas robustas, y que las mismas sean cambiadas regularmente, así mismo evitar que sean compartidas con otros usuarios tanto internos como externos a la empresa. Esto es lo que se conoce como una Política de Contraseñas.
• Invertir esfuerzos en la búsqueda constante de fallas o brechas de seguridad en los sistemas de la organización, que permitan que las mismas sean halladas antes que un potencial atacante lo haga.
• Controlar el acceso a documentación mediante una política de autenticación y permisos.
• Ofrecer a los usuarios mecanismos controlados para enviar o recibir documentación.
• Invertir en soluciones de seguridad que evalúen de forma automatizada nuestras aplicaciones, de modo que de forma proactiva podamos detectar riesgos. En Athento por ejemplo, utilizamos Detectify entre otras.
• Asegurarnos de que la infraestructura que soporta nuestras aplicaciones tiene protección DDoS.
• Implementar métodos de encriptación/desencriptación seguros de la información confidencial, así como de métodos de respaldo y restauración de la misma. En el caso de Athento, el repositorio puede ser encriptado.
• Capacitar a los empleados para reconocer posibles ataques de phishing, malwares e ingeniería social, reforzando de esta manera la seguridad implementada por medios automáticos y reduciendo la posibilidad del error de seguridad humano.
• Evaluar de forma periódica la seguridad de nuestros proveedores cloud mediante pruebas programadas de hacking.

El papel del gestor documental en la seguridad de los datos

Recordemos que la información valiosa de la compañía no sólo se encuentra en bases de datos de aplicaciones de negocio, sino también en nuestros documentos. Toda compañía debería tener niveles de garantía con respecto a la seguridad de sus documentos, y no sólo aquellas que almacenan datos sensibles como información sanitaria. Esto es así porque con casi toda probabilidad, en nuestros documentos estamos almacenando algún tipo de información de carácter personal, ya sea de clientes o de empleados.

Es importante pues, contar con un gestor documental capacitado para intervenir de manera activa en la estrategia de prevención de fugas de datos implementada por la organización. Una solución de gestión documental eficiente, apoyada en buenas prácticas de control de acceso y gestión de permisos, mecanismos que ayudan al cumplimiento de la GDPR, y estrategias técnicas como encriptación del repositorio de datos,ayudarán a prevenir fugas de datos, garantizando así que la información de los clientes y usuarios permanezca segura.

También es importante considerar las capacidades de los gestores documentales en cuanto a la trazabilidad de todas las acciones acometidas por los usuarios en el sistema. Es importante no sólo que el acceso a la información sea controlado, sino que además sea registrado.

Un apartado extenso de seguridad, debería dedicarse también a la forma en la que nuestros empleados comparten o solicitan información a nuestros clientes. Muchos de los documentos que circulan en correos o en papel, contienen información sensible que debemos controlar. No se trata de limitar las posibilidades de los usuarios, sino de ofrecerles opciones cómodas que no pongan en peligro la seguridad de los datos.

En Athento contamos con soluciones de gestión documental que pueden ayudar a las organizaciones a conservar de manera segura los datos personales de sus clientes y cualquier tipo de información clasificada. Puedes probar nuestra solución desde la web de Athento por 30 días.

¿Cómo entender tu problema de gestión de documentos?

¿Qué deben tener en cuenta las empresas al momento de seleccionar e implementar una solución de gestión de documentos? Te lo explicamos.

En la actualidad, muchas empresas invierten en una solución de gestión documental sin tener un objetivo claro, lo que en ocasiones causa que encuentren problemas al momento de implementar una solución de gestión de documentos en lugar de resolver los problemas actuales que enfrenta la compañía.

¿Por dónde comenzar cuando se quiere implementar software de gestión documental?

Cuando se trata de resolver problemas relacionados con la gestión de documentos, es necesario entender que cada organización tiene sus propios requerimientos, y la solución a aplicar dependerá de factores como:

• Necesidades de los distintos departamentos
• Identificación de los problemas resolver
• Disposición para adoptar una nueva tecnología.
• Limitaciones del entorno tecnológico
• Costes

Una buena práctica a seguir, es enumerar todos los departamentos de la organización y los posibles procesos dentro de los mismos que pueden necesitar gestión documental. Dentro de un mismo departamento se pueden tener varios procesos, por ejemplo, dentro un departamento de finanzas se llevan a cabo funciones como: Cuentas por pagar, cuentas por cobrar, gestión de nóminas, informes financieros, auditoria financiera, entre otras.

Una vez que se tiene esa lista de departamentos y procesos, es necesario, priorizarlos por impacto. ¿Implantando gestión documental en qué proceso voy a tener un impacto más grande en eficiencia?

La respuesta a esta pregunta, viene generalmente dada por ubicar los procesos más dolorosos para la empresa: aquellos en los que hay más personas involucradas haciendo trabajos manuales, aquellos que generan quejas constantes de clientes, aquellos que toman demasiado tiempo, aquellos que generan costes en multas o procesos judiciales, etc.

Aunque queramos implementar gestión documental en toda la organización, ya sea por regulaciones o por que queremos convertirnos en una empresa Paperless, nuestra recomendación es siempre empezar por un proceso concreto donde podamos ver beneficios y aprender de los posibles problemas que nos encontremos, para después, extender la solución al resto de la organización.

Una vez identificado el reto de gestión documental ¿qué hacemos?

Una vez identificados todos los departamentos de la empresa y los posibles procesos que se pueden optimizar mediante gestión documental, será necesario evaluar los problemas que cada uno de ellos poseen en relación con la gestión de documentos.

Se debe entrevistar no solo a los jefes de departamentos, sino también a los operadores o trabajadores de la línea de negocio. De esta manera se obtendrá un panorama amplio y más claro de los problemas de documentación reales que enfrentan los departamentos en sus operaciones diarias.

Se debe tomar nota de la cantidad de personas que conforman cada departamento y de aquellas que interactúan con documentos, ya que esto permitirá dimensionar de forma correcta cualquier solución a implementar.

En Athento, cuando hacemos recogida de requisitos de Gestión Documental, lo que hacemos es tratar de identificar al menos los siguientes elementos:

• Usuarios: Quienes van a ser los usuarios del software
• Funcionalidad específica requerida: Es la funcionalidad que la implementación de un proceso requiere. Aquí es importante que no listemos funcionalidad genérica de gestión documental, sino realmente lo que es crucial para que nuestro proceso pueda correr en digital.
• Formularios o tipos documentales: Son los datos que queremos almacenar en el gestor documental. Por ejemplo, si queremos almacenar pólizas, tendríamos que definir el formulario póliza.
• Estructura de carpetas: En caso de que quiera organizar sus documentos por carpetas ¿cómo lo haría? por departamento, por función, por cliente o por cualquier otra unidad que considere funcional para su compañía.
• Flujos de trabajo: Es el diseño del proceso en sí. ¿Cómo queda el proceso en digital?
• Integraciones: Es necesario listar todos los sistemas informáticos utilizados por cada proceso y si es preciso que el software de gestión documental interactúe con ellos. Dentro de esta lista pueden estar incluidos sistemas de planificación de recursos empresariales (ERPs), sistemas de contabilidad, sistemas de Recursos Humanos, CRMs (Salesforce, por ejemplo), sistemas legales, sistemas de ingeniería y cualquier otro sistema usado dentro de los departamentos.

Problemas comunes que presentan las organizaciones

Regularmente, dentro de un departamento se puede tener problemas para compartir documentos a nivel interno o inclusive con otros áreas de la organización, esto puede suceder debido a que existen restricciones para compartir ficheros a través de la red, asignación incorrecta de permisos sobre un documento o carpeta, imposibilidad de encontrar los ficheros de documentos en la ubicación indicada o intercambio desordenado de documentos a través de correo electrónico.

El intercambio de documentos entre las organizaciones y proveedores externos, consultores, entes gubernamentales, y otros grupos, normalmente se realiza a través de ficheros adjuntos en correos electrónicos, servidores FTP, o herramientas en la nube tales como Dropbox, Google Drive, entre otros.Estos métodos pueden traer problemas para identificar las versiones correctas de cada documento así como riesgos de seguridad asociados, ya que dependen de tráfico de información adicional que involucra a terceros al momento de compartir información.

Cuando se envía este tipo de información a través de correo electrónico, usualmente el correo original puede ocupar menos de 1 megabyte (dependiendo del tamaño del documento enviado), sin embargo cuando ocurre la retransmisión del mismo a otros destinatarios, el tamaño del correo puede crecer rápidamente hasta ocupar varias veces su tamaño original, lo cual crea problemas de almacenamiento en los buzones de los usuarios y lo más grave aún, problemas para identificar las versiones del documento o dificultades para encontrar el propio documento cuando ha pasado el tiempo y no lo tenemos bien localizado.

¿Qué más se debe tener en cuenta?

Es recomendable que se tengan claros los procesos en los cuales los documentos siguen un flujo de aprobación, comentarios o cualquier otra acción relevante, que implique una actualización de datos. Un ejemplo de esto sería el proceso que se lleva a cabo cuando se genera una orden de compra y la misma debe ser aprobada por una o varias personas antes de finalmente ser emitida al proveedor correspondiente.

Otros puntos a tener en cuenta que podremos resolver con software de gestión de documentos:

• El cumplimiento de las regulaciones.
• La eliminación de documentos según un programa de retención.
• La capacidad de eliminar el almacenamiento de papel al escanear y digitalizar documentos.
• El acceso a documentos por trabajadores remotos.
• La seguridad aplicada a los ficheros de documentos.

Una vez que se tenga esta información a la mano, ya se cuenta con lo necesario para comenzar a buscar una solución que apoye a la empresa en resolver problemas de gestión de documentos. Se debe establecer una organización basada en la necesidad de cada departamento, y priorizar los problemas que representan un mayor retorno de inversión para la organización o las ventajas que se obtendrán al invertir en soluciones que apoyen la gestión de documentos.

En Athento queremos compartirte una de nuestras plantillas de recogida de requisitos de un proyecto de gestión documental para que te sea más fácil acometer tu proyecto de gestión documental.

Si te encuentras en la construcción de un RFP de Gestión documental, te recomendamos consultes el artículo: Cómo hacer un buen RFP de Gestión Documental