Existe una íntima relación entre ciberseguridad y gestión documental. A continuación presentamos algunos consejos para mantener la información a salvo de los delincuentes informáticos a partir de una buena gestión documental.
En los últimos años, la gestión documental se ha convertido en un tema de gran importancia para muchas organizaciones, sin importar su tamaño o el tipo de negocio al que se dedican. Un pronóstico del sector realizado por ReportLinker muestra que el mercado de sistemas de gestión documental alcanzará los 6.78 USD mil millones en el año 2023. Esto supone un crecimiento de anual del 11,17% (comparado con los 3.59 USD mil millones reportados en el año 2017).
Probablemente, en este crecimiento tenga un peso importante la preocupación cada día más acuciante de las empresas por la prevención de fugas de datos, que en los últimos dos años han tenido una repercusión mediática tremenda. No nos olvidemos de casos como el de Equifax, Uber, Facebook, entre otros.
Nuevas legislaciones como el GDPR también están aportando presión a la causa de la seguridad de la información.
Ciberataques a la orden del día
Lamentablemente, a medida que la tecnología avanza, también lo hace la inventiva de los cibercriminales. Estos buscan aprovechar cualquier punto débil de los sistemas informáticos con el fin de obtener algún tipo de información valiosa o, simplemente, con el objeto de destruir todo lo posible.
En el año 2017, el mundo entero presenció el impacto del ataque del virus WannaCry, una variedad de ransomware que dejó víctimas en al menos 150 países. Entre ellos se encontraban Rusia, China, Reino Unido, Francia, India, Japón, España, etc.
Este virus actuó como un secuestrador de archivos, encriptándolos para luego pedir un «rescate»; es decir, se pedía una suma de dinero a cambio de desencriptar los archivos afectados.
Importantes empresas, hospitales y entidades gubernamentales se vieron perjudicados por este potente ataque informático. El 12 de Mayo de 2017, el Centro Criptológico Nacional (CCN) de España informó de que empresas de la talla de Telefónica, Iberdrola o Gas Natural, habían sido víctimas de un ataque masivo de ransomware.
Así pues, vemos que cualquier empresa puede ser víctima de ataques informáticos. Además, se puede observar que el número de ataques continúa creciendo. En España, según cifras de INCIBE, se registraron más de 123.000 incidentes relacionados con la seguridad informática en el año 2017. Lo más asombroso es que en el año 2014 la cifra de ataques registrados en España era bastante menor (18.000). Esto evidencia el crecimiento acelerado del número de ataques año tras año.
¿Existen otras amenazas de ciberseguridad?
Los ataques de seguridad no provienen solamente de softwares maliciosos (virus, malwares, etc.). Del mismo modo, no proceden exclusivamente del exterior de las organizaciones.
Existen puntos débiles provocados por configuraciones erróneas de permisos de acceso a la información, perfiles y roles de usuarios. Una configuración equivocada, producto de un error humano, podría dejar información valiosa al alcance de usuarios que normalmente no deberían tener acceso a la misma; entre estos usuarios se incluyen terceros, con todas las posibles consecuencias que esto supone.
Entonces ¿cómo pueden protegerse las organizaciones?
Es fundamental contar con una política de seguridad que no sólo se centre en los componentes tecnológicos, sino también en los procedimientos de los usuarios.
Tan importante como un firewall, y mucho más que gestores de contraseñas, o incluso que directorios de usuarios, es contar con la documentación debidamente almacenada en sistema de gestión documental.
NO se puede tener documentación en PCs o en servidores de ficheros
Las personas en las compañías siguen teniendo los documentos corporativos en PCs de escritorio, portátiles, discos duros extraíbles, pen drives, etc. Esto hace que los documentos sean suceptibles a:
- Ataques de ransomware
- Acceso no controlado a la información
- Pérdida de documentos en caso de fallo del hardware, infecciones, etc.
La documentación corporativa tiene que estar en un gestor documental protegida como mínimo con mecanismos como:
- Gestión de usuarios y permisos
- Trazabilidad del acceso a los documentos
- Sistema de autenticación de usuarios
- Copias de seguridad
- Protocolos seguros de transmisión de datos
Actualizaciones frecuentes de servidores o equipos
Las amenazas informáticas como el ransomware siempre buscan algún punto débil para comenzar a atacar. Por esta razón, los fabricantes de soluciones de gestión documental trabajan constantemente para reducir y eliminar posibles brechas de seguridad en sus productos; de esta manera, las organizaciones pueden mantenerlos actualizados e inmunes a posibles ataques de seguridad. En este sentido, las soluciones de gestión documental basadas en la nube tienen ventaja sobre las soluciones locales, ya que pueden recibir actualizaciones de forma más rápida y oportuna.
Someter a los gestores documentales al cumplimiento de medidas de seguridad
Como compañía, debemos tener un check list de seguridad adaptado a la naturaleza de la información a almacenar. Las soluciones que escojamos de seguridad deben adaptarse a ella. Es importante que a nuestro proveedor de gestión documental:
- Le exijamos a priori que nos diga si cumple con las medidas de seguridad necesaria
- Valoremos la existencia de ceritificaciones de seguridad
- Sometamos el software a ataques éticos periódicos si contamos con los recursos técnicos necesarios, sino, exigir al proveedor que ellos mismos incluyan este servicio. Hay herramientas informáticas cloud en el mercado que pueden hacer esto por nosotros.
Aplicación de métodos de seguridad inteligentes
Debido a que los algoritmos y métodos de acción de las amenazas informáticas evolucionan muy rápidamente, es recomendable contar con soluciones de gestión documental que ofrezcan características novedosas y al mismo tiempo potentes. De este modo, podrán actuar de manera preventiva ante posibles ataques de seguridad.
Un gestor documental orientado a proteger la información de las organizaciones debe ofrecer distintos niveles de protección contra ataques externos. Por ejemplo, cortafuegos (firewall) que eviten el acceso por parte de intrusos a la información. De igual manera, la solución documental debe estar preparada para protegerse contra ataques de denegación de servicio (DDoS). Así se evitarán interrupciones en la operatividad y pérdidas de datos.
Un gestor documental concienciado con la seguridad debe, igualmente, estar capacitado para aplicar protocolos seguros en el momento de transferir información; asimismo tiene que poder encriptar los datos, utilizando certificados SSL y mecanismos de encriptación del repositorio en caso de que se trate de datos sensibles. Y, por último, es necesario realizar pruebas de hacking y penetración preventivas que permitan tener la seguridad de que la información se encuentra protegida antes de que ocurra cualquier ataque.
Copias de seguridad
Aunque un gestor documental se encuentre preparado para enfrentarse a los problemas de seguridad con herramientas de tecnología avanzada, es recomendable tener preparados planes de emergencia. Así, se podrá afrontar cualquier eventual fuga o pérdida de información.
Un gestor documental debe ofrecer la oportunidad de realizar respaldos de la información en medios locales y también en la nube. Que los datos de las empresas se almacenen en distintas localizaciones (replicación), permite a las mismas recuperar sus datos y documentos en caso de que ocurra algún desastre extremo.
Si contamos con un gestor documental que tenga una política adecuada de copias de seguridad de la información podemos evitar muchísimos problemas; si se produjese un secuestro de datos se podría restaurar la información que se haya perdido. Esto prevendría problemas más graves.
Implementar una buena clasificación de la información
Un buen sistema de gestión documental permite que la información sea clasificada convenientemente (los documentos se ordenan y segmentan en diferentes grupos de etiquetas y descripciones, aprovechando la ventaja del uso de metadatos).
Una buena clasificación de la información permite que asegurar el control de acceso a los datos sea más sencillo y la recuperación de la los datos antes eventuales pérdidas:
- Las copias de seguridad pueden realizarse de una manera más organizada (y, por tanto, llegado el momento, sería mucho más sencillo restaurar la información).
- Se puede vincular la clasificación a grupos de usuarios con determinados derechos de acceso.
- Es más fácil mantener un sistema de gestión de permisos vinculado a la clasificación de documentos que uno que no siga un sistema comprensible y predecible.
Para esta clasificación pueden utilizarse distintos criterios: departamento, nivel del cargo del usuario, importancia de los documentos... Las posibilidades son ilimitadas.
Evitar brechas de información debidas al error humano
Un error humano podría, en cuestión de segundos, tirar por la borda la seguridad proporcionada por las herramientas de seguridad implementadas. Por esta razón, resulta imprescindible concienciar a los usuarios y educarlos en seguridad. Hay que hacerles comprender el riesgo que se corre con una fuga de datos y también que ellos juegan un papel fundamental en la seguridad de la información.
Aunque esto permitiría reducir ligeramente las pérdidas de datos debidas al error humano, seguiría habiendo usuarios que, de una manera u otra, pondrían en riesgo la información de la organización. Por ello, un gestor documental seguro debe ser capaz de mitigar los riesgos asociados a errores humanos. Puede hacerlo, por ejemplo, aplicando controles que eviten el acceso no autorizado a la información.
Protegerse contra el acceso no autorizado
Estudios realizados por Crowd Research Partners confirman que la mayoría de ataques informáticos provienen del interior de las organizaciones y no de fuera de las mismas (como se pensó durante mucho tiempo).
Un usuario malintencionado podría causar graves problemas con una acción tan simple como conectar un dispositivo USB en su ordenador. Si dicho dispositivo se encuentra infectado con algún virus, este podría propagarse por toda la red con consecuencias impensables. De igual manera, podría extraer, destruir o exponer información de repositorios a los cuales no debería poder acceder.
Un gestor documental seguro debe centrarse en medidas como la utilización de contraseñas complejas (y requerir el cambio de las mismas de forma regular). También debe ofrecer la posibilidad de integrarse en el Directorio Activo de las empresas; esto puede facilitar la gestión de permisos en distintos repositorios de documentos. Por último, tiene que utilizar seguros de autenticación (como NTLM, Kerberos, CAS, entre otros).
Herramientas de auditoría
Es muy importante que un sistema de gestión documental ofrezca la posibilidad de aplicar medidas de auditoría y trazabilidad. Esto se hace reportando logs y eventos importantes (por ejemplo, acciones que se realicen sobre un documento determinado). La trazabilidad puede permitir conocer qué sucede con la información desde el momento en que esta es generada hasta el momento en que es eliminada o modificada. Facilita, de esta forma, detalles sobre los usuarios que han manipulado los datos, así como del momento en que lo hicieron. Incluso ofrece alarmas preventivas, que puedan alertar de manera oportuna a los responsables de la información.
Teniendo en cuenta todos los puntos anteriores, queda claro que las organizaciones deben entender que la seguridad en la gestión documental es un aspecto imprescindible para evitar la fuga de datos.
Athento cuenta con un potente sistema de gestión documental orientado a proteger la información de las organizaciones. Emplea métodos de seguridad avanzados tecnológicamente y cubre eficazmente los aspectos que hemos descrito en este documento. Puedes probar Athento de manera gratuita durante 30 días.
