Aquí nos centraremos únicamente en la “seguridad informática”. La seguridad informática está concebida para proteger los activos informáticos, siendo los principales “activos”:
- La infraestructura computacional;
- Las aplicaciones que manejan la información;
- Los usuarios que utilizan la estructura tecnológica y las aplicaciones;
- La información, principal activo, reside en la infraestructura computacional y es utilizada por los usuarios a través de las aplicaciones.
Por tanto, la seguridad informática depende de más factores aparte del software que gestiona la información. En este primer informe de carácter general sólo nos centraremos en los aspectos que influyen o dependen directamente del software de gestión electrónica de documentos seleccionado.
Aspectos de seguridad relacionados con la infraestructura tecnológica:
Si nos enfocamos en lo tocante a los sistemas que alojan las aplicaciones de gestión documental, podemos identificar los siguientes factores clave para garantizar la seguridad:
- Implantar medidas de seguridad físicas: contra accesos no deseados, fuego, agua, apagones o alteraciones en el suministro eléctrico.
- Protección y vigilancia de la red informática. Medidas de seguridad en la transmisión de datos, redes perimetrales, DMZ, segmentación de redes, cortafuegos, sistema de detección de intrusos, antivirus, etc.
- Actualización de los sistemas operativos a las últimas versiones y parches que más impacten en la seguridad.
- Respaldo de información. Un buen sistema de respaldo debe contar con ciertas características indispensables:
- Continuidad automática;
- Seguridad en el acceso a los backups (cifrado, etc.);
- Salvaguarda en remoto (los datos deben quedar alojados en servidores diferentes y alejados de la aplicación);
- Trazabilidad (mantenimiento de versiones anteriores de los datos, hasta un horizonte a definir).
Aspectos de seguridad relacionados con el software de gestión documental:
Atendiendo a los factores clave que dependen del software, destacaremos los siguientes:
- Técnicas de desarrollo del software seguras (evitación de agujeros y vulnerabilidades, conocidas y no conocidas).
- Transmisión segura de la información. Por ejemplo, protocolos seguros de transmisión de datos (SSL).
- Cifrado de los archivos almacenados, en su lugar de almacenamiento, ya sea en bases de datos o en repositorios de archivos, para evitar ser robada.
- Contraseñas seguras y difíciles de averiguar. Posibilidad de forzar el reseteo de contraseñas y capacidad de utilizar certificados digitales para asegurar la identidad del usuario.
- Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
- Restringir el acceso (de personas de la organización y de las que no lo son) a los archivos e información que les correspondan por su asignación a dependencias, puestos de responsabilidad, necesidad de información, atribuciones temporales, etc.
- Registros históricos de accesos y acciones realizadas, que permitan identificar las causas de cualquier cambio o acceso prohibido a la información almacenada.
- Firmas electrónicas y digitales, mecanismos para asegurar la autenticación de los actores involucrados en el proceso, la integridad del contenido y el no repudio de las acciones realizadas por los usuarios de las aplicaciones.
- Digitalización certificada, para permitir la aseguración del proceso de digitalización de los documentos físicos (p.ej. en ventanillas de registro único) y la consiguiente destrucción de los equivalentes físicos.
Muchas herramientas de software indican que son “seguras”, pero es importante entrar al detalle de cada punto, para conocer las capacidades reales de cada software en el aseguramiento de la información.
En un próximo blog presentaremos los mecanismos que brinda abox ECM para garantizar la seguridad en todos los aspectos mencionados.