Funcionalidades de seguridad en Sistemas de Gestión Electrónica de Documentos de Archivo
En este blog nos centramos en los requisitos funcionales más significativos que ayudan a entender cómo un software aporta seguridad en el manejo de la documentación corporativa.
Existen multitud de guías y compilaciones de requisitos funcionales de muy diversa índole y calidad circulando en Internet. Entre los pliegos más serios de requisitos para sistemas de gestión documental recomendamos las guías europeas de Moreq 2010 (Modular Requirements for Records Systems).
Aseguramiento de la no vulnerabilidad del software
Una vulnerabilidad es un fallo o debilidad en los procedimientos de seguridad de los sistemas, diseño o implementación de los mismos que pueda conducir a la violación de la política de seguridad del sistema o, en otras palabras, permitir a intrusos (“hackers”) el acceso no autorizado a los recursos informáticos.
El testeo de la vulnerabilidad depende de dos pruebas esenciales: Diagnóstico de la Vulnerabilidad y Testeo de Penetración. Ambas técnicas difieren por el esfuerzo que implican y las tareas que se requieren en cada una. No obstante, se recomienda combinar ambas técnicas para realizar un análisis completo y serio.
El listado de ataques se toma como referencia del listado de vulnerabilidades más presentadas, desarrollado anualmente por el proyecto OWASP bajo el título de “OWASP Top Ten Project” disponible en: https://www.owasp.org/index.php/Category:OWASP_Testing_Project
Para revisar metodologías de desarrollo seguro de aplicaciones se recomienda evaluar BSSIMM – The Building Security In Maturity Model, Security Development Lifecycle y/o Software Assurance Maturity Model.
abox ECM ha superado las pruebas de vulnerabilidad a las que ha sido sometido en varias de sus implantaciones principales, como en la Empresa de Energía de Bogotá (EEB).
Transmisión segura de la información y cifrado de archivos
El software debe poder ejecutarse bajo protocolo HTTPS sin merma apreciable en su funcionalidad o rendimiento. Esto puede tener costos de adquisición y mantenimiento del certificado SSL que permite el cifrado de los datos entre el servidor y los clientes.
El SGEDA debería permitir almacenar de forma cifrada las imágenes y archivos ofimáticos manejados por la aplicación, particularmente cuando el almacenamiento de los archivos se realiza por motivos de eficiencia fuera de la base de datos relacional.
Ambos requisitos son cubiertos por nuestra solución abox ECM.
Gestión avanzada de contraseñas y opción de integrar con Directorio Activo
Las contraseñas deben ser seguras y contener una diversidad de caracteres (mayúsculas, minúsculas, símbolos y números), una longitud mínima configurable, la posibilidad de programar su desactivación, la capacidad de que cada usuario se la cambie, entre otros.
Se debe ofrecer un recordatorio seguro de la contraseña, como por ejemplo, el envío de nuevas claves al correo electrónico del usuario.
Por otro lado, el sistema debe controlar un tiempo máximo de conexión para impedir que la sesión del usuario permanezca después de que éste deje de estar activo en la aplicación.
Es importante disponer de un registro de autenticaciones (logins y logouts) para controlar los accesos a la plataforma.
Por último, debemos contar con la opción de integrar los usuarios con el Directorio Activo de la organización para centralizar las contraseñas.
Política avanzada de seguridad sobre los contenidos
En un SGEDA la información se halla almacenada en “contenidos” y organizada conforme a un potente esquema de clasificación que incluye múltiples niveles como las dependencias, bandejas, series y subseries, expedientes, etc.
Los contenidos pueden ser de naturaleza muy variada:
- Sitios web, módulos, entradas de menú y páginas web.
- Agrupaciones documentales, como expedientes o bandejas de contenidos.
- Documentos (fichas que combinan imágenes, archivos y metadatos).
- Metadatos (agrupados por esquemas).
- Archivos o ficheros (que se vinculan a los contenidos anteriores).
- Noticias, avisos, alertas, etc.
Cada contenido debe disponer de un control de acceso y controles sobre acciones. No es lo mismo poder consultar determinados contenidos, que disponer de permisos para ejecutar ciertas acciones sobre dichos contenidos.
Una organización puede tener acceso a una bandeja determinada. Entonces los usuarios asignados a esta organización podrán consultar los contenidos situados en dicha bandeja y en sus bandejas “hijas”.
Un rol puede tener permiso para supervisar las tareas de otros empleados de su oficina. En tal caso, los usuarios que cuenten con este rol podrán supervisar las tareas de otros usuarios de sus respectivas oficinas.
Un usuario, además de sus permisos heredados, podría tener opción de búsqueda y consulta sobre ciertas series documentales, por ejemplo, contratos de menor cuantía. En tal caso, se le podrían dar permisos singulares a este usuario, o bien a contratos individuales, o bien a la bandeja donde se almacenan los expedientes de dicha serie, a pesar de que dicha bandeja quede fuera de las dependencias asignadas al usuario.
También es posible anular permisos heredados a un contenido específico. Por ejemplo, se podría restringir el acceso a cualquier usuario de la organización a un documento de carácter confidencial.
En el sistema abox ECM se implementa una política de seguridad muy potente que consta de varios pasos:
- Definir roles de usuarios, atendiendo a las obligaciones, capacidades y privilegios de manejo del software.
- Definir el organigrama corporativo, del cual dependen los derechos de acceso y consulta de la información.
- Asignar permisos de acción a cada una de las entidades manejadas por el software, por roles de usuarios.
- Asociar a los usuarios a las dependencias y roles adecuados, lo que determinará sus credenciales para consultar y actualizar la información.
- Asignar sitios web, módulos y entradas de menú por roles y/o dependencias de usuarios.
- Asignar permisos de acceso y edición a las bandejas, organizadas por dependencias.
- Asignar permisos de consulta y edición a los metadatos que se manejan en la herramienta.
Los permisos de acceso se configuran por defecto en las bandejas que corresponden a cada dependencia y se heredan automáticamente.
Es posible asignar permisos individuales hasta a un solo expediente o un solo documento, o configurar permisos por clases de expedientes o documentos.
El control de permisos de acciones se realiza por módulos, con decenas de entidades donde se puede especificar el permiso por rol de una forma muy detallada.
Registro de acciones y estadísticas
Un SGEDA debería ser capaz de registrar la actividad de todos sus usuarios, incluyendo las capturadoras y pasarelas que cargan documentos al sistema automáticamente.
Las principales variables a controlar por un SGEDA son:
- Logs de errores o intrusiones al sistema. Aquí se puede trabajar con reporteadores de accesos y errores del propio sistema operativo o framework, algunos de ellos “open-source”, muy útiles para alertar a los administradores sobre incidencias en el aplicativo (ejemplo: sistema ELMAH).
- Logs de auditoría. El sistema registra las acciones críticas que se realizan sobre los usuarios o contenidos del sistema, incluyendo detalles de acciones realizadas, modificaciones hechas, fecha/ hora, IP de acceso, etc.
- Logs de autenticación al sistema. El sistema debe registrar los logins y logouts de acceso, así como los intentos frustrados.
- Logs de notificaciones. El sistema debe registrar las notificaciones enviadas por correo electrónico, ya sean éstas a solicitud de usuarios, o enviadas automáticamente por el sistema (p.ej. alertas).
- Estadísticas de acceso. La aplicación debería registrar estadísticas de acceso a los principales contenidos manejados por la aplicación, esto es, expedientes y documentos.
- Estadísticas de descargas. La aplicación debería conocer si un contenido fue descargado por un usuario determinado.
Gestión de records con firmas electrónicas
Para determinar la validez de un documento, los SGEDA deben implementar mecanismos de autenticación de los archivos cargados al sistema, de manera que se asegure que estos no se han cambiado desde que fueron radicados o aprobados. Es lo que denominamos el manejo de “evidencias” o “records management”.
En abox ECM, los “records” se firman mediante “algoritmos de hash seguros” o SHA. Un SHA permite crear una huella digital, teóricamente única, de un archivo. Al ser radicado en el sistema como una evidencia (o al ser aprobado o firmado un documento), la aplicación calcula su “hash” y lo almacena en la base de datos.
Cada vez que se muestra el documento en pantalla, el sistema recalcula su hash y lo coteja con el almacenado en la base de datos. De esa manera se obtiene una seguridad muy elevada en la autenticidad del documento (en teoría 1 entre un número de 24 ceros para encontrar un archivo distinto con la misma huella).
Bloqueo de descargas ad-hoc y conversión de contenido a confidencial
No siempre se requieren medidas de control permanentes. Existen determinadas funcionalidades que pueden ayudar a preservar la confidencialidad de los documentos también de forma temporal.
Una opción que ofrece abox ECM es el bloqueo de los anexos, para impedir que ningún usuario pueda visualizar o descargarse un documento (su imagen o anexo principal), mientras que dicho documento permanezca en bloqueo.
Otra opción es declarar un documento como confidencial, lo que evitará que pueda ser encontrado y consultado por el resto de usuarios, salvo aquéllos roles de máxima responsabilidad que se determinen en la fase de parametrización del software.
Cierres de expedientes y bandejas y generación de índices
Los cierres de una bandeja o un expediente permiten garantizar que los contenidos almacenados dentro de dichas bandejas o expedientes no sean modificados. El cierre impide cualquier alteración, inclusión o eliminación de contenidos.
Una vez cerrado un expediente, solamente las personas que dispongan de un permiso administrativo especial podrán reabrirlo. La reapertura quedará grabada en la traza de auditoría del propio expediente.
Existe una opción de máxima seguridad que es el cierre certificado con índice. El índice permite detectar modificaciones en la composición de la bandeja o el expediente mediante una huella digital segura o “hash” (SHA). Adicionalmente, es posible descargar el índice con objeto de inventariar los contenidos de la bandeja o expediente.
El índice representa el máximo nivel de seguridad para el cierre de bandejas y expedientes, dado que es tan sensible, que el más mínimo cambio en los contenidos hará que se invalide y el contenedor aparecerá marcado en rojo.
Certificación de anexos y acciones relevantes mediante firmas digitales
Los SGEDA permiten realizar firmas digitales sobre contenidos o acciones relevantes, utilizando para ello certificados de firma digital suministrados por el cliente. Las firmas digitales certifican al autor y/o la procedencia del autor y, en casos determinados, la acción llevada a cabo junto con la fecha y hora en la que se efectuó.
Un certificado de firma digital es un documento electrónico que se emite a una persona o entidad, contiene datos que acreditan la identidad del titular del certificado ante terceros, tiene asociado un par de llaves (llave pública y llave privada), posee un periodo de vigencia implícito, es emitido y firmado por una Autoridad Certificadora reconocida como tal, que garantiza que el titular del certificado es quien dice ser.
El Certificado de Firma Digital contiene la siguiente información:
- Código identificador único del certificado.
- Identificación de la Autoridad Certificadora que lo emitió.
- Firma digital de la Autoridad Certificadora
- Identidad del titular del certificado.
- Dirección de correo electrónico del titular.
- La llave pública del titular del certificado.
- Periodo de validez del certificado.
abox ECM permite implementar diversas modalidades de firma:
- Con certificado en posesión del usuario (ficheros de firma p12 o pfx);
- Con certificado guardado en el PC del cliente (p.ej. almacén de certificados del navegador);
- Con certificado/s almacenado/s en el propio servidor de la organización.
Para implementar la firma, abox ECM maneja una estructura de datos especial que permite configurar los elementos que se desea firmar, incluyendo campos fijos, metadatos y anexos (imágenes). Es posible incorporar una o varias firmas digitales a cualquier bandeja, expediente o documento.
Por tanto, las firmas se pueden estampar sobre cualquier contenido y no solamente sobre el archivo de imagen o texto (PDF, Word, Excel, etc.), por lo que pueden garantizar no solo la autenticidad de los anexos, sino también de los valores de los metadatos en el momento de realizar la operación de firma (p.ej. firmar la factura junto con los valores extraídos de la misma).
De esta manera se puede evaluar si cualquiera de los elementos firmados experimentó cualquier cambio.
Conversión de anexos en formatos estándar de larga conservación PDF/A (ISO 19005)
Para el cumplimiento de la normatividad archivística es importante guardar los documentos en formatos estándar, que no dependan de un fabricante específico (como Microsoft), y que tengan garantías de soporte y preservación a largo plazo.
La norma ISO-19005 propone el formato PDF/A como estándar para la preservación documental de documentos a largo plazo.
Este estándar no define una estrategia para el almacenamiento, sino que identifica un «patrón» para los documentos electrónicos, que asegure que estos puedan ser reproducidos con exactitud en el futuro. Un elemento clave para alcanzar este objetivo es la exigencia para documentos PDF/A de estar 100% auto-contenidos. Toda la información necesaria para mostrar el documento de forma consistente estará presente en el archivo. Esto incluye, entre otras cosas, el contenido propiamente dicho (el texto, imágenes y gráficos vectoriales), las fuentes utilizadas, y la información de color. No está permitido para un documento PDF/A el depender de fuentes externas (p.ej. programas de tipografía o hiperenlaces).
abox ECM permite realizar la conversión a formatos PDF/A 1a y 1b en cualquier momento del flujo documental (por ejemplo, al ser enviado el expediente al archivo), siendo posible en ese momento sustituir el anexo principal por el equivalente en PDF/A, o complementar el anexo real (p.ej. en Word) con un anexo secundario que sea su equivalente en PDF/A.
Digitalización certificada
La digitalización certificada es un mecanismo que permite asegurar la autenticidad y la fidelidad del proceso de digitalización de los documentos. Impone una serie de requisitos sobre ciertos aspectos ligados al proceso de digitalización:
- El formato y la calidad de la imagen;
- El aseguramiento de la calidad del proceso completo de digitalización;
- La seguridad del proceso, haciendo imposible la manipulación de la imagen digitalizada;
- La inclusión de una firma digital con estampa cronológica asegurando la validez del escaneo.
La importancia de la digitalización certificada es su consecuencia jurídica que se concreta en dos beneficios significativos para cualquier entidad pública o privada:
- La posibilidad de devolver los originales al remitente.
- La posibilidad de destruir los ejemplares físicos.
El terreno jurídico de la digitalización certificada está todavía en fase de desarrollo en los diferentes países del entorno latinoamericano.
En cada país se han decretado leyes que amparan la digitalización de los procesos y dan soporte legal al proceso de sustitución del original físico por su equivalente electrónico.
Así en España, tras la publicación de la norma EHA 962/2007 de 10 de abril de 2007, cabe la posibilidad de destruir las facturas recibidas en papel si previamente se ha realizado un proceso de digitalización certificada. La homologación del software que implementa la digitalización certificada exige ciertos requisitos que se detallan en la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007.
El módulo de digitalización certificada de abox ECM es conforme a los requisitos exigidos en el artículo 7 de la Orden EHA/962/2007, de 10 de abril, y fue homologado el 20/04/2009 por el Dpto. de Informática Tributaria de la AEAT con la referencia de homologación: 4187598A0D12B49F.
En Colombia, la digitalización certificada viene especificada en la guia-5-digitalizacion-de-documentos de la Alta Consejería para el Buen Gobierno y la Eficiencia Administrativa del MinTICs (Dirección de Gobierno en línea) y por el “Protocolo para Digitalización de Documentos con Fines Probatorios del AGN” del Archivo General de la Nación (AGN).
En estas guías se describen los procedimientos mediante los que puede demostrarse que una copia (en papel o digital), es una copia verdadera del original, de igual validez jurídica y probatoria, sea su origen un fichero electrónico de datos, o un original físico.
Es claro que la digitalización certificada requiere no sólo una reingeniería del proceso de recepción, digitalización, distribución y clasificación de los documentos, sino también contar con un software que permita garantizar la calidad y seguridad del proceso.