Seguridad TIC

Índice:

1. El alcance de protección de la seguridad TIC
2. Principales amenazas para la seguridad TIC
3. Diferentes tipos de seguridad TIC
4. ¿Cómo evitar riesgos en un gestor documental?

¿Qué protege la seguridad TIC?

La seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel.

Es habitual escuchar el término ciberseguridad como sinónimo de seguridad TIC. Sin embargo, la ciberseguridad es solo uno de los subtipos de la seguridad TIC. La ciberseguridad se encarga de proteger los datos de la empresa de aquellos ataques procedentes de internet. No obstante, los datos de la empresa se enfrentan a problemas de seguridad también fuera del internet. Estos problemas pueden darse debido a múltiples factores que se verán a continuación.

En el siguiente vídeo, Ismael Yuste García, Técnico de innovación, mejora y modernización del Ayuntamiento de Canet d’en Berenguer nos cuenta cuáles son las aspectos más cruciales que una organización debe tener en cuenta con respecto a la seguridad TIC:

¿Cuáles son las amenazas para la seguridad TIC?

Para asegurar una mayor protección de los datos empresariales, las empresas se centran fundamentalmente en los siguientes tres elementos básicos:

Las repercusiones de las amenazas físicas en la seguridad TIC

Las amenazas físicas se pueden dar por varios motivos, como las radiaciones electromagnéticas de un teclado inalámbrico o el acceso libre a un recurso, por ejemplo las de una red wifi libre. En las redes de conexiones inalámbricas libres (las redes wifi) se encuentren sniffers. Estos son sistemas que “esnifan” los datos de usuarios. Los sniffers pueden actuar para hacer auditorías de las redes, comprobar el tráfico de la empresa y monitorizar el comportamiento del mismo. Sin embargo, son conocidos porque si lo pone un hacker puede hacerse con usuarios y contraseñas, lo que hace que no sea muy fiable.

Las redes wifi de las universidades tienen sniffers para evitar que entre gente indeseada que intente acabar con el sistema. Por ello, piden el usuario y contraseña al alumno, profesor o colaborador para conectarse a la red wi-fi. Otra amenaza física son los accidentes naturales en el entorno donde se encuentra el hardwareUn hardware es el componente material que conforma un equipo informático, es decir, todo aquello que se puede tocar, como por ejemplo: la pantalla, el ratón, el teclado, etc. Esto actúa en contraposición al software, que se refiere al componente lógico de un equipo informático (todos los componentes que no se pueden tocar pero que hacen posible la realización de tareas específicas): sistema operativo, procesadores de texto, etc. Gracias a la combinación de software y hardware, un equipo informático funciona correctamente., como cuando ocurre un incendio o hay un apagón, la humedad está muy alta o muy baja, etc.

¿Qué daños pueden provocar las amenazas lógicas?

Las amenazas lógicas son programas que se dedican a dañar el sistema. Estas amenazas aprovechan los fallos y puntos débiles de un sistema para atacarlo y acceder a él. Estos pueden ser:

• Sin intención: esto ocurre cuando un programador comete un fallo. Por ejemplo, bugs o exploits.
• Intencionadamente: hay muchos tipos de programas que buscan hacer daño. Están los softwaresUn software es el componente lógico del que está constituido un equipo informático. Es decir, se trata de una herramienta que está formada por todos los componentes del sistema que no se pueden tocar, pero que hacen posible la realización de tareas específicas, como por ejemplo: procesadores de texto, hojas de cálculo, editores de imágenes, sistema operativo, etc. maliciosos (malware), los virus, las puertas traseras o backdoors, spyware, jokes, dialers,…

El usuario es el eslabón más débil para la seguridad TIC

Los empleados de la empresa son los agentes que más trabajan con los datos, creándolos, editándolos y gestionándolos. Los usuarios de la empresa son considerados el “eslabón más débil” ya que la mayoría de los fallos de seguridad provienen de ellos. Por tanto, es de vital importancia que conozcan cómo proceder para evitar cualquier tratamiento indebido de los datos. Estos usuarios pueden estar actuando de forma activa o pasiva:

• Activa: el usuario busca hacer daño al sistema o sustraer información de forma consciente. Por ejemplo, los crackers o black hat hackers, más conocidos como hackers; antiguos empleados o piratas informáticos que intentan conseguir la información de la empresa o provocar daños.
• Pasiva: el usuario ha perjudicado el sistema sin querer, bien por desconocimiento, o por querer acceder a una información a la cual no tiene acceso. Para evitar que se dé el segundo caso, los sistemas de gestión documentalUn sistema de gestión documental, o document management system (DMS), por sus siglas en inglés, está diseñado para almacenar, administrar y controlar el flujo de documentos dentro de una organización. Se trata de una forma de organizar los documentos e imágenes digitales en una localización centralizada a la que los empleados puedan acceder de forma fácil y sencilla. estructuran los niveles de accesoLa gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores..

Importante: una medida en la que coinciden todos los responsables de seguridad TIC es en la importancia de formar a los usuarios. Una empresa puede tener todas las medidas TIC en orden que, si un usuario procede de manera indebida, podría suponer un peligro muy grave para los datos de la organización.

Los cursos de formación a los empleados se les debería dar en el onboardingEl onboarding o incorporación de nuevos empleados comprende algo más que darles la bienvenida. También, es algo más que poner en marcha asuntos prácticos tales como el acceso al software o el uniforme. Durante la incorporación, no sólo se pretende que el trabajador se familiarice con su ambiente de trabajo y su papel dentro de la empresa, sino que también se intenta hacerle sentir cómodo e involucrado en las actividades empresariales., es decir, cuando entran a trabajar en la empresa. Solo el curso del onboarding no es suficiente, es necesario recordar las normas con charlas a los empleados cada cierto tiempo y, si hay un cambio de legislación para que se respeten las leyes. Si no se hiciera así, los usuarios podrían olvidarse o desconocer cómo realizar su trabajo de forma segura. Ciertas malas praxis que suelen cometer los usuarios son:

• Poner sus contraseñas a la vista en post-its y no cambiarla cada cierto tiempo. Dependiendo del nivel de seguridad que necesite la empresa puede ser que se necesite cambiar la contraseña cada 15 días o cada 6 meses;
• Acceder con un sistema que recuerde las contraseñasEl inicio de sesión único, o Single Sign-On (SSO), es el método de trabajo por el cual los trabajadores consiguen acceso a diferentes aplicaciones empresariales a través de un procedimiento de registro. Por ejemplo, al iniciar sesión desde su ordenador se conectan directamente a todo el software del ordenador., por lo que ya no se tengan que escribir para entrar. Si cualquiera accediera al ordenador, tendría acceso a todos los archivos de la empresa a los que pueda acceder el usuario al que está suplantando;
• Abrir el e-mail no siguiendo el protocolo de seguridad de la empresa, creando así duplicados y una posible fuga de información;
• Usar un USB propio en el ordenador de la empresa, ya que cabe la posibilidad de que esté infectado y se pase el virus al hardware de la empresa;
• Llevarse archivos del trabajo a casa, provocando fugas y duplicaciones;
• Permitir que otros vean la pantalla del ordenador. Por ejemplo, un empleado de un banco le enseña la pantalla a un cliente con sus datos. Este cliente puede ser un buen hacker que, con solo ver la pantalla, ya puede hacerse una idea de cómo colarse en el sistema.

La gestión de la seguridad TIC se encarga de que se realicen todos los procedimientos y normativas establecidas para prevenir ante ataques y fortalecer la seguridad TIC de la empresa. Una de las principales medidas es la concienciación de los empleados respecto a la seguridad TIC de la empresa. Por ejemplo, al implementar un nuevo sistema de gestión documental. Las empresas pueden pedir a los proveedores que, dentro del curso de capacitación de los empleadosLa instalación del software en sí no es más complicada que el de otras soluciones TIC. Pero la adaptación de los trabajadores de la empresa al manejo del nuevo sistema presenta a menudo una serie de problemas. La realidad es que un sistema de gestión documental no supone un cambio meramente tecnológico. Para los empleados de la empresa supone un cambio en su trabajo, en su manera de hacer las cosas y de pensar. Normalmente los cambios tecnológicos son rápidos, pero las personas necesitan un período de aclimatación para aprender a manejarse en entornos que les son desconocidos., hagan especial hincapié en el tema del protocolo de seguridad TIC a seguir.

Además de las políticas de seguridad TIC propias de la empresa, los empleados también tiene que acatar las normas regionales, nacionales o, incluso, en estándares internacionales para garantizar la seguridad de sus datos. Algunas de estas reglas pueden ser obligatorias, como en el caso del reglamento general de protección de datosDesde el 25 de mayo de 2018 se aplica el Reglamento general de protección de datos (GDPR, General Data Protection Regulation) en toda la Unión Europea. Esta ley uniforme transpone las leyes nacionales de protección de datos, como la Ley Orgánica de Protección de Datos (LOPD). El objetivo final de la nueva legislación es la protección de los derechos básicos de privacidad de los implicados.  (General Data Protection Regulation, GDPR). La GDPR clasifica las empresas y sus datos según su nivel de tratamiento de datos: básico, medio o alto. Si los usuarios de una empresa están concienciados y saben cómo tratar los datos personales con los que trabajan, evitará que la empresa sufra peligros de fuga de información y multas indeseadas.

Otras, sin embargo, como las normas ISOLas normas ISO son normativas internacionales para la optimización de los procesos empresariales, fueron elaboradas por la Organización Internacional de la Estandarización (ISO, International Standard Organization). Los miembros de ISO son representantes de los institutos de normalización nacionales, como la UNE en España (Una Norma Española). Estos representantes establecen las normativas ISO en consenso. Las estandarizaciones establecidas por consenso se escriben en un documento en inglés y se facilita su adquisición a través de la plataforma ISO. Las organizaciones nacionales también ofrecen traducciones de dichas normas., no son de carácter obligatorio, aunque sean indispensables a la hora de poder efectuar ciertas actividades. Son estándares internacionales que implantan las empresas para garantizar y demostrar su profesionalidad. Por ejemplo, cuando una empresa busca conseguir un certificado de ISO 27001, la cual se encarga de asegurar que se usan las mejores prácticas de seguridad informática y de información. Entre las medidas de seguridad que señala la ISO 27001 está la de realizar copias de seguridadUna copia de seguridad (backup) es un duplicado de los datos que se hace para poder recuperarlos ante cualquier pérdida o incidente. Por lo tanto, las copias de seguridad forman una parte muy importante de la seguridad TIC de la empresa, ya que sin ellas una empresa podría quedarse sin sus datos. Por ello, en la norma ISO 27001, de seguridad informática y de información, exige que se hagan backups regularmente, que se comprueben que sean correctas y restaurables. regularmente, comprobar que sean correctas y que sean restaurables en caso de que sea necesario.

Esta medida no es algo exclusivo de esta norma, sino que también se recomienda hacer a todas las empresas, sin importar que no tengan dicha norma. De hecho, se recomienda que se haga una copia de seguridad de la empresa al menos 1 vez al día. Hay cuatro tipos de copias de seguridad: copias completas e incrementales.

Las copias completas hacen un back-up de todos los datos de la empresa; las copias diferenciales hacen la copia solo de los archivos que se hayan modificado desde la copia completa; las copias incrementales solo copian lo que se haya cambiado desde la última copia de seguridad (ya sea completa o diferencial); y, por último, la copia espejo o RAID 1 copia los datos en tiempo real (pero si se eliminan del original, también se eliminan de la copia).

Algunas empresas lo que hacen es hacer una copia completa durante el fin de semana y copias incrementales de lunes a viernes. Así, si por cualquier motivo se pierde el sistema, se puede recuperar la copia del fin de semana pasado e ir añadiéndole las incrementales. La frecuencia con la que se hace un tipo de copia u otra depende de los protocolos de la empresa y del tipo de seguridad que necesita.

Tipos de seguridad TIC

Dentro de la seguridad TIC, hay muchos subtipos de seguridad que tener en cuenta. Ya se ha mencionado anteriormente la ciberseguridad, a continuación, se tratará más en profundidad sobre los diferentes tipos de seguridad TIC:

Seguridad en la red

A la seguridad en la red también se le conoce por su nombre anglosajón network security. Esta seguridad se encarga de proteger la red de la empresa, tanto a nivel de softwareUn software es el componente lógico del que está constituido un equipo informático. Es decir, se trata de una herramienta que está formada por todos los componentes del sistema que no se pueden tocar, pero que hacen posible la realización de tareas específicas, como por ejemplo: procesadores de texto, hojas de cálculo, editores de imágenes, sistema operativo, etc. como de hardware. Los responsables de que la red siga intacta, utilizable, e íntegra son los administradores de red o de sistemas.

Los administradores buscan las debilidades de una red y tratan de llevar a cabo medidas proactivas con las que proteger la red de un posible ataque malicioso. Para ello, se realiza una auditoría en la que se redacta un informe de vulnerabilidad con los puntos débiles. En el informe de auditoría se debería incluir:

• Parte externa: en esta parte del informe, se estudia la empresa para asegurarse de que la empresa:
  • Dispone de un certificado que asegure que el cableado está bien puesto, de forma que no se pueda romper ni ser pinchado;
  • Tiene el router actualizado y con las protecciones pertinentes;
  • Tiene los puntos de acceso protegidos, es decir, que no pueda entrar nadie que no esté autorizado, por ejemplo con tarjetas identificativas que permitan la entrada de los empleados a las zonas autorizadas.
  • Denegar también el acceso a la red wifi de la empresa ni en su red.
  Estas son los puntos más importantes, pero, dependiendo del tipo de empresa y de sus actividades, podrían requerirse más puntos a tener en cuenta en la auditoría.
• Revisión de los equipos: hay que revisar ordenador por ordenador para comprobar que todos los softwares, navegadores y los antivirus estén actualizados. Si cualquiera de ellos estuviera desactualizado, eso supondría una brecha de seguridad por donde un cracker podría colarse.
• Controlar a los usuarios: comprobar que los usuarios trabajan siguiendo las medidas de seguridad establecidas en los protocolos de la política de la empresa. Por ejemplo, bloquear páginas que puedan perjudicar la integridad de la seguridad de la seguridad TIC, inhabilitar el uso del pen drive y del CD-Rom. Otra medida que se toma es la de solo permitir que suban un tipo de archivos y, además, que los empleados lo suban después de haber comprobado con el antivirus que es seguro.
• Revelar los datos al gerente: se le da el informe completo de la auditoría al gerente o director para que decida qué hacer a continuación.

Se recomienda que la auditoría lo haga alguien ajeno a la empresa para mantener la objetividad. Una vez redactado el informe, una empresa debe decidir si quien ha redactado el informe es quien se encarga de hacer las mejoras necesarias del sistema o, si tiene un equipo de informáticos especializados, encargarse de forma interna. Esto es importante ya que, si hay algún fallo donde debería estar parcheadoUn parche es una pieza de software que se puede descargar de forma adicional en un paquete de software, y que se instala en el software. Estos softwares se usan para hacer mejoras, actualizaciones, reparar errores o añadir una nueva funcionalidad. Pueden ser desarrollados por el propio proveedor de software, o por otros desarrolladores, que, generalmente, disponen del código fuente (software open source). , el responsable del fallo sería quién se encargó del parcheado, ya sea el auditor o la empresa. Además, tanto si lo ha hecho el auditor o la empresa, también se le puede someter a prueba al punto débil con un sistema de detección de intrusión de red (Network Intrusion Detection System, NIDS). Esto sirve para asegurarse de que todo está correcto.

Además, un error común en las organizaciones es el de no actualizar el software. Esto se debe a que si se actualiza, las personalizaciones realizadas dejan de funcionar. Esta práctica no es nada recomendable, ya que deja brechas de seguridad a través de las cuales podrían entrar amenazas para los datos de la empresa. Otros consejos para una empresa sería el de tomar diversas medidas de prevención como: añadir palabras random a las contraseñas para hacerlas menos comunes, cambiar las contraseñas al menos dos veces al año, control de accesoEl control de acceso es una técnica de seguridad que verifica el permiso que tiene una persona o dispositivo para entrar en un área y hasta qué punto. Esta función se encuentra dentro de la gestión de identidad y acceso de una empresa. Existen 2 tipos de control de acceso: Físico y Lógico. El físico consiste en recibir autorización para entrar a lugares concretos, como determinados departamentos o áreas de la empresa. El control de acceso lógico, sin embargo, permite el acceso al usuario o dispositivo a unas determinadas redes informáticas, archivos del sistema y datos., honeypots (señuelos que objetivo posibilitan detectar cualquier un ataque informático y obtener información del mismo y del atacante), etc.

Ciberseguridad

La ciberseguridad (cybersecurity o internet security en inglés) trata de prevenir y protegerse de la incertidumbre que hay en internet. Por tanto, la ciberseguridad se enfoca en la manera en la que la información se envía y se recibe en los navegadores.

Además,la ciberseguridad está estrechamente relacionada con la seguridad de red. En muchos casos, incluso es común que estos dos tipos de seguridad se solapen, por ejemplo, cuando una red interactúa con una aplicación web. En este caso, para evitar enviar información por toda la red, las empresas bloquean posibles intrusiones con firewalls, anti-malware y anti-spyware.

Por otra parte, para proteger los canales de comunicación, la ciberseguridad de la empresa implementa los protocolos de TCP/IP y de encriptación de capa de conexión seguraLa capa de conexión segura, o Secure Sockets Layer (SSL) en inglés, es un protocolo de seguridad tecnológica. El SSL se encarga de establecer un vínculo encriptado asegurando que todos los datos que se transmiten entre un servidor web y un navegador se mantienen íntegros y privados. Esto puede resultar muy útil en casos como, por ejemplo, de e-commerce en los que los clientes van a introducir sus datos sensibles como números de tarjetas bancarias, de identificación (pasaporte o dni), dirección, etc. (Secure Sockets Layer, SSL) o de seguridad de la capa de transporte (Transport Layer Security, TLS). Otros métodos de protección son los tockens de seguridad, WebSockets, cifrado de extremo a extremo (end-to-end encryption), etc.

Seguridad en la nube

La seguridad en la nubeLa seguridad en la nube es uno de los aspectos que más se cuidan por parte de los propios proveedores de estos sistemas y entornos. Tanto Microsoft, como Amazon, Google, IBM, Rackspace y otros muchos proveedores de cloud computing, intentan incluir fuertes medidas de seguridad para que el usuario no tenga que preocuparse de este aspecto al utilizar sus servicios. (Cloud Security) adquiere cada vez mayor importancia ya que se ha incrementado el uso de la nubeLa nube (o cloud, en inglés) hace referencia a una nueva forma de implementación y de uso de software en las empresas, con el propósito de que todos los datos y aplicaciones se conviertan poco a poco en servicios online. Este modelo ha creado el concepto de movilidad total, otorgando al usuario la posibilidad de acceder a su información desde cualquier parte del mundo, con la única limitación de disponer de un dispositivo con acceso a internet. que hacen las empresas. Esto se debe a que muchos de los servicios y herramientas que se desarrollan y contratan hoy en día están la nube. Ya sean servidoresUn servidor es un aparato informático que almacena, distribuye y suministra información. Los servidores funcionan basándose en el modelo “cliente-servidor”. El cliente puede ser tanto un ordenador como una aplicación que requiere información del servidor para funcionar. Por tanto, un servidor ofrecerá la información demandada por el cliente siempre y cuando el cliente esté autorizado. Los servidores pueden ser físicos o virtuales., e-mails, almacenamiento de datosEn su significado original, el almacén de datos significa puramente el almacenaje de la información. No obstante, la descripción original de Bill Inmon, el padre del almacén de datos, dice lo siguiente: “el almacén de datos consiste en la recopilación de datos orientados, integrados, dependientes del tiempo, que suponen la base de las decisiones de gestión» (Inmon, 1992 – traducción propia)., aplicaciones o informática.

La empresa debe establecer protocolos para protegerse ante cualquier peligro que se derive de la nube, teniendo en cuenta si pública, privada o híbridaUna nube híbrida es aquella que combina nubes públicas con privadas dentro de su infraestructura informática. Normalmente, cada uno de los servicios de la nube integrados dentro de una nube híbrida tiene una función distinta. En este caso, la nube privada puede ser utilizada para datos más sensibles o que requieren acatar leyes como la LOPD y la nube pública la que se utiliza de soporte a la nube privada.. Para ello, se crea un marco de seguridad cloud con la estrategia establecida para gestionar las operaciones en la nube, control de acceso, protección de datos, encriptación etc. Aquí los usuarios también tiene que tener sus pautas de seguridad para que no se suba ningún archivo infectado, ya que podría infectar al resto. La seguridad en la nube significa que el servidor no está en la oficina, sino que está en otro emplazamiento lo tiene un proveedor. En el segundo caso, la seguridad del servidor corre a cargo del proveedor. El proveedor tiene un equipo de trabajadores especializados en los servidores para garantizar la seguridad del servidor.

Atención: cuando se tiene un sistema en la nube, hay que asegurarse de que el servidor donde se aloja cumple con la legislación. Por ejemplo, que el servidor esté físicamente en Europa y que no haga transferencias de datos internacionales puede prevenir que no se cumpla con el reglamento general de protección de datos. Sobre todo si se trata de datos personales.

En el caso de que el software estuviera instalado en localEl término on-premise o en local se refiere al tipo de instalación de una solución de software. Esta instalación se lleva a cabo dentro del servidor y la infraestructura (TIC) de la empresa. Es el modelo tradicional de aplicaciones empresariales. Con el modelo on-premise, la empresa es la responsable de la seguridad, disponibilidad y gestión del software. Por lo que la empresa debe tener un departamento de sistemas que dedique parte de sus recursos a la gestión de la infraestructura in situ. (on-premise), es la empresa misma la que debe hacerse cargo de la seguridad de sus servidores. Para ello debe tomar medidas de seguridad físicas donde se encuentren los servidores. Estas medidas son de tipo: contra incendios; acceso vigilado y limitado al emplazamiento; mantenimiento de nivel de humedad óptimo; etc. Y, también, establecer medidas de seguridad lógicas como: muros, cortafuegos y sistemas de usuarios y contraseñas.

La ventaja de seguridad que presenta el on-premise es que, si la empresa quiere llevar cualquier cambio o personalización, pueden comenzar instantáneamente sin tener que esperar al proveedor. Si la empresa no tiene un equipo específico y especializado en el mantenimiento de los servidores en local, también puede subcontratar este servicio a una empresa que se dedique a ello.

Seguridad en los dispositivos

Este tipo de seguridad, también conocida como end-point security, se centra en proteger a la empresa a nivel de dispositivos. Es decir, refuerza la protección de los datos en el momento de entrada y salida.

Por tanto, cualquier dispositivo que pretenda acceder a la red empresarial debe estar autorizado para garantizar la seguridad. Estos dispositivos pueden ser teléfonos inteligentes (smartphones), ordenadores, portátiles, tablets, puntos de venta inalámbricos (wireless), entre otros. En el caso de los smartphones, si la plataforma con la que se va a trabajar es a través de un enlace de internet, es fácil. La complejidad añadida aparece con los sistemas operativos, que para las operaciones cotidianas no dan problemas, pero cuando el móvil debe acceder a un software es más complicado.

Algunas empresas proporcionan dispositivos móviles a sus empleados o les ofrece la modalidad de “trae tu propio dispositivo” (Bring Your Own Device“Trae tu propio dispositivo”, más conocido como Bring Your Own Device (BYOD), se refiere a la moda por la que los empleados se llevan su equipo privado al trabajo. Por lo que ellos usan su propio portátil, tablet o teléfono móvil para realizar tareas. Esta tendencia surge del deseo cada vez mayor de los empleados para poder trabajar de forma flexible., BYOD) para trabajar fuera de la oficina. Tanto el proveedor del software como el administrador de la empresa pueden dar de alta o de baja la autorización de los dispositivos. Por tanto, si el dispositivo ha sido robado, hay que comunicárselo inmediatamente al proveedor para que lo dé de baja.

La forma más común de seguridad en los dispositivos en acción es la red privada virtual (Virtual Private Network, VPN). Este es el caso del ejemplo anterior, en el que para acceder a la red wifi de las universidades, hay que insertar en el dispositivo el usuario y la contraseña. Además, si alguien no autorizado intenta entrar en el sistema a través de un sistema, la huella digital identificará al intruso, se le negará el acceso y alertará al proveedor para que tome las medidas pertinentes.

Otra medida de seguridad que deberían tomar las empresas es la de inhabilitar la posibilidad de conectar un dispositivo USB y la de subir los archivos de la empresa a cualquier servidor de alojamiento de archivos externo, por ejemplo, Dropbox, ya que no se compromete a que el servidor esté en Europa ni que cumpla con las normas del GDPR. Al denegar la conexión, se protege a la empresa de dos formas: una, impidiendo que entre cualquier malware que pudiera encontrarse en el dispositivo USB del usuario; y la segunda, impidiendo la fuga de datos.

Seguridad TIC en un sistema de gestión documental

La seguridad TIC tiene mucho cuidado con los archivos de la empresa, es por eso que un sistema de gestión documental juega un gran papel en la seguridad. Dentro de las diferentes medidas para la protección de los datos con la gestión documental se incluye: establecer usuarios y contraseñaLa gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores. y diferentes niveles de control de accesoEl control de acceso es una técnica de seguridad que verifica el permiso que tiene una persona o dispositivo para entrar en un área y hasta qué punto. Esta función se encuentra dentro de la gestión de identidad y acceso de una empresa. Existen 2 tipos de control de acceso: Físico y Lógico. El físico consiste en recibir autorización para entrar a lugares concretos, como determinados departamentos o áreas de la empresa. El control de acceso lógico, sin embargo, permite el acceso al usuario o dispositivo a unas determinadas redes informáticas, archivos del sistema y datos.. Con esta medida, los empleados que no deban tener acceso a ciertos documentos, no los podrán ver ni sabrán que esas carpetas existen. Los gerentes pueden inhabilitar la cuenta del empleado, pero desconocen los usuarios y contraseñas de los empleados. Este desconocimiento evita que se modifiquen los documentos sin el conocimiento del empleado y para evitar pequeñas revanchas que se puedan tomar por temas personales.

Si para hacer una operación un empleado que no está autorizado a cierto documento tiene que acceder a él, se le puede conceder un permiso temporal. El acceso se permite con la concesión de la llave del gerente o director. Por ejemplo, si un ingeniero informático quiere acceder a un documento al que no tiene acceso, su gerente y alguien de dirección deben otorgarle una clave para que pueda acceder.

Atención: cuando se le concede el acceso temporal a un archivo a un empleado, el gerente o el director pueden concederle un permiso con ciertas limitaciones. Por ejemplo: que solo puedan verlo durante 10 minutos o dejarles consultar el documento pero no modificarlo.

Además, se recomienda almacenar los documentos en un sistema de gestión documentalTodas las empresas tienen una razón específica para querer archivar algunos documentos. Un archivo digital está bien diseñado cuando se puede acceder fácilmente. Un empleado puede buscar en el sistema a través de metadatos o contenido y, de esta forma, encontrará rápidamente el documento deseado. Por ejemplo, en una discusión sobre una duda de una herencia, un notario puede ver rápidamente los documentos que aclaran legalmente qué persona tiene el derecho respecto a algo.. Este software permite trabajar con los documentos de forma segura, encriptando las carpetas donde están los archivos, para que no sean legibles por alguien ajeno a la empresa. Las medidas de seguridad y funcionalidades del gestor documentalUn sistema de gestión documental se encarga del almacenaje, gestión y seguimiento de documentos. Cada software tiene funcionalidades básicas diferentes. Algunas de las funcionalidades más comunes son: entrada de documentos, indexación y búsqueda de documentos, procesamiento de documentos y automatización de los flujos de trabajo, seguridad y panel de usuario. pueden varias dependiendo de la forma de trabajar de la empresa. Sin embargo, una funcionalidad que no suele faltar es el control de trazabilidadEl control de trazabilidad consiste en el seguimiento de un elemento desde su origen hasta que llega a su destino final. Cada vez más exigido por ley a las empresas. Por tanto, muchas empresas contratan un software de gestión documental que incluya la función de control de trazabilidad. Así pueden comprobar las empresas el historial de un documento y rastrearlo durante el ciclo de vida del documento. Es decir, desde el momento de su creación hasta que está totalmente listo. Esto es muy útil para casos en los que se tiene que respetar un plazo final o para se respete la ley vigente de protección de datos., ya que así se puede saber quién creó el documento y quiénes lo han editado. De esta forma, si se detecta un error, se puede saber quién lo cometió o cuándo y proceder a solucionarlo.

La trazabilidad está muy relacionada con el control de versionesSe llama control de versiones a la gestión de cambios efectuados en un documento, programa, imagen, website y otros archivos que contengan información. Los cambios se registran de forma automática y pueden ser identificados mediante números o combinaciones alfanuméricas. En los sistemas de gestión documental con funciones avanzadas de control de versiones, cada cambio no señalará únicamente las modificaciones efectuadas, sino quién y cuándo se realizaron., ya que se puede volver a versiones anteriores de un documento. No obstante, hay que especificar al proveedor si se desea o no que los documentos se puedan descargar. Si se les ofrece a los usuarios la oportunidad de descargar los archivos, hay que otorgarles un seguimiento a los documentos para saber quién ha descargado el documento, si se lo ha enviado a alguien y si ese alguien lo ha mandado a más gente. Si no se les concede la posibilidad de descargar los documentos, estos tendrán que editarse desde el sistema, evitando la duplicidad del documento y la fuga de datos.

El problema de la duplicidad también se puede dar si los empleados se pasan los archivos por email en vez de por el sistema de la empresa. Ya que eso repercutirá en el número de copias que existen del documento y puede inducir a error a la hora de llevar un proyecto a caboA la hora de gestionar proyectos hay que tener en cuenta que cada proyecto es único y que pueden ser de sectores muy diversos. Por tanto, cada proyecto también tendrá diferentes documentos, materiales, personal, duraciones, presupuestos, requisitos, etc. Desde un software ERP, se puede coordinar toda esta información de forma centralizada y sacar informes para llevar un seguimiento y previsiones del proyecto.. Por ejemplo, si una empresa de construcciónEn las empresas del sector de la ingeniería, como empresas de arquitectura, construcción, mecánica, aeronáutica, eléctrica, las formas de trabajo se centran en proyectos. Estos proyectos se realizan con diferentes organizaciones colaboradoras y clientes que aportan y reciben información a lo largo de todo el proyecto. Este concepto de colaboración engloba la mayoría de los requisitos que se piden a los gestores documentales en ingeniería. va a comenzar con la construcción de un centro comercial y se tiene varias versiones distintas del documento que se ha validado. Se podría comenzar a construir una versión del documento que no es la correcta y, para cuando se dieran cuenta, sería muy tarde y se retrasaría la fecha de finalización de la obra.

Otro problema de duplicidad de documentos surge cuando los empleados imprimen los documentos. En algunas empresas se imprimen los documentos para que se firmen o se compulsen y los escanean para subirlos al sistema. En este caso se pueden tomar dos medidas: una, consistiría en subir la imagen a sistema y ponerlo en la carpeta suplantando la versión anterior o señalando que es la versión actualizada y que la que se imprimió está desactualizada. Tras la correcta subida de la nueva versión, es posible que se tenga que destruir el documento físico o archivarlo correctamente para que nadie sin autorización a dicho documento pueda consultarlo.

La segunda medida supone un cambio en la forma de actuar de la empresa. Este cambio consistiría en otorgar firmas electrónicas cualificadasEl término firma digital se usa para referirse a una forma electrónica de firma. Esto puede ser una firma electrónica ordinaria o una firma electrónica cualificada. A veces, sólo la segunda forma recibe la definición de digital. Una firma electrónica ordinaria se parece a la firma tradicional. Con ayuda de un bolígrafo electrónico o de una firma escaneada pueden firmarse los documentos electrónicos y los e-mails. La firma confirma la identidad del firmante. Mientras que, con la firma electrónica cualificada, se adjuntará al certificado cualificado un documento o acción de autorización. Este certificado confirma la identidad del firmante y su autoridad para firmar. Además, garantiza que nada ha cambiado en el documento o acción a firmar. Finalmente, el certificado también hace que la firma sea legalmente válida. a los usuarios que tengan que compulsar y firmar estos documentos. Al concederles la firma, podrían agregarla en la versión del sistema sin tener que pasar por imprimir, firmar, compulsar y escanear. Esta segunda medida significa tener que hacer una mayor inversión de dinero, por las modificaciones, y de tiempo, por enseñar al personal cómo funciona. Sin embargo, a largo plazo ahorraría tiempo y aumentaría la eficacia, ya que, en vez de tener que: imprimir, llevar el documento a que lo firmen, que lo firmen, y que finalmente se escanee y se suba; solo se manda al responsable de firmar y, en cuanto este lo reciba, puede firmarlo desde el sistema y pasarlo a quién se requiera.

En otros casos, los usuarios imprimen los email no porque sea una metodología de la empresa, sino para estudiarlos en papel físico, hacer anotaciones y, así, luego, trabajar sobre el original o para pedir consejo a un compañero. Esta práctica es desaconsejable ya que puede que se le olvide pasar una modificación o que lo vea alguien que no deba. Para ello, en los cursos y charlas de seguridad este es uno de los temas a tratar con los empleados y se les enseña dónde está el apartado de comentarios del sistema.