domingo, 26 de agosto de 2012

Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad


Revisando apartes del libro “Safeguarding critical e-documents. Implementing a program for securing confidential information assets” publicado por John Wiley & Sons bajo la autoría de Robert F. Smallwood, se identifican una serie de conceptos y elementos interesantes alrededor de los documentos electrónicos o internacionalmente denominados e-documents.

En primer lugar define lo que significa el gobierno de la información, como aquello que la organización adelanta para mantener la seguridad, el cumplimiento regulatorio y los estándares éticos cuando se maneja información, datos y documentos. Seguidamente el autor detalla la definición anterior y formula una declaración más elaborada que reza:
El gobierno de la información involucra la creación, mantenimiento, monitorización y cumplimiento de las políticas referentes al uso de la información – incluyendo información no estructurada como los documentos electrónicos- para cumplir con las demandas de cumplimiento externo y con el gobierno del control interno.”

De otra parte, en el desarrollo de su libro define una concepto clave para tener en cuenta frente a situaciones de falla parcial o total en una organización: registros vitales (vital records): “registros claves o de misión-crítica que son necesarios para que una organización continúe operando en el evento de un desastre”. Dichos registros deberán ser protegidos de la destrucción pues ofrecen, como se establece en el libro, evidencia de la condición legal de la empresa, propiedad, registros contables, obligaciones particulares, lo cual hace que los mismos deban ser mantenidos en su forma original para que sean legalmente admisibles como evidencia.

En este sentido, se advierte que los documentos electrónicos, entendidos éstos como los define la Dra Mariliana Rico: “(…) la representación idónea capaz de reproducir una cierta manifestación de la voluntad, materializada a través de las tecnologías de la información sobre soportes magnéticos, ópticos o similares (…) que se expresan a través de mensajes digitalizados que requieren de máquinas para ser percibidos y comprendidos por el hombre.”, establecen un reto emergente en el ejercicio de la protección de los mismos frente al uso de éstos en diferentes contextos.

Los vectores de ataque que se pueden materializar frente a los documentos electrónicos, están referidos a su acceso, uso, recuperación, transmisión y disposición final. En este sentido, Smallwood, siguiendo lo establecido por un documento de Forrester Research, propone algunos patrones de diseño asociado con la seguridad de los datos en un contexto ubicuo. Para ello la firma consultora establece:
  1. Uso de clientes delgados: Esta consideración establece acceso a la información en línea, sin operación o manejo local, donde no existe almacenamiento de datos, documentos o programas, manteniendo la información clasificada como confidencial almacenada y custodiada de manera central.
  2. Uso de dispositivos delgados: Estos dispositivos deben ser configurados para efectuar consultas de los documentos originales y mantener copias que no pueden ser modificadas  o alteradas. Adicionalmente se recomienda poder configurar la posibilidad de borrar  o eliminar la información de manera remota ante eventos de pérdida del dispositivo.
  3. Procesos protegidos: Esto consiste en tener en el equipo de escritorio (que generalmente no es propiedad de la organización y tampoco es controlado por ésta) una partición local protegida donde se almacenan los documentos electrónicos, para ser procesados de manera segura y controlada. Este patrón permite una operación local, operación fuera de línea, administración central, seguridad granular a nivel de documento y borrado remoto de ser necesario.
  4. Datos protegidos: Desarrollar un programa de information right management (IRM) embebido dentro de los documentos o datos con el fin de proveer un ciclo de vida de documento seguro. Esto es los derechos de acceso sobre los datos dependen del contexto, es decir, de dónde y cuándo un usuario puede tener acceso. Por ejemplo, se quiere que tenga acceso en su computador de escritorio, en las horas laborales.
  5. Ojos en el cielo: Establece el uso de tecnologías como el DLP (Data Loss Prevention) para revisar el contenido del tráfico de redes y controlar el flujo de documentos confidenciales o con datos sensibles en el perímetro. Esto es, desde el punto final (equipos de cómputo personales), pasando por el correo electrónico y los servidores corporativos. Es de anotar que este tipo de soluciones son complementarias a las medidas de protección de la información que tenga la empresa.
Todas estas consideraciones son posibles siempre y cuando se asegure una práctica de clasificación de información, la cual exige una reconversión de la cultura de protección de la información en los individuos, donde cada uno se vea como custodio de sus datos y por lo tanto, responsable por su adecuado tratamiento.

Así las cosas, los documentos electrónicos, comprometen a las organizaciones a repensar su modelo de funcionamiento corporativo cuestionando las verdades de hecho sobre los documentos físicos, para tratar de construir un nuevo referente sobre los documentos en formato digital. Habida cuenta de lo anterior, reconocer un documento electrónico con la validez y fuerza digital, significa que debe seguir y asegurar de manera equivalente o superior las consideraciones propias de los documentos físicos como son el iniciador o autor, su identidad (integridad, confiabilidad y trazabilidad) y la permanencia en el tiempo (disponibilidad).

En consecuencia, las prácticas de seguridad y control sobre los documentos en formato digital, requieren marcas especiales, programas ubicuos, controles y monitorización remotos (y local) y una cultura de protección exigente que permita que la información confidencial se mantenga como tal. Adicionalmente, si existe una brecha de seguridad, es posible identificar y rastrear el flujo del mismo.

Como quiera que sabemos que la fuga de información es una realidad en las organizaciones y que los mejores sistemas tecnológicos de contención y aseguramiento, no pueden actuar frente a los “deseos e inclinaciones humanas”, los documentos electrónicos estarán expuestos a los vectores naturales de la filtración de información, los cuales están fundados en el ser humano. En este sentido, retomando la definición base de gobierno de la información, será necesario insistir en los estándares de ética del uso de la información, el régimen sancionatorio y las prácticas de clasificación como fundamentos de la aplicación del ciclo de vida de la información en una empresa.

Finalmente y no menos importante, cabe anotar que si bien un documento físico reviste toda una doctrina particular en las Ciencias de la Información y la gestión documental, el agregarle el apellido “electrónico” permite superar los referentes actuales de éstas disciplinas para repensar la manifestación de la voluntad materializada en bits y bytes como una nueva capacidad organizacional y humana que hace visible la naturaleza de lo instantáneo, móvil y tercerizado en un mundo cercado por la presencia de la inevitabilidad de la falla, de la fuga y pérdida de la información.

Referencias
SMALLWOOD, R. (2012) Safeguarding critical e-documents. Implementing a program for securing confidential information assets. John Wiley & Sons.

No hay comentarios:

Publicar un comentario