Descargue este artículo (PDF, 40KB) [PDF, 59 KB]

Seguridad de documentos: una amenaza para el negocio
Adam Gillbe, Director de Soluciones de Documentos en Canon Europa, estudia un
asunto que muchas veces se está pasado por alto, la seguridad y confidencialidad
de los documentos de las compañías europeas.
En este articulo, se aluden a
referencias a investigaciones realizadas por ICM para Canon Europa, investigando
las carencias en cuanto a confidencialidad de las empresas.
¿Qué nivel de seguridad tiene la típica empresa europea? Empezamos con la
seguridad de activos físicos. Casi todas las empresas tienen una alarma contra
intrusos, códigos para la apertura de puertas, una alarma contra incendios y una
póliza de seguros. Igual de importante es la protección de activos intelectuales que
frecuentemente son documentos, incluyendo contratos, proyecciones financieras,
documentos de estrategia y detalles de nominas.
Si personas no autorizadas
tuvieron conocimiento de dichos documentos podría tener un impacto negativo
severo de varias maneras y que finalmente se convertiría en perdidas financieras.
Documentos de clientes que contienen información sensible que han sido filtrados a
la prensa podrían generar una mala reputación corporativa y hacer perder
oportunidades de negocio a la empresa, sin hablar de una posible acción legal por
parte del cliente afectado. En tales casos, la prevención es mejor que la cura; una
vez que unos empleados han leído información corporativa confidencial, hay poco
que una empresa puede hacer para monitorizar o prevenir que sus empleados
hablen de la información fuera de la oficina, algo que casi la mitad de los empleados
ha admitido. En este articulo, evaluamos como las empresas están dejando las
puertas abiertas a este tipo de amenazas a su seguridad y como lo deberían
afrontar.
Muchas empresas protegen información corporativa confidencial, asegurando sus
sistemas TI contra amenazas externas como virus, hackers e incidencias de
phishing.
Sin embargo, esto no protegerá a la empresa de fallos internas de
seguridad al custodiar sus documentos. Los compromisos internos de seguridad de
documentos en las empresas nacen en un ambiente donde hay una falta de
conciencia de las amenazas de seguridad de documentos en el propio comité de
dirección y los directivos. Una media de 18% empresas en Europa piensan que las
brechas de confidencialidad corporativa o fraude de empleados son un problema. El
28% de las empresas lo consideraba un problema de poca importancia, pero si
1
luego sabemos que cuatro de cada diez empleados han visto documentos
corporativos confidenciales y que un tercio de ellos lo ve cada día o cada mes, sin
duda este problema debería tener una mayor importancia en la agenda de la junta
directiva.
Si se considera esta cifra junto con el hecho de que un 82% de los
directores en empresas europeos creen que es suficiente tener "confianza" en que
los empleados no hablarán de información corporativa confidencial como el mejor
método de prevención, es obvio que aquí tenemos un problema alarmante.
La seguridad de documentos no solo puede depender de la confianza, porque la
confianza no da a los empleados unas pautas claras de que se considera como una
brecha de confidencialidad corporativa. Si los empleados no entienden lo que la
empresa espera de ellos, podrían faltar a la confidencialidad corporativa, sin ser
conscientes de ello. Sin importar si la brecha es intencionada o no, es algo que está
pasando. El 38% de los empleados admite que ellos mismos han visto información
confidencial o que un compañero lo había visto.
Incluyendo una póliza de confidencialidad corporativa en los contratos de empleos,
tal y como lo hacen el 64% de empresas europeas, no es suficiente para impedir que
los empleados no hablen abiertamente de información confidencial, porque muchas
veces dichas pólizas de confidencialidad no son explicadas a los empleados (y aun
menos a los empleados temporales) para asegurar que las entienden.
Se debe tener en cuenta a los empleados temporales en una empresa cuando se
evalúa la garantía de la confidencialidad corporativa, debido a que más de un cuarto
de las empresas europeas dicen que "siempre" realizan un control de seguridad para
sus empleados temporales. Cuando empleados temporales entran en una empresa,
muchas veces es con poco tiempo de aviso, o sin un curso de iniciación en la
empresa. Pueden tener acceso a ficheros confidenciales en la red corporativa, en la
impresora o encontrar documentos confidenciales en la oficina.
El número de
empleados temporales que tienen acceso a una impresora corporativa puede variar
desde el 46% en el Reino Unido hasta un 20% de los empleados en Austria.
El primer paso para asegurar los activos intelectuales de una empresa, es tener una
política de confidencialidad legalmente aprobada, que se implementa y que se
explica a todos los empleados para disminuir rápidamente la posibilidad y la
tentación de romper las normas de seguridad de información corporativa.
2
El próximo paso para proteger una empresa contra amenazas internas y externas de
seguridad de documentos, es la implementación efectiva de seguridad TI e
impresoras. Casi todas las empresas tienen contraseñas para los ordenadores de
cada individuo y también para acceder a la red corporativa. Algunas empresas
implementan contraseñas o derechos de acceso a una red compartida, una unidad
de dispositivo, ficheros y documentos.
Sin embargo, proteger un ordenador
corporativo es solo una medida a medias si las impresoras no están aseguradas
(algo que muchas empresas no hacen).
Se olvida muchas veces de este
herramienta vital de la oficina cuando se habla de seguridad de documentos y
debería ser una de las prioridades de seguridad, protegida tanto como un ordenador.
Más de un tercio de los empleados han visto información corporativa confidencial en
la impresora. La información, que un 88% de los empleados han visto puede incluir
datos personales y nominas o planes de estrategia, de previsiones y datos
financieros.
Además, el 21% de los empleados cree que es aceptable leer
información que ha sido dejada en una impresora o fotocopiadora compartida y el
38% de los empleados han visto, o trabajan con alguien que ha visto información en
impresoras o fotocopiadoras.
Existen diversos métodos para asegurar una impresora corporativa. Protección vía
contraseñas o tarjetas magnéticas para impresoras corporativas es un método
rentable para controlar quien imprime y cuando. No obstante, una empresa necesita
asegurar que las contraseñas no son visibles.
También hay disponible en el
mercado, tecnología biométrica que algunas empresas ya están empezando a
adoptar, sobre todo en el sector financiero donde la seguridad de documentos es
primordial. Aquí, controles biométricos, como el reconocimiento de huellas digitales
o el escaneo de la retinas también son opciones para asegurar el acceso a
dispositivos de impresión multi-funcionales.
Además de controles de contraseñas, existen soluciones de software que pueden
facilitar el control de impresión de documentos en impresoras multifuncionales
(MFPs). Se puede instalar el software en una servidor de la red, permitiendo a la
empresa ver cuando un documento, dentro o fuera de la oficina ha sido abierto,
modificado, enviado o ha cambiado de ubicación - ha sido impreso, escaneado o
enviado por fax y por quien lo realiza. Algunas soluciones también soportan el
estándar de cifrado de datos (Triple Data Encryption Standard - DES) para prevenir
el acceso no autorizado a documentos, tanto dentro como fuera de una
3
organización. Otra ventaja es que deja un rastro de auditoría de los datos para
documentos en una red corporativa, a través de la aplicación de una firma digital a
cada documento que está archivado.
Soluciones de software también pueden ofrecer soporte a una empresa para
establecer e implementar autorización para documentos electrónicos para mantener
la confidencialidad, privacidad y responsabilidad.
Por ejemplo, se pueden
implementar distintos privilegios de acceso y codificación para distintos niveles de
acceso a documentos, como PDFs. Los responsables de los documentos pueden
gestionar los derechos de acceso para prevenir accesos no autorizados o
interferencias, restringiendo quien puede abrir, editar, imprimir y copiar los
contenidos de documentos individuales.
Se pueden determinar los derechos de
acceso para imprimir en un MFP según quien necesite el acceso y a qué nivel. Por
ejemplo, mientras un empleado - un ejecutivo puede tener acceso de "solo lectura" a
un documento, otro empleado como el Director General de la empresa puede tener
acceso para imprimir el documento.
Cualquier método que se implemente para asegurar documentos confidenciales y la
restricción de acceso para su impresión debería ser seguido por un manejo
responsable de dichos documentos en la oficina. Porque, aunque la persona
correcta / adecuada tiene ha tenido acceso a un documento y lo ha impreso, el
documento puede estar en la impresora durante un rato y podría ser recogido por la
persona incorrecta.
Se puede implementar una política de
"escritorio limpio",
asegurando que todos los documentos corporativos permanecen ocultos hasta que
la persona adecuada los necesita, sobre todo al final de la jornada.
Estos pasos, aunque no son 100% infalibles, pueden realizar toda la diferencia
cuando una empresa quiere asegurar sus activos intelectuales y son más efectivos
que basar la seguridad de documentos en confianza en personas.
La
implementación de una política de seguridad clara puede asegurar que se tenga un
estándar mínimo de seguridad. Controles de acceso restringido aplicados a un MFP
(exactamente como si fuesen aplicados a una red corporativa) puede evitar que se
curiosee indebidamente. Acceso restringido a las impresoras multifuncionales de
una oficina y el control de actividad de documentos a través de la instalación de
soluciones de software para impresoras puede prevenir que información
confidencial, activos intelectuales de la empresa, caigan en manos equivocadas.
4