Llegamos a ustedes gracias a:



Columnas de opinión

La digitalización como herramienta para mejorar la Seguridad de la Información

Por: Marcos Sciarra, Regional Consulting Services Practice Leader en Ricoh Latin America.

[26/09/2017] Cuanto más evoluciona el mundo digital, las preocupaciones se concentran en cómo implementar un ecosistema de seguridad alrededor de la información sensible que se encuentra en las bases de datos de las empresas e incluso en los organismos públicos. La explosión de las tecnologías como el Cloud y el Big Data, presentan focos de atención sobre la información sensible de las personas y las empresas, y esto se ve reflejado en la creciente tendencia de inversión en seguridad informática y en el desarrollo de roles específicos como el de CSO -Chief Security Officer-.

Ahora bien, el concepto de Seguridad de la Información no solamente abarca la información digital, sino que incluye los datos también que se manejan en otros medios como los documentos en papel. Aun en la actualidad, el flujo de la información basada en el papel continúa siendo de suma importancia en una empresa.

¿Cuánto le cuesta a una empresa la gestión del papel?

Se tiende a pensar que la información digital es la principal fuente con la que trabajan las empresas.Los datos que se generan en redes sociales y las transacciones digitales -incluyendo el Big Data-, junto con la información digitalmente nativa, son los principales responsables de que la información digital crezca y se multiplique exponencialmente. Sin embargo, incluso hoy en día, el 95% de la información que maneja una empresa se encuentra en documentos almacenados en papel(1) . Tan es así que el 30% de las empresas en Europa y Estados Unidos ve al papel como un elemento crucial para su negocio(2).

Manejar la vasta cantidad de documentos en papel circulando en una empresa tiene sus consecuencias. El 90% de las tareas típicas de una empresa involucran la búsqueda y distribución de documentos en papel. Para esto, el 30% del tiempo de los empleados se invierte en buscar información para hacer el trabajo(3). Es así como un trabajador de oficina que funciona con documentos en papel pasa hasta el 50% de su jornada gestionando la documentación -buscando, leyendo, cargando o registrándola-, 35% en promedio de una empresa tradicional(4).

Además, se tiene que sumar una serie de ineficiencias que no solamente tienen impacto en lo ambiental.De los documentos generados, el 85% nunca vuelven a utilizarse. El 45% del papel impreso termina destrozado al final del día. El 15% de los documentos en papel se encuentran mal guardados. La información en papel tiende a multiplicarse. El 50% de los documentos que se archivan son copias. Un 45% de todos los documentos que se escanean nacieron de un formato digital. Más aún, en promedio, un documento se copia a si mismo 19 veces.

En relación a los costos asociados al papel, es difícil precisar, pero desde una base conservadora, en este océano de papel, encontrar un documento perdido le cuesta a una empresa en promedio 122 dólares(5). Pueden sumarse también el costo de almacenamiento del papel. Por cada 100 mil hojas se necesitan 10 metros cuadrados para almacenarlo. No se están incluyendo otros "costos ocultos, como puede ser la pérdida de agilidad, el costo de buscar una información una y otra vez, etc.; todos sumados seguramente sobrepasarían el costo del ejercicio previamente realizado.

El 15% de los beneficios de una empresa se gastan en crear, manejar y distribuir documentos impresos(6). Sin embargo, los principales problemas relacionados a la información residente en documentos en papel están ligados al riesgo de la Seguridad de la Información.

Los riesgos asociados a los documentos en papel

A pesar de la importancia que tiene la información basada en documentos en papel, la mayoría de los esfuerzos -y presupuesto- que se invierten en la Seguridad de la Información se centran en lo digital. De forma inconsciente, se deja abierto un flanco en donde se puede escapar la información más crítica con la que cuenta una empresa.

Tales son los riesgos asociados a la información en documentos en papel -ya sea nativa digital impresa u originada en papel- que el 62% de las empresas de tamaño medio de Europa y Norteamérica consideran que la información en papel es un riesgo a la seguridad(7) -esto es más del doble que otras amenazas externas para los contenidos digitales -.

Según el Informe de Fraude Corporativo realizado por Winterman(8), el 27% de la fuga de información de una empresa sucede por medio del papel impreso; siendo la segunda causa solamente detrás del correo electrónico. Cuatro de cada 10 casos de los espionajes corporativos más renombrados han involucrado documentos impresos(9). ¿De qué sirve tener un esquema de Seguridad de la Información que autentifique un usuario importante, restrinja sus permisos y accesos, que audite su operación si luego se puede imprimir esta información sensible, y ya desde el papel se puede -entre otras cosas-: fotocopiar, escanear, dejar la impresión en la impresora sin que nadie la busque o, incluso peor, sacarle una foto y distribuir en todas las redes sociales? Y todas estas acciones se encuentran fuera del alcance del ecosistema de las medidas estrictas que puedan haberse implementado.

La transformación hacia el documento digital

Sin duda, la gestión de la Seguridad de la Información debe incluir la información en documentos basados en papel, y que ésta es tan o más importante que la información que se encuentra en formato digital. Profundizar la gestión de la Seguridad de la Información sobre los documentos basados en papel debe ser una preocupación real. Como referencia, tan solo el 38% de las empresas cuenta con una guía a los empleados de almacenamiento y destrucción de documentos en papel(10).

Pero la mejor estrategia que se puede implementar es transformar estos documentos en papel en documentos digitales. Al hacerlo, se incorpora esta información dentro del ecosistema de Seguridad de la Información digital, que es donde naturalmente se centran los esfuerzos en Seguridad de la Información de una empresa moderna. Para una correcta transformación de los documentos en papel hacia documentos digitales se debe tener en cuenta que los documentos digitales forman parte de procesos de negocio, donde muchas veces es el documento en papel el centro del proceso.

Lo ideal es crear el documento digital desde el origen -lo que sería un documento digital nativo-, o lo más cercano posible a su creación, para poder incorporarlo al circuito digital lo más temprano posible y que, a su vez, el documento en papel tenga la menor vida posible -muchas veces esto es inevitable debido a restricciones legales o regulaciones gubernamentales-. Una vez que el documento es digital, debe estar en un entorno en donde se garantice la Seguridad de la Información, esto es que mínimamente cuente con las características de Confidencialidad, Integridad y Disponibilidad(11).

Esto se logra implementando Gestores de Contenido Empresariales (ECM, por sus siglas en inglés). Los ECM además de asegurar la Confidencialidad, Integridad y Disponibilidad; permiten controlar el flujo por el que pasa un documento digital durante su vida, incorporando funcionalidades adicionales que incrementan su nivel de seguridad, como por ejemplo la posibilidad de firmar digitalmente los documentos, crear circuitos de autorización, contar con auditoría sobre las operaciones -lectura, escritura, envío o impresión-, integración con ERPs, CRMs y sistemas legados, y generar esquemas de alta disponibilidad.

Finalmente, no se debe descuidar el paso desde un documento digital hacia uno en papel a través de su impresión ya que, si no se controlara, queda latente el mismo riesgo que si este documento fuera originado en papel.

Las impresoras modernas cuentan con características que no suelen estar implementadas ya que no suelen ser vistas como un punto de riesgo desde el punto de vista de la Seguridad de la Información. Incorporar registro de auditoría de impresiones, autenticación no solamente a la hora de imprimir, sino como requisito para que se genere la copia impresa -de esta forma queda registrado quién generó la copia en papel, y se evita que queden pilas de papel en la impresora que luego nadie reclama y que son material para los curiosos-, deberían ser las medidas mínimas de seguridad a implementar en cualquier impresora de oficina.

Beneficios del documento digital

Partiendo de los beneficios ya mencionados en cuanto a la transformación de un documento en papel hacia un documento digital, como son la incorporación al ecosistema de Seguridad de la Información digital, y poder dotar a los documentos de las características requeridas por la ISO 27.001; se consiguen una serie de beneficios adicionales que son importante destacar, como ser:

* Mejora la accesibilidad permitiendo acceder a la información desde cualquier lugar, de manera simultánea; cumpliendo con las medidas de seguridad apropiadas.

* Incrementa la seguridad, ya que la copia digital es respaldada, dificultando que el documento se "pierda. Si el documento tiene información sensible, es posible incorporar mayores medidas de seguridad, algo imposible sobre el documento en papel.

* Ahorra tiempo y espacio, ya que el acceso de la información será más sencillo, no será necesario desplazarse para conseguir la información necesaria -actual e histórica-, y se elimina el espacio físico requerido para almacenar un documento en papel.

* Brinda agilidad en la gestión diaria, permitiendo mejores tiempos de respuesta con los clientes -mejorando su satisfacción-, disminuyendo tiempos en lo que es búsqueda y almacenamiento de la información, y permite a las personas centrarse en las actividades que agregan valor.

Claramente los beneficios no terminan aquí ya que parte de la explosión de Internet,Inteligencia de Negocio, la Minería de Datos, e incluso el Big Data están basados en que la información ha pasado a tener un formato digital. Es importante pensar, entonces, cómo hoy se restringe a la empresa -perdiendo ventaja competitiva, agilidad, aumentando su exposición al riesgo, etc.- cuando aún se cuenta con procesos que gestionan información basada en documentos en papel.

  1. Estimación realizada por el Instituto Internacional para el Medio Ambiente y el Desarrollo (IIED), 2015.
  2. Según informe realizado por Quocirca, año 2016.
  3. Estudio realizado por Lee Mantelman y Nucleus Research, año 2015.
  4. Según datos de AIIM, Forrester, Star Securities, Departamento de Trabajo de Estados Unidos, año 2015.
  5. Estudio realizado por PriceWaterhouseCoopers para http://www.thepaperlessproject.com, año 2015.
  6. Fuente: http://www.thepaperlessproject.com
  7. Según el "Tercer Índice de Madurez del Riesgo de la Información realizado por PWC e Iron Mountain.
  8. Informe Anual de Fraude Corporativo, Winterman. Año 2016
  9. Según datos publicados por la Comunidad Global de Profesionales de la Información (AIIM), año 2013.
  10. Según el "Tercer Índice de Madurez del Riesgo de la Información realizado por PWC e Iron Mountain.
  11. Según la normativa de Seguridad de la Información ISO 27.001.