Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

2021Archivado de documentos: Estándares de seguridad y protección para 2021

docuware.com

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Las brechas de seguridad, las pérdidas de datos, los problemas causados por la ges-tión de versiones y las demandas relacionadas con las infracciones de las normativas se han convertido en algo tan común que hasta parecen ser una „parte más“ de los negocios.

Pero a menudo estos problemas son totalmente autoinfligidos. Las empresas a menu-do seleccionan los estándares de seguridad más débiles porque resultan más fáciles o prefieren ignorar las leyes porque es conveniente, o no implementan procesos que garantizan la integridad y transparencia de la información porque requieren mucho esfuerzo.

Las organizaciones más fuertes que se toman en serio la seguridad documental rara vez son víctimas de estos errores.

Introducción

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Por qué es importante la seguridad de los documentos

Los documentos son un elemento clave a la hora del funcionamiento continuo de su negocio. Esta caja de sorpresas de datos debería estar siempre protegida. Hágase estas preguntas y rápidamente quedará claro.

Para organizaciones:

• ¿Estamos protegidos contra las brechas de seguridad malintencionadas o accidentales causadas desde dentro?

• ¿Estamos protegidos contra las amenazas externas?

• ¿Podemos recuperar nuestra información en caso de desastres naturales?

• ¿Nos podemos defender de las acusaciones de mala gestión de datos?

• ¿Estamos protegidos contra las graves sanciones financieras?

Para usuarios:

• ¿Puedo acceder a los documentos que necesito en el momento que los necesito?

• ¿Puedo tener la seguridad de estar viendo la versión adecuada?

• ¿Puedo guardar mi información de negocios de forma segura y sin que nadie sin autorización pueda acceder a ella?

• ¿Tengo un proceso para el mantenimiento de los periodos de retención para la información legalmente confidencial?

• ¿Tengo la formación adecuada para hacer frente al hacking social y los ataques de ingeniería social?

Este documento resume los estándares de seguridad y protección modernos necesarios para el archivado y uso de documentos, y proporciona una guía indispensable a la hora de buscar un proveedor de software de gestión documental. Introducción

Cifrado y derechos de acceso

Empiece en la base de la plataforma. ¿Cómo se protegen los datos digitales? ¿Cuáles son los puntos más débiles entre los sistemas? ¿Cómo se puede controlar el acceso a la información? ¿Cómo se protege una organización frente al acceso no autorizado y robo de la información?

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Cifrado y derechos de acceso

Autenticación

Se debería poder acceder a todos los documentos solo mediante la autenticación de un nombre de usuario y contraseña únicos. Esto permitiría derechos de acceso específicos y garantizaría una trazabilidad completa de los documentos a los que se accede, de quién accede a ellos y de las acciones que se tomaron.

Tráfico de datos

Todo el tráfico entre sistemas y componentes deberían estar cifrados con HTTPS. El tráfico no seguro deja a los sistemas expuestos a todo tipo de ataques. HTTP no cuenta con la capa de seguridad TLS/SSL y permite a los hackers interceptar información crítica como puede ser contraseñas y datos financieros.

Control de acceso

El acceso a los documentos requiere varios niveles de control. Por un lado, es posible proporcionar grupos completos para la recopilación de documentos. Por otro lado, estos mismos grupos requieren acceso a lo que pueden hacer con un documento. Los derechos de acce-so también deberían estar disponibles a nivel individual.

Por ejemplo, un empleado de RR. HH. puede acceder a la mayoría de documentos de los empleados, como por ejemplo currículos e informes de rendimiento. Los empleados y sus gerentes pueden acceder a los infor-mes de rendimiento. Y los empleados también pueden acceder a su información financiera y de seguros a nivel individual.

Además, debería ser posible limitar el acceso a un do-cumento basado en los datos de indexación del docu-mento, los puntos clave de los metadatos utilizados para describir el contenido y el objetivo del documento.

Cifrado

Los documentos se deberían cifrar con una clave de no menos de 256 bits. AES (256 bits) es cifrado de grado militar y es el estándar actual del gobierno de los Esta-dos Unidos para documentos clasificados como nivel de alto secreto que se deben preparar para ataques futuros. 1

Redundancia y protección antivirus

La redundancia de almacenamiento de datos es otro pilar de seguridad de la información. ¿Si un sistema falla, podrán las copias de seguridad garantizar la continuidad de su organización? La redundancia y la protección de datos frente al malware son necesarias para mantener una tranquilidad absoluta en toda la organización.

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Redundancia y protección antivirus

Redundancia activa

Cualquier software de gestión documental, ya sea en la nube o local, debería tener al menos dos niveles de redundancia de almacenamiento. Además, un tercer ni-vel de redundancia segregada geográficamente ofrece protección frente a desastres naturales.

Estas medidas de protección son una ventaja clave de los sistemas de nube modernos. Gracias a los servicios de infraestructura en la nube de un proveedor como Microsoft, es posible aprovechar los principales centros de datos alrededor del mundo para proteger la informa-ción de forma sincronizada y fluida. Otros proveedores de infraestructura en la nube incluyen Google, Amazon y Oracle.

Soberanía de los datos

Para muchas organizaciones, el mantenimiento de su información dentro de los límites de la soberanía es extremadamente importante. Las empresas america-nas normalmente no desean sus datos en América del Sur; las empresas en la Unión Europea no quieren sus datos en Norteamérica, a no ser que operen allí. Los proveedores de nube deben asegurarse de que todos los datos —y todas las copias de seguridad— se mantie-nen dentro de las fronteras que legalmente protegen al cliente y sus datos.

Protección contra virus y malware

Los criptovirus se incorporan en documentos y entregan su carga cuando dichos documentos se abren en el dispositivo local de un usuario. Los sistemas de gestión de documentos deben activamente proteger frente a estas amenazas maliciosas de forma que ni el entorno del usuario ni la plataforma de software en sí estén amenazados.

2

Políticas de retención y cumplimiento

Una vez que el cifrado, los derechos de acceso y la redundancia del almacenamiento se establecen, la organización debe establecer cómo gestionar la información. Las políticas de retención dictaminan qué se guarda y cuándo se pueden destruir los datos. El cumplimiento normativo proporciona una guía legal acerca de la manipulación de la información.

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Políticas de retención y cumplimiento

Políticas de retención

Ciertos tipos de documentos se deben mantener dentro de la organización durante un número legalmente de-terminado de años. Por ejemplo, las facturas se deben retener durante 7 años en los Estados Unidos (pero 10 años en Alemania) antes de proceder a su eliminación.

Anteriormente, esto se realizaba en papel, gestionado en estanterías llenas de cajas y papeles triturados uno por uno a través de un dispositivo supervisado. La ges-tión documental digital resuelve esto, aunque las reglas siguen estando en pie. Y un sistema de gestión de docu-mentos debe proporcionar las herramientas de flujo de trabajo que establezcan la protección o destrucción en intervalos de tiempo determinados para mantener su negocio protegido frente a los litigios.

Iniciativas de cumplimiento clave y normativas

Las últimas décadas han visto un interés renovado por la protección de la seguridad, ya sea la protección de los derechos de los individuos a través de la gestión de sus datos por parte de terceros, la transparencia fiscal y más.

Por ejemplo:

• HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) en Estados Unidos protege a los clientes en los Estados Unidos frente al uso, divulgación y protección de datos sanitarios individualmente identificables

• CCPA: La Ley de privacidad del consumidor de California (CCPA) es un conjunto de transparencia de datos, acceso a datos y derechos de privacidad para los ciudadanos de California, EE. UU.

• RGPD: El Reglamento general de protección de datos (RGPD) es un conjunto de reglas y estánda-res europeos diseñados para proteger los datos personales o la información personal identificable de individuos a través de la gobernanza de datos

• Sarbanes-Oxley: Previene los errores de contabi-lidad y las prácticas de generación de informes fraudulentos a través de la divulgación de informa-ción precisa 3

Integridad y auditorías

Se debe mantener la integridad total de los documentos cada vez que se accede a ellos. Los estándares de cifrado más sólidos y los derechos de acceso más restringidos no tienen mucho sentido si no es posible fiarse del documento en sí.

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Integridad y auditorías

Firmas electrónicas

Los usuarios deberían poder firmar documentos con una firma electrónica legalmente válida. Una firma electrónica cualificada es el nivel de firma más seguro. De acuerdo con la regulación europea sobre identifi-cación electrónica y servicios de confianza para tran-sacciones electrónicas (eIDAS), la validez legal de una firma electrónica cualificada es equivalente a la de una firma manuscrita. Este tipo de firma electrónica garan-tiza que la firma es legítima y que el documento no se ha manipulado dado que un proveedor de servicios de confianza autorizado ha emitido el certificado digital y autenticado al firmante.

Registro de cambios

La única manera de conducir auditorías precisas y minu-ciosas es registrar cada acceso, anotación y estado de flujo de trabajo de un documento en particular. De esta forma, es posible reconstruir un historial completo al que se debería poder acceder de forma sencilla me-diante archivos CSV u otro formato de archivo común.

Gestión de versiones

Parte del mantenimiento de la integridad de los do-cumentos es entender exactamente qué ha cambiado entre las varias versiones del documento y garantizar que los usuarios solo editan la versión más reciente. El bloqueo de documentos „prestados“ evita que se reali-cen cambios y mantiene un registro estricto de quién ha realizado los cambios.

4

Estándares industriales que importan

Hay un número de estándares nacionales e internacionales reconocidos para la calidad, seguridad y la integridad de las características de los sistemas. Cuando busque dónde alojar documentos críticos para la empresa, asegúrese de que su proveedor cumpla con estos estándares fundamentales.

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Ejemplos de estándares de seguridad y regulaciones oficiales

Calidad general del proveedor de software y nube

• ISO 9001: Excelente clasificación de control de calidad en la producción/fabricación de software

• ISO 27001: Los más altos requisitos para la pro-ducción, introducción, operación, supervisión, mantenimiento y mejora de un sistema de gestión documental para la seguridad de la información

• ISO 27017: Máxima seguridad de los datos para la nube; los datos están protegidos frente al acceso por parte de terceros y solo el cliente puede acce-der a los datos en cualquier momento.

• CSA: Requisitos de hospedaje para la seguridad, privacidad, cumplimiento y gestión de riesgo establecidos en la Matriz de control en la nube de la Cloud Security Alliance

• Keypoint Intelligence / Buyer‘s Laboratory: Análi-sis independiente para el sector de productos de oficina especializados

• SOC: SOC, o Controles de organizaciones de ser-vicio, son una serie de estándares que se centran en los controles de una organización de servicios relacionados con la seguridad, disponibilidad, integridad de los procesos, confidencialidad y/o privacidad. Las organizaciones de servicio incluyen proveedores de software en la nube (SaaS).

• NIST SP 800–171: Estándares y directrices para la protección de sistemas de información de agen-cias federales de EE. UU.

Para la gestión de documentos financieros

• GoBD (Alemania): Sistema de archivado antisa-botaje a largo plazo de acuerdo con el Código de comercio alemán HGB y la Legislación fiscal AO

• Agencia Tributaria (España): Requisitos de las autoridades fiscales españolas para el archivado de documentos en papel escaneados

• GeBüV/AccO (Suiza): Normativa sobre el manteni-miento y retención de las cuentas, Suiza

5

Lista de comprobación de proveedores de archivado seguro de documentos

A la hora de evaluar el software de gestión documental y de flujos de trabajo de documentos, comience con la seguridad y protección del sistema candidato. Esta base debe ser totalmente fiable ya que mantiene la información que es importante para su negocio. Sin ella, otras funciones y capacidades no tendrían sentido.

Está

ndar

es d

e se

gur

idad

y p

rote

cció

n p

ara

el a

rchi

vad

o d

e d

ocu

men

tos

Lista de comprobación de proveedores de archivado seguro de documentos

6

Una lista de comprobación puede ayudar a mantener una evaluación imparcial entre sistemas candidatos cuando se trata de medir las funciones de seguridad, cumplimiento y protección.

9 ¿Autentica a través de un sistema de nombre de usuario y contraseña individual?

9 ¿Envía todos los datos entre componentes basados en la web a través de HTTPS?

9 ¿Habilita derechos de acceso de grupo, función, individuales y centrados en documentos?

9 ¿Proporciona cifrado de 256-bit moderno?

9 ¿Realiza copias de seguridad de todos los datos de forma activa, incluidas zonas geográficas independientes?

9 ¿Almacena datos dentro de los límites de soberanía legales?

9 ¿Protege frente a criptovirus maliciosos y malware?

9 ¿Habilita flujos de trabajo que promueven políticas de retención?

9 ¿Ayuda a cumplir con las normas de cumplimiento específicas para la gestión de la información?

9 ¿Retienen la integridad del documento utilizando firmas electrónicas?

9 ¿Registran todos los cambios para crear un seguimiento de auditoria completo?

9 ¿Gestiona versiones activas y pasadas de los documentos?

9 ¿Obtiene los estándares de calidad y seguridad reconocidos por terceros?

9 ¿Habilita la integración de la seguridad con otros sistemas corporativos tales como CRM y ERP?

9 ¿Asegura el no repudio?

9 ¿Garantiza el máximo tiempo de actividad sin interrupciones y la disponibilidad?

El sistema ...

DocuWare proporciona soluciones de gestión de documentos y automatización de flujos de trabajo que permiten a las organizaciones obtener el máximo rendimiento de sus documentos.

Acerca de DocuWare

DocuWare Europe GmbH

Planegger Str. 1 | 82110 Germering | Alemania

Teléfono: +49 89 894433-0 | Fax: +49 89 8419966

Correo electrónico: infoline@docuware.com

DocuWare Corporation

4 Crotty Lane, Suite 200 | New Windsor, NY 12553 | Estados Unidos

Teléfono: +1 (845) 563-9045 | Llamada gratuita: +1 (888) 565-5907

Correo electrónico: dwsales@docuware.com

DocuWare S.L.

Casp, 90 3o 1a | 08010 Barcelona | España

Teléfono: +34 (93) 3171771

Correo electrónico: infoline@docuware.com

docuware.com