Seguridad de documentos: una amenaza para el negocio - como la seguridad de los documentos puede proteger la confidencialidad corporativa

Adam Gillbe, Director de Soluciones de Documentos en Canon Europa, estudia un asunto que muchas veces se está pasado por alto, la seguridad y confidencialidad de los documentos de las compañías europeas.  En este articulo, se aluden a referencias a investigaciones realizadas por ICM para Canon Europa, investigando las carencias en cuanto a confidencialidad de las empresas.

¿Qué nivel de seguridad tiene la típica empresa europea? Empezamos con la seguridad de activos físicos.  Casi todas las empresas tienen una alarma contra intrusos, códigos para la apertura de puertas, una alarma contra incendios y una póliza de seguros.  Igual de importante es la protección de activos intelectuales que frecuentemente son documentos, incluyendo contratos, proyecciones financieras, documentos de estrategia y detalles de nominas.  Si personas no autorizadas tuvieron conocimiento de dichos documentos podría tener un impacto negativo severo de varias maneras y que finalmente se convertiría en perdidas financieras.

Documentos de clientes que contienen información sensible que han sido filtrados a la prensa podrían generar una mala reputación corporativa y hacer perder oportunidades de negocio a la empresa, sin hablar de una posible acción legal por parte del cliente afectado.  En tales casos, la prevención es mejor que la cura; una vez que unos empleados han leído información corporativa confidencial, hay poco que una empresa puede hacer para monitorizar o prevenir que sus empleados hablen de la información fuera de la oficina, algo que casi la mitad de los empleados ha admitido.  En este articulo, evaluamos como las empresas están dejando las puertas abiertas a este tipo de amenazas a su seguridad y como lo deberían afrontar

Muchas empresas protegen información corporativa confidencial, asegurando sus sistemas TI contra amenazas externas como virus, hackers e incidencias de phishing.  Sin embargo, esto no protegerá a la empresa de fallos internas de seguridad al custodiar sus documentos.  Los compromisos internos de seguridad de documentos en las empresas nacen en un ambiente donde hay una falta de conciencia de las amenazas de seguridad de documentos en el propio comité de dirección y los directivos. Una media de 18% empresas en Europa piensan que las brechas de confidencialidad corporativa o fraude de empleados son un problema.  El 28% de las empresas lo consideraba un problema de poca importancia, pero si luego sabemos que cuatro de cada diez empleados han visto documentos corporativos confidenciales y que un tercio de ellos lo ve cada día o cada mes, sin duda este problema debería tener una mayor importancia en la agenda de la junta directiva.  Si se considera esta cifra junto con el hecho de que un 82% de los directores en empresas europeos creen que es suficiente tener "confianza" en que los empleados n

o hablarán de información corporativa confidencial como el mejor método de prevención, es obvio que aquí tenemos un problema alarmante

La seguridad de documentos no solo puede depender de la confianza, porque la confianza no da a los empleados unas pautas claras de que se considera como una brecha de confidencialidad corporativa.  Si los empleados no entienden lo que la empresa espera de ellos, podrían faltar a la confidencialidad corporativa, sin ser conscientes de ello.  Sin importar si la brecha es intencionada o no, es algo que está pasando.  El 38% de los empleados admite que ellos mismos han visto información confidencial  o que un compañero lo había visto.

Incluyendo una póliza de confidencialidad corporativa en los contratos de empleos, tal y como lo hacen el 64% de empresas europeas, no es suficiente para impedir que los empleados no hablen abiertamente de información confidencial, porque muchas veces dichas pólizas de confidencialidad no son explicadas a los empleados (y aun menos a los empleados temporales) para asegurar que las entienden

Se debe tener en cuenta a los empleados temporales en una empresa cuando se evalúa la garantía de la confidencialidad corporativa, debido a que más de un cuarto de las empresas europeas dicen que "siempre" realizan un control de seguridad para sus empleados temporales. Cuando  empleados temporales entran en una empresa, muchas veces es con poco tiempo de aviso, o sin un curso de iniciación en la empresa. Pueden tener acceso a ficheros confidenciales en la red corporativa, en la impresora o encontrar documentos confidenciales en la oficina.  El número de empleados temporales que tienen acceso a una impresora corporativa puede variar desde el 46% en el Reino Unido hasta un 20% de los empleados en Austria

El primer paso para asegurar los activos intelectuales de una empresa, es tener una política de confidencialidad legalmente aprobada, que se implementa y que se explica a todos los empleados para disminuir rápidamente la posibilidad y la tentación de romper las normas de seguridad de información corporativa.

El próximo paso para proteger una empresa contra amenazas internas y externas de seguridad de documentos, es la implementación efectiva de seguridad TI e impresoras.  Casi todas las empresas tienen contraseñas para los ordenadores de cada individuo  y también para acceder a la red corporativa.  Algunas empresas implementan contraseñas o derechos de acceso a una red compartida, una unidad de dispositivo, ficheros y documentos.  Sin embargo, proteger un ordenador corporativo es solo un medida a medias si las impresoras no están aseguradas (algo que muchas empresas no hacen).  Se olvida muchas veces de este herramienta vital de la oficina cuando se habla de seguridad de documentos y debería ser una de las prioridades de seguridad, protegida tanto como un ordenador

Más de un tercio de los empleados han visto información corporativa confidencial en la impresora.  La información, que un 88% de los empleados han visto puede incluir datos personales y nominas o planes de estrategia, de previsiones y datos financieros.  Además, el 21% de los empleados cree que es aceptable leer información que ha sido dejada en una impresora o fotocopiadora compartida y el 38% de los empleados han visto, o trabajan con alguien que ha visto información en impresoras o fotocopiadoras

Existen diversos métodos para asegurar una impresora corporativa.  Protección vía contraseñas o tarjetas magnéticas para impresoras corporativas es un método rentable para controlar quien imprime y cuando.  No obstante, una empresa necesita asegurar que las contraseñas no son visibles.  También hay disponible en el mercado, tecnología biométrica que algunas empresas ya están empezando a adoptar, sobre todo en el sector financiero donde la seguridad de documentos es primordial.  Aquí, controles biométricos, como el reconocimiento de huellas digitales o el escaneo de la retinas también son opciones para asegurar el acceso a dispositivos de impresión multi-funcionales.

Además de controles de contraseñas, existen soluciones de software que pueden facilitar el control de impresión de documentos en impresoras multifuncionales (MFPs).  Se puede instalar el software en una servidor de la red, permitiendo a la empresa ver cuando un documento, dentro o fuera de la oficina ha sido abierto, modificado, enviado o ha cambiado de ubicación - ha sido impreso, escaneado o enviado por fax y por quien lo realiza.  Algunas soluciones también soportan el estándar de cifrado de datos (Triple Data Encryption Standard - DES) para prevenir el acceso no autorizado a documentos, tanto dentro como fuera de una organización.  Otra ventaja es que deja un rastro de auditoría de los datos para documentos en una red corporativa, a través de la aplicación de una firma digital a cada documento que está archivado.

Soluciones de software también pueden ofrecer soporte a una empresa para establecer e implementar autorización para documentos electrónicos para mantener la confidencialidad, privacidad y responsabilidad.  Por ejemplo, se pueden implementar distintos privilegios de acceso y codificación para distintos niveles de acceso a documentos, como PDFs.  Los responsables de los documentos pueden gestionar los derechos de acceso para prevenir accesos no autorizados o interferencias, restringiendo quien puede abrir, editar, imprimir y copiar los contenidos de documentos individuales.  Se pueden determinar los derechos de acceso para imprimir en un MFP según quien necesite el acceso y a qué nivel.  Por ejemplo, mientras un empleado - un ejecutivo puede tener acceso de "solo lectura" a un documento, otro empleado como el Director General de la empresa puede tener acceso para imprimir el documento

Cualquier método que se implemente para asegurar documentos confidenciales y la restricción de acceso para su impresión debería ser seguido por un manejo responsable de dichos documentos en la oficina. Porque, aunque la persona correcta / adecuada tiene ha tenido acceso a un documento y lo ha impreso, el documento puede estar en la impresora durante un rato y podría ser recogido por la persona incorrecta.  Se puede implementar una política de  "escritorio limpio", asegurando que todos los documentos corporativos permanecen ocultos hasta que la persona adecuada los necesita, sobre todo al final de la jornada

Estos pasos, aunque no son 100% infalibles, pueden realizar toda la diferencia cuando una empresa quiere asegurar sus activos intelectuales y son más efectivos que basar la seguridad de documentos en confianza en personas.  La implementación de una política de seguridad clara puede asegurar que se tenga un estándar mínimo de seguridad.  Controles de acceso restringido aplicados a un MFP (exactamente como si fuesen aplicados a una red corporativa) puede evitar que se curiosee indebidamente.  Acceso restringido a las impresoras multifuncionales de una oficina y el control de actividad de documentos a través de la instalación de soluciones de software para impresoras puede prevenir que información confidencial, activos intelectuales de la empresa, caigan en manos equivocadas