Los 12 grandes retos en la gestión de los activos de información y evidencias en la era digital

documentos-digitales450El crecimiento exponencial de grandes volúmenes de información digital ha desbordado la capacidad de gestión de las organizaciones. Las expectativas de los clientes, de socios, proveedores y partes interesadas se han incrementado cada vez más y exigen servicios rápidos, eficientes con resultados efectivos.

Los directivos no disponen de la información adecuada para tomar decisiones y establecer las estrategias más adecuadas de negocio; el personal se encuentra con problemas cada vez más acuciantes para localizar la información que necesita en el momento oportuno; los procesos en los que intervienen activos de información y evidencias digitales son complejos y ralentizan su rendimiento; no se controlan, retienen y preservan las evidencias digitales que se necesitan presentar a los auditores o tribunales en el momento oportuno; no se consigue reunir toda la información sobre un cliente o un socio, etc

 

La organización que no sea capaz de enfrentarse al reto de gestionar toda esta información en el futuro perderá productividad y no logrará ser competitiva en un mercado global.

La alta dirección tradicionalmente no ha considerado a los activos de información y las evidencias con el mismo valor que los activos financieros o de recursos humanos como una parte integral del negocio. Aunque esta aptitud está cambiando obligados por el creciente número de normas, leyes y regulaciones que deben cumplir, debido al número cada veDigital (Digital Industrial Economy).

Actualmente los activos de información y evidencias digitales de una organización se suelen encontrar almacenados aisladamente en silos diversos dentro o fuera de la organización: gestores de correos electrónicos; distintos sistemas de gestión del negocio; múltiples servidores compartidos; ordenadores y portátiles de la empresa; tabletas o teléfonos móviles del personal; mensajería instantánea; gestores de contenidos; gestores de procesos; sistemas colaborativos; servicios de almacenamiento en la nube; redes sociales internas o externas; sedes web; intranets; sistemas documentales, blogs, foros, etc. Estos activos de información y evidencias digitales se deben controlar en todos estos entornos tecnológicos mencionados para poder aplicarles las políticas, estrategias y procedimientos de los sistemas de gestión para los documentos.z mayor de evidencias que deben presentar en las auditorías (financieras, tributarias, protección de datos personales, calidad, medio ambiental, seguridad de la información, riesgos laborales etc.). Las sanciones y multas pueden llegar a ser tan altas que incluso pueden hacer desaparecer la empresa.

Operar en un entorno electrónico global en constante cambio supone una gran oportunidad de negocio para las organizaciones. Se está extendiendo la idea de que los activos de información son tan valiosos como la moneda para una organización. El gran reto en la era digital para las empresas e instituciones se centrará en conseguir rentabilizarlos para lograr mayores beneficios. Se denomina la Economía de la Industria

La responsabilidad del diseño e implantación de un sistema de gestión de activos de información y evidencias digitales no debería recaer exclusivamente en los departamentos de tecnologías de la información y comunicación, por supuesto que la tecnología es básica para automatizar la gestión de los activos digitales pero no es suficiente. La Alta Dirección tendría que liderar el sistema y sería necesario que intervinieran de una forma transversal algunos de los siguientes departamentos: jurídico, de gestión de calidad, de e-administración, de gestión documental, de archivos, de recursos humanos, de gestión financiera, etc. así como los responsables y una representación de los usuarios de todos los departamentos involucrados y las partes interesadas.

El control los activos digitales de información y de evidencias digitales hoy en día necesita ser lo suficientemente dinámico como para apoyar  las actividades de negocio en la era digital. Para ello, se tendrían que analizar de una forma continua los requisitos que cualquier activo digital de información debe cumplir para satisfacer las actividades organizativas, en cualquier formato; detectar aquellos que aporten valor, se necesiten custodiar como evidencia o sean críticos para la continuidad del negocio. Se debería comenzar con el análisis de las actividades de negocio y su contexto para identificar  los activos de información y evidencias que la organización necesita crear.

Las políticas de retención y disposición se deberían aplicar a todos los activos de información y evidencias digitales, se encuentren dónde se encuentren, abarcando incluso a aquellos que se ubiquen fuera del entorno corporativo, con un análisis previo de su valor no sólo para el actual para el desarrollo del negocio, sino también con un alcance más amplio para toda la sociedad. De esta forma la organización reduciría los riesgos, lograría sus objetivos de negocio y cumpliría con la legislación, regulaciones y normas.

Primer gran reto – La gestión de los riesgos corporativos en relación a los activos de información y evidencias, tanto digitales como físicos, en la organización
Uno de los retos principales en la planificación e implementación de un Sistema de Gestión para los Documentos  se centra en la gestión del riesgo asociado con los activos de información y evidencias, tanto físicos como digitales, ya que pueden ayudar a la empresa u organismo público a evitar o mitigar los riesgos inherentes con su gestión y de esta manera posibilitar que cumpla con sus obligaciones legales, regulatorias o normativas, asegurar el funcionamiento del negocio y rentabilizar el conocimiento corporativo. Su objetivo se centra en maximizar los efectos positivos y minimizar o anular sus efectos negativos.

La gestión de riesgos de los activos de información se debe integrar en la estructura de gobierno de la organización y en sus políticas de gestión del riesgo generales, estrategias, planes, y compromisos con las partes interesadas.

Las responsabilidades de la gestión de los riesgos de los activos de información y evidencias debería recaer en los directores de los departamentos de gestión de información y de documentos (si existen) en las organización. Asimismo se debe formar a todo el personal que gestione activos digitales para que cumpla con sus políticas.

Gran parte de los riesgos relacionados con el negocio o actividades corporativas se producen como un resultado directo de los procesos de gestión de los activos de información: captura, control, acceso, divulgación o publicación, almacenamiento o disposición. Si en el transcurso de los procesos de negocio la entidad no ha logrado preservar la autenticidad, integridad, fiabilidad, confidencialidad, contextualidad o disponibilidad de sus activos de información y evidencias su actividad se verá seriamente comprometida.

Ejemplos: pérdidas de documentos o expedientes críticos por una clasificación errónea; eliminación no normalizada (pueden terminar en contenedores de basura); destrucción de documentos por un incendio; espionaje de activos con información estratégica por la competencia; robo de datos personales (historiales clínicos, declaraciones de hacienda, tarjetas de crédito) por delincuentes; migraciones a otras aplicaciones informáticas con pérdidas de metadatos y documentos etc. Las consecuencias pueden ser muy graves tanto para la entidad como para sus responsables, ya que podría verse afectada con importantes sanciones económicas o incluso penales a sus directivos, así como verse dañada su reputación si se divulga la información a los medios de comunicación.

Una de las grandes ventajas de un enfoque de gestión de riesgos en los sistemas de gestión para los documentos, es que los informes relacionados con la apreciación, análisis, identificación, y tratamiento del riesgo de los activos de información pueden servir de base para justificar ante la alta dirección la necesidad de asignar más recursos humanos, económicos y materiales a los departamentos responsables de la gestión documental.

Uno de los grandes retos actuales es la gestión del riesgo  de los activos de información de la organización que se encuentran en la nube (cloud) o que se accede a ellos desde dispositivos móviles como teléfonos inteligentes o tabletas.

Se recomienda que cualquier nuevo proyecto que se pretenda impulsar en la organización en el que se gestionen activos digitales se inicie con una evaluación previa del riesgo.

Segundo gran reto – El desarrollo e implantación de un sistema de gestión para los documentos (MSR – SGD)
La transparencia en la gestión de la información se está considerando un valor añadido en la dirección de las empresas y administraciones públicas, tendencia que han acelerado los grandes escándalos financieros en bolsa de Enron y Arthur Andersen, Gestcartera o Murdof. Los gobiernos para combatir estos fraudes con mayor rigor han emitido un gran número de leyes, regulaciones y normas.

Todas organizaciones, independientemente del tipo que sean, deben rendir cuentas en relación a su buen gobierno. En este sentido, la rendición de cuentas está relacionada con el incremento de su legitimidad, credibilidad y confianza.

Un Sistema de Gestión para los Documentos ( SGD – MSR – Management Systems for Records – familia 30300) ayuda a identificar los activos de información y evidencias tangibles e intangibles de la organización para sacar el máximo rendimiento de los recursos y preservar su memoria colectiva.

Los sistemas de gestión (ISO – MSS – Management System Standard) de documentos basados en la familia ISO 30300 pretenden alcanzar resultados a través de la evaluación del desempeño y la mejora continua. Se basan en el ciclo PDCA (Plan, Do, Check, Act), también conocido como “Círculo de Deming o circulo de Gabo“. Se debe medir periódicamente la efectividad del SGD  en el cumplimiento de los requisitos de la política de gestión de documentos (records), el logro de los objetivos y la satisfacción de las necesidades de negocio. Su efectividad se puede determinar mediante indicadores de rendimiento.

La alta dirección se debe comprometer a desarrollar e implementar el Sistema de Gestión para los Documentos (SGD-MSR) y declararlo explícitamente, al mismo nivel de detalle que para otros sistemas de gestión de la organización.

Los sistemas de gestión de documentos basados en la familia ISO 30300 pretenden alcanzar resultados a través de la evaluación del desempeño y la mejora continua. El éxito de una implementación de un SGD se basa en la aplicación de los principios: enfoque al cliente y otras partes interesadas; liderazgo y responsabilidad; toma de decisiones basadas en la evidencia; implicación del personal; enfoque por procesos; enfoque sistemático de la gestión y mejora continua.

La conformidad con la familia de normas ISO 30300 asegura que las políticas, estrategias y procedimientos del SGD están operando según lo previsto y por tanto la organización cumple con sus objetivos y la mayoría de los principales requisitos legislativos, regulatorios y normativos.

Esta familia de normas ISO 30300 facilita a las organizaciones la evaluación interna de sus sistemas de gestión para los documentos y la evaluación externa mediante terceros y la certificación.

El proceso de certificación lo realiza una entidad externa auditora, que verifica que el sistema de gestión para los documentos cumple todos los requisitos que se indican en la familia de normas ISO 30300 y si los cumple se obtiene el certificado, que tiene un período de vigencia y por tanto hay que renovarlo periódicamente.

Tercer gran reto – La integración de los sistemas de gestión para los documentos (ISO) con el resto de sistemas de gestión de la organización (ISO)
Los diversos sistemas de gestión  de la organización (MSS): sistemas de gestión para los documentos (ISO 30300), sistemas de gestión de calidad (ISO 9000), sistemas de gestión de la seguridad de la información (ISO 27000), sistemas de gestión ambiental (ISO 14000), etc. no deberían implantarse independientemente, se recomienda que se coordinen entre sí, compartiendo elementos comunes e integrando sus políticas, estrategias y procedimientos, ya que forman parte del sistema general de gestión de una organización. Por esta razón, se los denomina sistemas integrados de gestión.

En la familia ISO 30300 se indica expresamente que el sistema de gestión de documentos ayuda a las otras normas de sistemas de gestión (MSS) a cumplir con sus objetivos proporcionando un enfoque sistemático de los procesos de control de su documentación, de su evaluación y de la mejora continua.

La integración del SGD en los sistemas de regulación, desempeño, auditoría y automatización de la organización proporciona una estructura que fomenta productos de calidad y servicios satisfactorios para los clientes.

Cuarto gran reto – El enfoque a la gestión por procesos, la consideración de la gestión de los activos digitales y evidencias como un proceso estratégico
El enfoque a la gestión por procesos de negocios (BPM Business Process Management) permite a las organizaciones ganar en eficacia, siempre que esté alineado con los objetivos y estrategias corporativas y la rendición de cuentas. Tiene efectos profundamente beneficiosos frente a la estructura orgánica tradicional funcional con departamentos estancos. Los modelos de gestión de calidad (EFQM, familia ISO 9000) se basan en la gestión por procesos y en la orientación al cliente. El enfoque a la gestión por procesos permitirá optimizar los recursos y mejorar la calidad de los servicios.

Para gestionar los procesos organizativos se debe definir su misión, analizar los clientes, tanto internos como externos, y sus necesidades, identificar los tipos (procesos clave, estratégicos o de soporte), planificarlos identificando el valor que aporta cada tarea, asignar los propietarios de cada proceso, medirlos y supervisarlos periódicamente y mejorarlos. Se debe crear un mapas de los procesos de la organización.

La gestión de los activos de información se ha considerado tradicionalmente como un proceso de soporte en los sistemas de gestión de la calidad, pero actualmente, dada su importancia para la supervivencia de una organización, deberían subir de categoría y considerarse como un proceso clave o estratégico.

La familia ISO 30300 incide en el enfoque por procesos de la gestión de los documentos (records). Los procesos se deben modelizar, medir y supervisar para poder evaluarse y rendir cuentas, con el objeto de lograr la mejora continua. La gran mayoría de los procesos que se desarrollan en una organización generan activos de información y evidencias, y por lo tanto, se tendrían que regular los procesos específicos para su gestión. Se debe realizar periódicamente un seguimiento que garantice que los procedimientos y procesos de gestión documental se aplican de conformidad con las políticas y requisitos de la organización, se alinean con sus objetivos y cumplen con los resultados previstos. Para lograr estas metas se han de implantar los procesos y controles documentales teniendo en cuenta los recursos y contexto de la organización, los riesgos identificados, así como el entorno social y regulatorio

Los procesos de gestión documental se deben diseñar: analizando los procesos de trabajo con el fin de determinar los requisitos para la gestión de los documentos y la asunción de responsabilidades, evaluando los riesgos, especificando los procesos de gestión documental, analizando los agentes, determinando qué documentos se crearán (estructura, forma y contenido) y cómo (tecnologías), qué metadatos se incorporarán (contexto), cómo y cuándo se retendrán, eliminarán y preservarán en el tiempo. La participación de los responsables de gestión de documentos (si existen en la organización) en la fase de análisis del proceso de negocio y durante su implantación facilitaría su control posterior.

En la organización pueden coexistir distintas herramientas informáticas desde las más básicas a las más complejas para la automatización de los procesos o flujos de trabajo (BPMS) que se integran en las distintas aplicaciones informáticas de negocio (ERP, CRM, ERM External Relationship Management), sistemas de gestión de contenidos (ECMS) o en los colaborativos (Groupware), sistemas para gestionar la calidad etc.

El gran reto consiste en integrar en los procesos de gestión del negocio los procesos y controles de gestión propios de los documentos.

Las aplicaciones informáticas de gestión de documentos también incluyen herramientas de automatización de gestión de flujos de trabajo que facilitan: la gestión de procedimientos documentales (expedientes); el control de la recepción y envío de documentos; revisión o aprobación, en la mayoría de los casos mediante firma electrónica; la asignación de tareas a los agentes; establecimiento de plazos; alertas etc. Facilitan a los agentes conocer en todo momento las tareas pendientes y los plazos requeridos, que pueden realizar desde cualquier lugar si disponen de una conexión internet y acceso a la plataforma. Como estos procesos están monitorizados los supervisores conocen en todo momento dónde se están produciendo cuellos de botella o retrasos. Un ejemplo típico es la automatización de los registros de entrada y salida de documentos y su integración con el sistema de gestión documental de la institución.

Quinto gran reto: La automatización masiva de la captura de los activos de información y evidencias físicos
La transformación a la oficina digital supone el primer gran reto para las organizaciones, este proceso abarca no sólo los aspectos técnicos de digitalización de los activos físicos de información críticos, en cualquier formato y de cualquier tipo (texto, imagen, audiovisual, gráficos, etc.), sino un cambio en los hábitos de trabajo de la organización.

Como primer paso sería recomendable analizar los riesgos relacionados con la digitalización de los documentos en relación con: las tecnologías empleadas, las características estos activos digitales realmente conducirá al fracaso.

En la documentación del proyecto se deberá incluir: el alcance y objetivos una vez analizadas las necesidades de los usuarios, así como los usos previstos de los documentos; la descripción de procedimientos de control y ejecución, que incluyen los de preparación y los de salida; los recursos humanos y el equipo de digitalización; las estrategias para integrar los documentos digitales en los procesos de trabajo del negocio o en sus sistemas de gestión documental o la selección de una solución de gestión documental; el análisis de los metadatos para cada unidad de descripción y sus relaciones; la introducción manual o automática de los valores de los metadatos; los procedimientos de expurgo y almacenamiento de los documentos físicos originales; los procesos para garantizar la calidad y la evaluación de los costes.técnicas (color, tamaño, resolución, duración, compresión, etc), el tipo de formato, la manipulación no adecuada de los originales durante la preparación, la destrucción de los documentos físicos una vez escaneados, los errores en la indexación, el transporte en el caso de que se externalice el proceso o su pérdida etc.

Es imprescindible una planificación de los procesos de digitalización y un análisis de los costes. El digitalizar por digitalizar, sin pensar en cómo se gestionaran posteriormente

La automatización del proceso de extracción de los valores de metadatos cuando se captura un documento (tanto digitalizado y como electrónico) y de su asignación posterior durante todo su ciclo vital, asegurará la consistencia del sistema documental.

Los procedimientos serán distintos si se plantea la digitalización de libros, expedientes en papel, legajos, manuscritos, planos de gran tamaño, fotografías, negativos, películas, carteles, gráficos, etc. Variarán los tipos de equipos y software, la necesidad de un tratamiento manual o automático,  las aplicaciones informáticas, los sistemas de almacenamiento etc. incidiendo en el cálculo de los tiempos y en los costes del proyecto.

Uno de los principales retos es la digitalización masiva de documentos físicos y la extracción automática de sus contenidos para integrarlos en bases de datos que posibiliten su búsqueda mediante metadatos o por texto completo, con el fin de que la organización pueda agilizar su gestión, ahorrar costes y rentabilizar el conocimiento contenido en ellos. Las tecnologías de reconocimiento de caracteres (OCR), las de reconocimiento de datos estructurados (ROC) o las de reconocimiento de marcas (OMR) (exámenes, encuestas etc) posibilitan el extraer automáticamente los datos de documentos estructurados y semiestructurados (formularios, facturas, albaranes, contratos, pólizas de seguros etc.) mediante plantillas o marcas para facilitar su descripción y recuperación posterior mediante sistemas de gestión documental. La necesidad de una alta calidad de la imagen digital para evitar errores en estos procesos automáticos de extracción de datos, así como un control de calidad manual son factores a contemplar en estos proyectos, con el fin de evitar que no se consigan los resultados deseados en su descripción y recuperación posterior.

Antes de destruir los activos de información originales se recomienda realizar una evaluación de los riesgos que suponen para la organización no cumplir con la legislación, normas y regulaciones a las que están sujetas si han eliminado los activos físicos de información digitalizados y no pueden presentar los originales a los organismos públicos, organismos regulatorios o los tribunales que los soliciten.

Sexto gran reto – Relación entre las aplicaciones informáticas de los sistemas de negocios que gestionan activos de información digitales y las aplicaciones informáticas de gestión documental
Para comenzar se debería realizar un inventario exhaustivo de todas las aplicaciones informáticas que gestionan activos de información y evidencias en la organización. No se deben olvidar los sistemas de gestión del negocio (ERP o CRM), sistemas de gestión de contenidos (CMS, webs e intranets), sistemas que gestionan procesos de negocio (BPM), sistemas de gestión de correos electrónicos, sistemas de mensajería, los entornos colaborativos (GROUPWARE) etc.

La arquitectura más frecuente de estas aplicaciones informáticas de gestión documental funcionan capturando estos activos digitales y evidencias de todas las aplicaciones informáticas y centralizando su gestión en un único repositorio controlado por el sistema de gestión de documentos (records).

Existen otro tipo de arquitecturas alternativas en las cuales se gestionan los documentos en su mismo lugar de almacenamiento (en las aplicaciones del sistema de negocio) dónde se aplican y declaran los controles y procesos de los documentos dentro de los mismos. Aunque la mayoría de estos sistemas informáticos mencionados no están diseñados para soportar las políticas de gestión de documentos (records – activos de información y evidencias digitales).

Actualmente existen aplicaciones informáticas híbridas de gestión de records en el mercado que facilitan gestionar los activos digitales y evidencias: ya sea dentro de las aplicaciones informáticas que los generan o extrayéndolos (dejando un enlace) en un repositorio único. Siempre bajo el control total de la solución de gestión de documentos con el fin de poder aplicar las políticas de retención y disposición o de seguridad. Los records estarán siempre controlados y los usuarios podrán seguir utilizándolos en las aplicaciones origen.

Existen dos tipos de aplicaciones informáticas de gestión documental:

aquellas que facilitan la gestión del activo digital en su fase activa y por lo tanto permiten el control de las diversas versiones de un mismo documento,  los procesos de firma, revisión y aprobación, también ofrecen herramientas para la indexación y clasificación automáticas, y aquellas que capturan el documento como un record, un activo de información o evidencia que no puede ser modificado y del que debe preservarse su integridad, autenticidad, fiabilidad y disponibilidad durante todo su ciclo vital.
Ambos sistemas deberían estar interconectados y ser interoperables.

Las aplicaciones informáticas de gestión de records deberían estar certificadas conforme a las normas internacionales, de esta forma el cliente se asegura que cumplirá todos los requisitos para  implementar su sistema de gestión de documentos adecuadamente.

Ejemplos de los tipos de activos de información digitales que deben capturar estas soluciones de gestión documental:

Correos electrónicos y sus adjuntos
Documentos  que pueden estar almacenados aplicaciones informáticas externas
Planos, carteles, gráficos en 3D, vídeos, etc.
Páginas web (formadas por imágenes, páginas html, audiovisuales, hojas de estilo, ficheros php, etc.)
SMS productos y de clientes.
Estas aplicaciones deben ser capaces de gestionar modelos de metadatos, las relaciones entre los documentos de una misma agrupación o entre agrupaciones, los eventos que le ocurren al documento durante todo su ciclo de vida, la gestión de las firmas electrónicas de larga duración, la gestión de los cuadros de clasificación, la aplicación de los calendarios de retención y disposición, el control de los usuarios autorizados y las acciones que pueden realizar,  así como las políticas de preservación. La automatización de la introducción de los valores de metadatos (siempre que sea posible) asegurará la consistencia del sistema en el tiempo.– mensajes enviados a través de teléfonos móviles
Mensajes en redes sociales (con imágenes o vídeos)
Documentos que se gestionan en los centros de atención al cliente mediante soluciones de voz, como son las grabaciones de audio
Transacciones financieras
Las soluciones de gestión documental también deberían contemplar cómo se gestionan los datos y las plantillas que generan los documentos de salida de las organizaciones. Actualmente las aplicaciones informáticas de edición documental transforman automáticamente los datos que se almacenan en las distintas aplicaciones de negocio en documentos estructurados, tanto físicos como digitales (facturas, pólizas de seguros, extractos bancarios, nóminas, contratos, albaranes, etc.). El proceso se realiza mediante plantillas. Estos documentos posteriormente se deben gestionar como activos de información o como evidencias en las aplicaciones de gestión de documentos. En algunos casos se aconseja incluso guardar además las bases de datos con cuyos valores se han producido estos documentos. Por ejemplo, una factura se origina a partir de las filas correspondientes de las tablas de las bases de datos: de facturas, de pedidos, de

También deberían incluir herramientas para automatizar los procedimientos (procesos o workflows) que producen los expedientes híbridos, formados por documentos digitales y físicos (pueden ser documentos en papel, pero también un disco óptico con una base de datos, una cinta de vídeo, etc.). Actualmente a la mayoría de los archivos administrativos les llega sólo una parte del expediente, la que se encuentra en formato físico, y queda en los diversos sistemas de almacenamiento o aplicaciones informáticas de la organización el resto de documentos digitales que lo conforman, esto dificulta la aplicación de los periodos de retención y disposición. Además la gestión de estos records físicos tiene unas necesidades especiales, como por ejemplo, gestionar las transferencias desde las oficinas a los archivos o entre archivos, los préstamos y la organización de los espacios.

Las políticas de preservación de los activos digitales físicos no se deberían confiar exclusivamente a los informáticos. La obsolescencia de los formatos de ficheros digitales, del software y del hardware es muy alta, incluso de unos pocos años, esto obliga a las organizaciones a establecer políticas para la preservación de sus activos digitales, a corto, medio o largo plazo, durante todo su ciclo de vida. Las aplicaciones informáticas de gestión de records tendrían que ofrecer herramientas para aplicar estas políticas de preservación.

Los servicios que deberían ofrecer los sistemas de gestión de records (según More, 2010):

Servicios de sistemas
Servicios de usuarios y grupos
Servicios de modelos de roles
Servicios de clasificación
Servicios de records (documentos)
Servicios de metadatos
Servicios de calendarios de disposición (conservación, eliminación)
Servicios de búsqueda e informes
Servicios de exportación e importación

Séptimo gran reto – La gestión a largo plazo de los certificados y firmas electrónicas
Algunas de las preguntas más habituales en relación a la conservación a largo plazo de las evidencias (documentos) con firma electrónica:

¿Cuál sería el procedimiento para custodiar la firma electrónica de una evidencia electrónica sin necesidad de consultar posteriormente a una autoridad de certificación sobre la validez del certificado?
¿Qué evidencia se debe guardar?.  ¿Se necesita un informe de validación de la Autoridad de Certificación para archivar con el documento firmado?
¿Es suficiente con ciertas trazas o logs?
¿Es viable económicamente conseguir esta evidencia?
La firma electrónica avanzada y reconocida aporta los elementos técnicos que permiten autenticar los documentos electrónicos; potenciar la validez de las comunicaciones y transacciones telemáticas seguras; y facilitar las relaciones de los ciudadanos, clientes o proveedores con la administración pública o empresas.
Las organizaciones cuando reciben un documento firmado electrónicamente deberían  consultar los listados de certificados revocados del Prestador de Servicios de Certificación, para conocer si era válido en la fecha en que se firmó. Es un proceso complejo y caro para una pequeña o mediana empresa.

Los procesos mediante los cuales se aprueban, revisan y firman electrónicamente estos documentos puede estar automatizados en los distintos sistemas de gestión del negocio, por ejemplo en los sistemas de gestión de calidad, o en los sistemas de gestión de documentos.

El gran reto es la gestión a largo plazo de estos certificados y firmas electrónicas. Las firmas longevas que permiten demostrar su autenticidad, validez y no-repudio en un determinado instante son la solución. Los formatos de firma electrónica de larga duración facilitan que los documentos firmados electrónicamente puedan seguir siendo válidos durante largos períodos de tiempo, aunque se hayan roto sus algoritmos y aunque los certificados electrónicos que los emitieron hayan perdido su validez. Proporcionan información adicional de su validez, como el sellado de tiempo (que muestra la fecha y hora en que el documento fue firmado), la información sobre la cadena de certificación y el estado de revocación de los certificados electrónicos.

Las plataformas de firmas electrónicas solucionan esta gestión a largo plazo.

Octavo gran reto: La externalización de la gestión de los activos de información y evidencias digitales en entornos cloud
Las empresas y administraciones públicas desconfían en gestionar y almacenar sus activos digitales de información en la nube, sin considerar que algunos de los centros de datos que ofrecen estos servicios son mucho más seguros que los de la propia organización.

Aunque es altamente recomendable realizar un análisis de riesgos previo antes de contratar un servicio en la nube para establecer las condiciones, planificar su ejecución, seleccionar las soluciones informáticas que gestionen los activos digitales que cumplan con los requisitos de las normas internaciones, establecer los controles de seguridad, exigir que se les informe de los incidentes en la seguridad y su tratamiento, etc.

Durante el servicio será necesario supervisar de una forma continua si se están cumpliendo las condiciones exigidas en el contrato.

Algunas de las preguntas esenciales que se deben plantear son: si la legislación, normas y regulaciones le permiten el servicio en la nube y si obligan a controlar en qué país se almacenan los activos digitales de información (y sus copias de seguridad) y la jurisdicción por la que se rigen; quiénes serán los propietarios de la información; en qué formatos específicos se archivarán; cómo se protegerá su integridad, fiabilidad, autenticidad y disponibilidad durante todo el tiempo que dure el servicio; cómo se aplicarán los períodos de retención o disposición; cuál será la rapidez en el acceso por usuarios y auditores; cómo se entregarán los activos digitales de información con sus correspondientes metadatos, su historial de eventos, y sus relaciones cuando haya finalizado el servicio; y cómo se destruirán sin que quede ningún rastro de ellos en el proveedor (también en sus correspondientes copias de seguridad si están alojadas en otros centros de datos), etc.

Es fundamental en relación a la protección de los datos personales incluir en el contrato que el proveedor actuará como Encargado de Tratamiento y que deberá asumir sus responsabilidades.

En mi artículo La computación en la nube en Europa y en España: una oportunidad de negocio se explican las cláusulas que se deben incluir en los contratos con los proveedores y los clientes de los servicios en la nube. Los contratos dependen de la naturaleza del servicio, pueden ser fijos, es decir, el proveedor ofrece el mismo contrato a todos sus clientes, o el contrato puede ser fruto de la negociación entre el cliente y el proveedor, asociado con el contrato se suele incorporar una Acceptable Use Policy (AUP) y un Service Level Agreement (SLA) – Acuerdo de Nivel de Servicio.

Los SLA son acuerdos, aceptados por el cliente y el proveedor, que definen un conjunto de objetivos de nivel de servicio y relacionados con los indicadores clave de rendimiento (KPI – Key Performance Indicators), habitualmente se refieren a aspectos del servicio relacionados con la disponibilidad, rendimiento, seguridad, cumplimiento de las normas y privacidad. Los objetivos de nivel de servicio definen umbrales medibles de atributos de servicio, que el proveedor del servicio en la nube pretende cumplir con respecto al servicio que se va a proporcionar.

Conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el abogado o despacho (y cuente, en su caso, con el consentimiento del titular).
Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislación española, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos. En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.
Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible para la organización que contrata sus servicios, y a quienes la entidad determine con los perfiles de acceso correspondientes. En caso de que la organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles.
Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
Disponibilidad. El proveedor ha de garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
Consecuencias para el caso de incumplimiento del proveedor de servicios. Cloud de las obligaciones anteriormente recogidas

Noveno gran reto – La integración de los sistemas de e-administración con los sistemas de gestión de activos digitales y evidencias de la organización
Las administraciones públicas y las empresas están facilitando a los ciudadanos y clientes poder realizar trámites de una forma telemática a través de sus sedes web mediante un ordenador o cualquier tipo de dispositivo móvil. Facilitan el presentar solicitudes, escritos, comunicaciones o documentos, y en servicios más complejos ofrecen a clientes y ciudadanos poder consultar online la información de los procedimientos administrativos que se estén tramitando pudiendo obtener entre otras informaciones: su estado, las tareas realizadas o consultar los documentos anexos al trámite.

Estos sistemas deberían estar integrados con los sistemas de gestión de los documentos de la organización. Es decir, cuando un ciudadano o cliente presenta un documento en el Registro de Entrada de la entidad, este documento debería capturarse e integrarse en su correspondiente procedimiento (expediente) del sistema de gestión documental. Si no se consigue, el Registro de Entrada de documentos se convertirá en otro silo aislado de información dentro de la organización.

Décimo gran reto – La seguridad y ciberseguridad de la información
La legislación, normas y regulaciones obligan a controlar los accesos de los usuarios con más rigurosidad, y por ello, son esenciales para el control y el funcionamiento del negocio. Esta gestión única facilita el cumplir con las políticas de acceso de la organización, asegurando el control de los roles y perfiles de los usuarios, controlando su autenticación, los niveles de acceso y las acciones autorizadas con el fin de proteger los activos digitales de la organización.

Actualmente se están ofreciendo en el mercado plataformas, generalmente en la nube, para la gestión de identidades a gran escala de empleados, clientes, proveedores, socios y demás partes interesadas, desde cualquier lugar, de los múltiples sistemas de información una organización. Los responsables de gestión de activos digitales deberían evaluar si estas plataformas gestionan adecuadamente roles y perfiles de los grupos de usuarios y las acciones autorizadas definidas en las soluciones de gestión documental.

El sistema de gestión de seguridad de la información debería proteger la integridad, autenticidad, fiabilidad y disponibilidad de los activos de información y evidencias de la organización, tanto digitales como físicos. El proceso de gestión de seguridad de la información debe ser sistemático, estar documentado y comunicarse a todos los miembros y partes interesadas de la organización.

Como hemos indicado, el sistema de gestión de la seguridad de la información (ISO 27000) y el sistema de gestión para los documentos (familia ISO 30300) deberían estar integrados.

Las estrategias para la gestión de los riesgos de los activos digitales, aunque se analicen independientemente, se deberían integrar posteriormente en los sistemas de gestión de riesgos y de seguridad de la información de la organización. La protección es esencial en entornos como los actuales, totalmente interconectados, expuestos a una gran variedad de amenazas y vulnerabilidades, tanto internas como externas. Los accesos por usuarios no autorizados y las acciones realizadas en los activos digitales que atenten a su integridad, fiabilidad, autenticidad o disponibilidad (consulta, modificación, extracción o eliminación) deberían dejar traza para poder ser controlados. Por otra parte, los sistemas de seguridad de las empresas y administraciones públicas se encuentran actualmente desbordados ante los ataques de los hackers (que pueden ser dirigidos por gobiernos) para destruir o espiar sus activos digitales críticos: virus, spyware, malware, APT, DDoS, troyanos, botnets etc. Las organizaciones deben evaluar los riesgos con respecto a su información, identificar las amenazas y debilidades, y valorar el impacto de los fallos de seguridad, así como las soluciones para su tratamiento.
Para saber más visite:

Undécimo gran reto – La reutilización de los activos de información y evidencias digitales
Aunque se haya guardado un activo de información o evidencia digital como record, los sistemas no deben impedir que se pueda reutilizar su contenido en el momento en que se necesiten en otros contextos, no sólo del negocio actual sino también en un futuro, las aplicaciones informáticas de gestión de documentos y de records deben facilitar que se repliquen y se pueda gestionar como otro record distinto con el debido control.

Esta reutilización se debería contemplar en las políticas de creación y retención de los documentos, ya que afectará a los formatos de los ficheros que se guardarán (editables y no editables), y a los formatos de fichero en que se convertirán en los procedimientos para su preservación.

Duodécimo gran reto –La rentabilización del contenido de los activos y evidencias digitales: el Big Data
En los negocios se utilizan diversos sistemas que transforman los datos en información: Data Warehousing (DW), Enterprise Information Management (EIM), Management Information Systems (MIS), Executive Information Systems (EIS), Business Intelligence (BI), y actualmente el Bigdata.

Los Bigdata son sistemas que son capaces de gestionar grandes volúmenes de datos e información.

La mayoría de la  información que afecta a la supervivencia y competitividad de las organizaciones no es aprovechada porque está oculta en las aplicaciones de negocio, en las redes sociales, en los gestores de contenido, en los correos electrónicos, lo publicado en internet y que aparece en las búsquedas de Google, etc.
El Big Data permite recolectar y analizar grandes volúmenes de información ofreciendo resultados mucho más rápidos y precisos que si se realiza el análisis con las técnicas de muestreo tradicionales. Permite predecir, por ejemplo, las preferencias de los clientes para ofrecerles ofertas personalizadas. Los procesos típicos: captura, consulta, gestión, análisis y visualización.

Asimismo se recomienda un análisis previo de los riesgos en relación a la protección de datos personales, la seguridad, la inexactitud de las relaciones entre los datos extraídos, etc.

Es recomendable desarrollar políticas para proteger los datos personales de los clientes, proveedores, empleados, socios, partes interesadas etc. que se gestionan mediante el Big Data, ya que las personas los han proporcionado a la organización para finalidades concretas. El principio de limitación de la finalidad de la Unión Europea puede servir de orientación, se establece que no se traten posteriormente de una forma incompatible con los fines para los que fueron recabados, esto no obsta a que no se puedan extraer y analizar, se debe evaluar cada caso, dependiendo del contexto, su naturaleza, etc.

Otros de los grandes retos en relación a los sistemas de gestión para los documentos será la aplicación de los calendarios de disposición a este gran volumen de datos e información que gestionan los Big Data.

Conclusiones
Las organizaciones que hayan logrado afrontar todos estos retos relacionados con la gestión de sus activos digitales y evidencias lograrán cumplir con sus obligaciones legales, rendir cuentas, agilizar su gestión, aumentar su productividad, ahorrar costes, mejorar la calidad de sus servicios a sus clientes, aumentar sus ventas, mantener su reputación online y ser más competitivas en un mercado global.

Los profesionales de la información y la documentación deberían formarse para afrontar todos estos retos relacionados con la gestión de los activos de información y evidencias en la era digital.

Dña. María del Valle Palma Villalón
Miembro del Subcomité (SC)1 “Gestión de Documentos y aplicaciones” del Comité 50 de Documentación y del Subcomité (SC)38 “Servicios y plataformas para aplicaciones distribuidas” del Comité 71 Tecnología de la Información de AENOR.

Fuente: Palma Villalón, María del Valle. “Los 12 grandes retos en la gestión de los activos de información y evidencias en la era digital”. [En Línea]. Revista gestión documental. Disponible en: http://www.revistagestiondocumental.com/2014/05/06/los-12-grandes-retos-en-la-gestion-de-los-activos-de-informacion-y-evidencias-en-la-era-digital/. [Consulta: 27/11/2015]

 

 

, , ,

  1. Deja un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: