Control seguro de documentos Protección de la información confidencial

Transcripción

1 Control seguro de documentos Protección de la información confidencial Parte III de la serie de Libros Blancos del Índice de Control de Documentos de Ricoh Febrero de 2010 La información contenida en el presente Libro Blanco procede de la investigación realizada por Coleman Parkes Research para Ricoh y abarca los países siguientes: Bélgica, Francia, Alemania, Italia, Países Bajos, España, Reino Unido e Irlanda

2 Índice 1.0 Introducción: control de documentos y sostenibilidad Resumen ejecutivo 5 Principales resultados 3.0 El grado de concienciación sobre la seguridad de los documentos es elevado Las empresas están expuestas a un riesgo considerable en la práctica La manera de abordar la seguridad de los documentos varía sustancialmente en los mercados verticales Conclusión Enfoque de Ricoh con respecto a la seguridad 14

3 1.0 Introducción: control de documentos y sostenibilidad Ricoh lanza el tercer libro blanco de una serie dedicada al control de documentos. La investigación llevada a cabo por la empresa independiente Coleman Parkes demuestra que más de la mitad de las empresas europeas tienden a adoptar un enfoque descentralizado ante el control de los documentos, y esto les impide aprovechar una serie de ventajas muy diversas, como la posibilidad de mejorar la eficiencia, la sostenibilidad, la productividad y la seguridad. Este estudio examina los métodos que utilizan los directivos europeos para gestionar la seguridad en el contexto específico del control de documentos. La seguridad de la información se aplica a todas las áreas de la empresa y abarca los aspectos relativos a la confidencialidad, la integridad y la disponibilidad. Los datos incluidos en el estudio de control de documentos proporcionan una perspectiva de los métodos que emplean los directivos europeos para gestionar la confidencialidad de la información y evitar exponerse a riesgos de manera innecesaria. Cuando la información confidencial se filtra al exterior, las empresas se ven afectadas de las siguientes maneras: Derechos de propiedad intelectual: Pérdida de inversiones en investigación y desarrollo. Información de clientes: La información personal está protegida por la legislación. Se pueden imponer sanciones en caso de incumplimiento de los reglamentos. Información comercial: Se puede perder ventaja competitiva si llega a filtrarse información confidencial o sensible. Información de terceros: Información que se maneja como consecuencia de las actividades de subcontratación. Los clientes perderán confianza en la empresa que subcontrata y ello puede tener consecuencias económicas negativas. En Europa ha habido casos muy sonados en los que documentos confidenciales, como historiales médicos o datos bancarios, o incluso documentos clasificados de estrategias gubernamentales, se han extraviado o abandonado en lugares públicos sin aplicar ninguna medida de seguridad para proteger los datos que contenían. Sin embargo, aparte de dañar la reputación de una empresa, las infracciones de seguridad pueden ser costosas. Pensemos en el siguiente suceso ocurrido en el sector de las carreras de coches 1. Un documento de 780 páginas con información confidencial de carácter técnico sobre el coche de F1 de Ferrari fue descubierto en manos de un diseñador de McLaren. El órgano regulador de este deporte determinó que la repercusión en la ventaja competitiva de Ferrari había sido tan perjucicial que McLaren tuvo que pagar una fuerte multa y le fueron retirados todos los puntos ganados en los campeonatos de esa temporada. No obstante, las violaciones de la confidencialidad no siempre son tan manifiestas. Es más: cualquier empresa está sometida diariamente a distintos riesgos que pueden pasar más desapercibidos. Por ejemplo, hay información comercial confidencial, como planes de negocio, estrategias e información financiera, que puede ir a parar a manos de los competidores sin que la propia empresa llegue a enterarse

4 Si bien existen requisitos normativos y legales, como PCI-DSS 2, la Ley de Protección de Datos y la Ley Sarbanes Oxley para proteger la información confidencial, el estudio demuestra que algunas empresas siguen sin proteger su información y esta falta de seguridad las expone a todo tipo de riesgos. A modo de ejemplo, sólo el 47% 3 de los directivos se atreve a afirmar que sus empresas cuentan con una política para controlar la impresión de la información de sus clientes. Metodología del estudio sobre el control de los documentos Se desarrollaron un total de 311 entrevistas durante los meses de julio y agosto de 2009 con personas responsables en la toma de decisiones (de nivel C o equivalente) en Bélgica, Francia, Alemania, Italia, los Países Bajos, España y el Reino Unido e Irlanda. Todos los encuestados trabajan en empresas de tamaño medio o grande pertenecientes a sectores de servicios financieros, servicios profesionales, servicios públicos y de telecomunicaciones /servicios básicos y medios de comunicación de toda Europa. Son responsables de la gestión de los documentos en sus respectivas organizaciones. El estudio se desarrolló en condiciones controladas para garantizar que ofreciera una información representativa en toda Europa y dentro de cada sector vertical objetivo. 2 Payment Card Industry Data Security Standard 3 Promedio de los sectores de servicios financieros, servicios profesionales, sector público y telecomunicaciones, servicios públicos y medios de comunicación. 4

5 2.0 Resumen ejecutivo Las conclusiones del Estudio sobre el control de los documentos de Ricoh demuestran que, a pesar de que las empresas europeas conocen los riesgos que supone la falta de seguridad documental, sólo una minoría de los directivos está poniendo en marcha políticas para abordar el problema. El grado de concienciación sobre la seguridad de los documentos es elevado Como cabe esperar, los directivos europeos demuestran que conocen perfectamente la necesidad de aplicar medidas de seguridad para los documentos y son plenamente conscientes de su importancia. De hecho, tres cuartas partes (76%) de los encuestados están de acuerdo en que el mayor uso de la tecnología en nuestros entornos de trabajo está generando un aumento de los riesgos de seguridad. Una aplastante mayoría del 91% está de acuerdo en que el refrán más pertinente para la seguridad documental es más vale prevenir que curar, mientras que un 68% de los directivos considera que un entorno de impresión optimizado daría pie a la aplicación de medidas de seguridad más efectivas. En el caso de los documentos empresariales, la información digital e impresa preocupa por igual a casi la mitad de los encuestados (49%). En la práctica, las empresas están expuestas a un riesgo considerable Sólo una minoría de las empresas está tomando medidas para proteger su información confidencial. Asimismo, menos de la mitad (47%) cuenta con una política rigurosa para controlar la impresión de información sobre clientes; incluso son menos (41%) las que disponen de medidas de seguridad para la impresión de otros documentos confidenciales. Por si esto fuera poco, sólo el 44% de los encuestados dispone de una política rigurosa para evitar que los empleados que se marchan de la empresa se lleven información confidencial. La falta de políticas puede ser consecuencia directa del modelo descentralizado de control de documentos. De hecho, un modelo fragmentado para gestionar los documentos de toda la empresa impide disponer de información completa de todos aquellos ámbitos en los que debe abordarse la seguridad, y esto hace que las empresas sean más vulnerables a las infracciones, ya sean accidentales o intencionadas. La manera de abordar la seguridad de los documentos varía sustancialmente en los mercados verticales Al analizar más detenidamente los mercados verticales se extraen resultados sorprendentes. Y es que, por ejemplo, la menor probabilidad de contar con una política para restringir la impresión de la información de los clientes se da en el sector financiero, en el que sólo un 46% de los encuestados afirma que dispone de una política formal que aborde esta cuestión. Asimismo, sólo el 33% de las empresas del sector público aplica una estrategia de seguridad de documentos al completo. La cifra se eleva hasta el 43% de los encuestados del sector de servicios profesionales y al 48% en los sectores de telecomunicaciones, servicios públicos y medios de comunicación. En general, los resultados demuestran que, incluso en los sectores más regulados y más conscientes de la importancia de la seguridad, se puede hacer más para proteger la información confidencial y realizar un control más adecuado de los documentos. 5

6 Principales resultados 3.0 El grado de concienciación sobre la seguridad de los documentos es elevado Al 49% les preocupa por igual las amenazas a la seguridad de la información digital e impresa. Como cabría esperar, los directivos europeos son muy conscientes de la necesidad de proteger los documentos en sus empresas. La mayoría (76%) está de acuerdo en que los riesgos a la seguridad aumentan a medida que evolucionan las tecnologías en el lugar de trabajo. Partiendo de este reconocimiento, se plantea la premisa de que un entorno de impresión optimizado o controlado centralmente propiciaría la aplicación de medidas de seguridad más efectivas, algo con lo que un 68% de los encuestados está de acuerdo, mientras que un 91% está de acuerdo en que el refrán más pertinente para la seguridad documental es más vale prevenir que curar. Las respuestas demuestran que las empresas son conscientes de la necesidad de seguridad en el flujo de trabajo de documentos. A casi mitad de las empresas europeas (49%) les preocupa por igual las amenazas para la información digital e impresa. En el mercado existen distintas soluciones de seguridad que permiten a los directivos llevar un control correcto de sus documentos y cubrir sus necesidades de seguridad documental. Tal es el caso de los servicios de gestión de documentos. También existen aplicaciones más específicas, como la autenticación del usuario, el bloqueo de la impresión y la gestión inteligente de cuentas. Los controles técnicos incluyen la protección mediante contraseñas, de manera que sólo las personas autentificadas puedan acceder e imprimir información restringida. La integridad de los documentos también se puede proteger mediante códigos integrados que resaltan los cambios y/o evitan tener que volver a escanearlos o copiarlos. La sobreescritura de datos también eliminará automáticamente todos los datos temporales que estén almacenados en el disco duro de los equipos multifunción. 6

7 Figura 1 Manera de abordar la amenaza relativa que plantea la información impresa y digital In today s economic environment which poses the greatest security threat to the company? Base: Total Respondents Digital information % Physical/printed information % Both equally % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

8 4.0 Las empresas están expuestas a un riesgo considerable en la práctica Sólo el 47% de las empresas cuenta con una política rigurosa para controlar la impresión de la información de sus clientes. Aunque los directivos encuestados afirman que son conscientes de los riesgos a los que están sometidos sus documentos empresariales, en la práctica aún no han implantado las soluciones que tienen a su disposición. Sólo el 47% de los directivos europeos encuestados afirma contar con una política para controlar la impresión de la información de los clientes, e incluso un porcentaje menor (41%) reconoce disponer de una política para restringir la impresión de otros documentos confidenciales. Por si esto fuera poco, sólo el 44% de los encuestados dispone de una política para evitar que los empleados que se marchan de la empresa se lleven información confidencial. Sin embargo, las empresas que no cuentan con políticas de seguridad se exponen a riesgos considerables. Tanto si la amenaza es intencionada como accidental, cuando la información empresarial de carácter confidencial cae en las manos equivocadas, las consecuencias pueden tener una gran trascendencia y provocar un daño sustancial a la empresa. Figura 2 Aplicación de políticas para controlar la impresión de la información de clientes Existence of a security policy that restricts or controls the printing of customer information Base: Total Respondents Yes, strictly enforced % Yes, but not strictly enforced % No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

9 La incoherencia entre el grado de concienciación y lo que ocurre en realidad puede relacionarse con los resultados del Índice de control de documentos de Ricoh 4. Los datos de dicho índice demuestran que el control tiende a descentralizarse y que no existe una función específica sobre la que recaiga la responsabilidad de esta tarea. En muchos casos, varias personas son responsables del control de documentos, pero es más frecuente que la responsabilidad recaiga sobre los responsables de departamentos o sobre personas concretas. El modelo descentralizado provoca una duplicación de tareas y fomenta la ineficiencia, además de influir en la productividad y la sostenibilidad. En este contexto, también se puede ver su influencia en la seguridad de los documentos. Figura 3 Aplicación de políticas para controlar la impresión de la información sensible de los clientes Existence of a wider reaching policy that restricts or controls the printing of corporate documents Base: Total Respondents Yes, strictly enforced % Yes, but not strictly enforced % No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd., Coleman Parkes Research. Octubre de

10 5.0 La manera de abordar la seguridad de los documentos varía sustancialmente en los mercados verticales Al comparar los datos entre los distintos sectores verticales se obtienen resultados sorprendentes: Servicios financieros Servicios profesionales Sector público Telecomunicaciones, servicios públicos, medios de comunicación El promedio de todos los sectores indica que menos de la mitad de las empresas ha puesto en marcha una estrategia completa de seguridad de documentos (48%); dispone de políticas para controlar la impresión de la información de los clientes (47%) y es capaz de evitar que salgan de la empresa documentos confidenciales (44%). Servicios financieros El sector de servicios financieros, uno de los más regulados, arroja resultados inesperados. Sólo el 46% de los directivos reconoce que sus empresas disponen de una política para controlar la impresión de la información de los clientes. Este porcentaje sitúa al sector de servicios financieros en el último puesto en este ámbito concreto. Sin embargo, los directivos de las empresas de servicios financieros son más proclives que sus homólogos de otros sectores (49%) a confirmar que disponen de una política rigurosa para evitar que los empleados que se marchan de la empresa se lleven información confidencial. Resultaría inapropiado sugerir que esa falta de atención es intencionada; más bien sería una consecuencia de la descentralización del control de documentos, donde ninguna persona supervisa la información a lo largo del flujo de trabajo. Esto tiene como consecuencia la falta de visibilidad de los documentos en el flujo de trabajo de TI, que los riesgos sigan sin evaluarse y que, por tanto, la información quede desprotegida. Sector público En el sector público la tendencia es similar y también sorprendente: sólo el 39% de los directivos asegura contar con una política para evitar que las personas que se marchan de la empresa se lleven información confidencial o sensible. Este porcentaje se sitúa muy por debajo de la media del sector (44%) y resulta preocupante, dada la importancia de la información y la avalancha de casos 5 en los que la información se acaba perdiendo o filtrando. Las empresas del sector público también afirman con menos frecuencia que disponen de una estrategia general de control de documentos (33%) para gestionar y asegurar el entorno de impresión, y son menos proclives a considerar que la mejora de la seguridad es una de las principales ventajas que aporta un modelo optimizado de gestión de impresión (59%)

11 Servicios profesionales Aparte de las medidas para proteger y garantizar la seguridad en la impresión de datos de los clientes, el estudio también revela las distintas políticas disponibles para restringir o controlar la impresión de otros documentos o información de carácter empresarial. Como ejemplos cabe citar los planes de negocio, la información de los empleados y los presupuestos. Sólo el 37% de los directivos del sector de servicios profesionales el porcentaje más reducido de Europa dispone de una política rigurosa, frente al 46% de los directivos de servicios financieros, que representan el porcentaje más elevado en Europa. Telecomunicaciones, servicios públicos y medios de comunicación Aunque los directivos de las empresas de telecomunicaciones, servicios públicos y medios de comunicación reconocen con más frecuencia que sus homólogos en otros sectores que el volumen de información en formato impreso está aumentando, sólo el 43% dispone de una política formal para controlar la impresión de otros documentos confidenciales. No obstante, este porcentaje es ligeramente superior al correspondiente a los directivos de servicios profesionales y del sector público (41%). Figura 4 Aplicación de políticas para evitar que los empleados que se marchan de la empresa se lleven información confidencial Existence of formal or ad-hoc procedures to prevent employees taking confidential/sensitive information Base: Total Respondents 80 Yes, formal % 70 Yes, ad-hoc % 60 No % Total sample Financial Services Professional Services Public Sector Telco/Utilities/Media Source: Coleman Parks Research Ltd.,

12 Figura 5 Manera de abordar las políticas de control de documentos en los sectores verticales Companies Document Governance strategy/policy Base: Total Respondents Departments have their own approach Telco/Utilities/Media Public Sector Nothing in place or planned Planning a strategy for the future but it is not in place Professional Services Financial Services Total No formal strategy, just a series of guidelines The strategy is being developed and will be implemented soon The strategy is fully developed and implemented Source: Coleman Parks Research Ltd.,

13 6.0 Conclusión Aunque a casi la mitad de los directivos europeos les preocupa por igual los riesgos de confidencialidad que entrañan los documentos digitales e impresos, el estudio demuestra que no cuentan con políticas suficientes que les permitan proteger sus documentos confidenciales. Las cifras reflejan que, a pesar de los riesgos que ello supone, del aumento de los requisitos reglamentarios y de las presiones de los clientes para que las empresas demuestren que son responsables, sólo el 48% de los directivos reconoce aplicar una estrategia completa de seguridad de los documentos. Por tanto, todos los sectores, incluso los más regulados, presentan un margen de mejora sustancial. La explicación más probable de los resultados es la falta de conocimiento de las ventajas que aporta el control centralizado de los documentos. Al aplicar una estrategia que asigne responsabilidades claras sobre la totalidad del flujo de trabajo de documentos, las empresas pueden reducir los riesgos y, a su vez, avanzar en sus objetivos de eficiencia y sostenibilidad. Los documentos deben considerase como una parte más de la estrategia de seguridad general de una empresa, y gestionarse junto con todos los demás activos de la red empresarial. Desde un punto de vista táctico, la seguridad de los documentos también desempeña una función primordial a la hora de ayudar a las empresas a garantizar el cumplimiento de las normativas e incrementar la productividad de sus empleados mediante un flujo de trabajo más simplificado. Más aún: la seguridad de los documentos puede ayudar a las empresas a diferenciarse, ya que serán capaces de demostrar una gestión ética, responsable, íntegra y transparente. Esto, a su vez, mejoraría la confianza de los clientes y promovería las ventajas competitivas. Quizás asumiendo esta máxima, de la misma manera que exigen absoluta transparencia y responsabilidad a sus proveedores, las empresas podrán comenzar a promover la seguridad de los documentos dentro de sus procesos internos como potencial elemento diferenciador para futuros clientes. 13

14 7.0 Enfoque de Ricoh con respecto a la seguridad Para ayudar a las empresas a proteger su información, todas las actividades de Ricoh desde investigación y desarrollo, hasta servicios y asistencia técnica, pasando por los procesos internos incorporan el elemento seguridad como una de sus principales bazas. Ricoh tiene en cuenta el alcance completo de la seguridad documental para gestionar la confidencialidad, la integridad y la disponibilidad de la información. Asimismo, reconoce que la seguridad de la información es una de las principales prioridades de sus clientes, ya sea por la necesidad de cumplir las normativas legales o por cuestiones comerciales. Sea cual sea la necesidad que tenga la empresa, la gama de soluciones de seguridad que ofrece Ricoh es capaz de cumplir cualquier requisito. Estas soluciones han sido desarrolladas con el propósito de ayudar a las empresas a gestionar y proteger su información. Y es que la aplicación de medidas de seguridad permite a las empresas controlar sus equipos de oficina y protegerse frente a pérdidas o filtraciones de la información. Las soluciones de Ricoh ofrecen una variedad de herramientas importantes para que las empresas las integren en sus propios sistemas de gestión de seguridad de la información. Componentes de calidad certificada La seguridad se incorpora en las primeras fases del diseño del hardware y el software. En 2002, Ricoh fue la primera empresa en recibir la certificación ISO/IEC para una impresora digital multifunción. Desde entonces, la empresa ha seguido diseñando y desarrollando equipos de calidad certificada, como la solución DataOverwriteSecurity, por la que la empresa también ha recibido la certificación ISO/IEC Definición y cumplimiento de las políticas Los consultores de Ricoh trabajan con los clientes para definir una política de impresión que equilibre y combine la necesidad de disponer de un sistema de seguridad y de gestión, con el requisito de que la experiencia del usuario sea flexible y adecuada. Una vez definida esta política, los usuarios deben ser informados de las necesidades empresariales con respecto a la misma y recibir las instrucciones necesarias para su aplicación. El cumplimiento de la política de impresión se puede automatizar con la ayuda de varios productos de la gama Ricoh. Restricción del acceso a los dispositivos Uno de los principales riesgos de seguridad es permitir que los empleados tengan acceso ilimitado a las áreas de trabajo y los equipos. Los equipos multifunción pueden ser objeto de un uso indebido para realizar exportaciones o copias no autorizadas de datos confidenciales, salvo que se habiliten medidas de seguridad. Dichas medidas pueden obligar a los usuarios a autenticarse a través de una tarjeta de seguridad o contraseña antes de que el equipo multifunción se active para que pueda utilizarse. También se restringir las funcionalidades permitidas a cada usuario según sus necesidades profesionales y el cargo que ocupen, por ejemplo, para ejercer mayor control sobre los servicios de escaneado, fax y correo electrónico. 14

15 Entrega segura de documentos Los documentos que no se recogen de la impresora constituyen una muestra visible de despilfarro, pero también suponen un riesgo para la seguridad. Existe la posibilidad de que los documentos confidenciales se almacenen en el dispositivo y se impriman y recojan cuando los imprima un usuario autorizado. Asimismo, los equipos de impresión pueden integrar una serie de pasos sencillos para identificar al propietario del documento, ya sea mediante un código personal o con una tarjeta magnética. Los archivos de impresión no recogidos se pueden eliminar automáticamente del servidor una vez transcurrido un tiempo determinado. También se pueden aplicar otras medidas para garantizar la seguridad del documento en su recorrido por la red hasta la impresora. La sobreescritura de datos también eliminará automáticamente todos los datos temporales que estén almacenados en el disco duro de los equipos multifunción. Auditoría Los registros de auditoría constituyen una parte fundamental de la caja de herramientas que utiliza todo director de seguridad y contribuyen a disuadir del uso indebido de la información. También se puede facilitar información sobre quién está escaneando, enviando un fax o imprimiendo para ayudar al director de seguridad a detectar y actuar contra casos de uso indebido o de amenazas internas a la seguridad. Enfoque interno de Ricoh con respecto a la gestión de la seguridad de la información Ricoh adopta un enfoque uniforme y global con respecto a la seguridad de la información. La empresa lleva obteniendo la certificación ISO en todos sus centros a escala mundial desde 2004, todo un honor del que pueden presumir pocas empresas del sector documental. A medida que Ricoh va tomando contacto con la información de sus clientes a través del servicio de impresoras en red y de las tareas de mantenimiento, y también con la subcontratación de servicios y con sus servicios de impresión gestionada, la confianza de sus clientes es un factor esencial. La certificación ISO 2001 es una garantía de confianza. Enlaces útiles Consultas de clientes Tel.:

16 Consultas de prensa Carlos Casado Jefe de Comunicación Tel.: Mónica Caballero Communication Specialist Tel.: Acerca de Ricoh Ricoh Company, Ltd ( La Compañía Ricoh ) es un líder tecnológico mundial, especializado en los sectores de mercado de la impresión de producción y oficina. Ricoh trabaja con organizaciones de todo el mundo para modernizar los entornos de trabajo y optimizar la eficiencia de los documentos. Con más de empleados en todo el mundo, opera en Europa, el continente americano, Asia Pacífico, China y Japón. Ricoh Global Services ofrece apoyo estratégico y una asociación a largo plazo con las multinacionales de Ricoh de todo el mundo. Con un modelo de red de servicios y ventas directas sin parangón, Ricoh Global Services ofrece continuamente valor a sus clientes con sus soluciones normalizadas, coherentes y de principio a fin. Los clientes de Ricoh pueden confiar en un solo socio para todas sus necesidades globales. Ricoh Europe Holdings Plc es una sociedad anónima y la sede central de EMEA de la Compañía Ricoh, tiene explotaciones situadas en Londres, el Reino Unido y Amstelveen (Países Bajos). Las explotaciones de EMEA incluyen a más de 35 sociedades dependientes y filiales comerciales. En el ejercicio económico finalizado a 31 de marzo de 2009, los ingresos de las explotaciones de EMEA de Ricoh ascendieron a más de millones de yenes, lo que representa el 25% de los ingresos mundiales de la Compañía Ricoh. Las ventas a escala mundial de la Compañía Ricoh ascendieron a más de millones de yenes en el ejercicio finalizado a 31 de marzo de