Gestión De Documentos E Información : Hacerlo Bien Desde El Principio- Conceptos Básicos De La Preparación Para El Riesgo

Descargar PDF

Guía Rápida Para Planificar, Ejecutar Y Sacar El Máximo Partido A Un Plan Para Limitar La Exposición Al Riesgo De La Información.

El éxito en la gestión de documentos e información requiere planificación, organización y una estrategia para controlar los documentos digitales y físicos desde su creación pasando por el uso activo hasta la custodia segura, la custodia permanente o la destrucción planificada. Si se hace bien, la gestión de documentos e información ayuda a limitar el riesgo de la información, a administrar los costes y a establecer la base para el análisis del big data.

Empresas de todo tipo y tamaño, se esfuerzan por suplir la carencia entre un plan para limitar el riesgo de la información e implementar dicho plan de forma eficaz.

El Problema Del Riesgo

Los motivos de la diferencia entre la teoría y la práctica de la gestión del riesgo de la información son variados. Por un lado, la información se reduce en cada equipo y área empresarial. En muchas empresas, debe estar fácilmente a disposición de diferentes equipos para que puedan acceder a ella en cualquier momento y desde cualquier lugar. En nuestro mundo empresarial cada vez más globalizado, el acceso a la información debe ser rápido, independiente de dispositivos y seguro.

Con un rápido crecimiento en el volumen, la variedad y la velocidad de la información que llega a las empresas, los gestores de documentos e información no solo tienen que tratar con más información sino que deben tener en cuenta los cambios de formato. Desde los documentos en papel hasta las publicaciones en las redes sociales y los correos electrónicos, los retos no muestran ningún indicio de disminuir. Lo que es más, no resulta necesariamente sencillo determinar quién debe tener acceso a qué información y quién no. Y se le añade la duda de cómo y desde dónde se debe acceder a la información. En el caso de un responsable de un departamento, puede bastar con acceder y utilizar información potencialmente sensible, pero ¿qué ocurre si la información está impresa y se deja en un autobús? ¿O si se guarda en un portátil que se deja olvidado en un restaurante?

También hay riesgos relacionados con el almacenamiento de la información. Las bases de datos digitales pueden sufrir intrusiones y las comunicaciones en línea están sujetas a malware, fraude y ataques maliciosos. Los documentos en papel se pueden perder o destruir fácilmente. Una cosa es tener la intención de gestionar el riesgo de la información y otra es poner en marcha un plan completo.

¿Por Qué Preocuparse Por El Riesgo De La Información?

La amenaza que supone el riesgo de la información no se puede pasar por alto. Los incidentes adversos que amenazan algunos aspectos de la seguridad electrónica están aumentando. Según el informe de 2014 de PwC Defending Yesterday - key findings from The Global State of Information Security (Defendiendo el ayer. Principales conclusiones de The Global State of Information Security), los incidentes detectados han aumentado un 25%. De hecho, el 24% de los participantes en el estudio indicaron una pérdida de datos, lo que supone un incremento del 16% con respecto al año anterior. El estudio de 2014 de PwC sobre infracciones de seguridad de la información sugiere que ha habido un aumento considerable en el coste de las infracciones individuales. También afirma que el 10% de las empresas del Reino Unido que sufrieron una infracción de seguridad de la información el año pasado se vieron tan gravemente afectadas que tuvieron que modificar su negocio por completo. Las amenazas están aumentando en frecuencia, gravedad y costes.

¿Qué Significa Esto Para La Empresa?

La seguridad de la información no es simplemente algo deseable. Es una medida imprescindible. No basta con dejarla en manos del departamento de TI o de la dirección. La estrategia de seguridad de la información debe evaluar los puntos fuertes y las debilidades para identificar y gestionar los riesgos. Asimismo, la estrategia debe adaptarse al cambiante entorno de amenazas a través de la identificación de la información más valiosa. Conocer la ubicación de esta información y quiénes pueden acceder a ella ayudará a priorizar los recursos y la inversión.

Pasos A Seguir

  1. Compartir La Responsa-Bilidad
  2. Conocer Los Puntos Fuertes Y Las Debilidades
  3. Implicar Al Personal
  4. No Olvidarse Del Papel
  5. Evaluar De Forma Constante
  6. Tener Un Plan Para El Peor De Los Casos

1.Compartir La Responsabilidad

El 73% de los participantes en Europa y el 74% de los participantes en Norteamérica piensan que el departamento de TI debe ser el máximo responsable del riesgo de la información.

Todos los empleados de la empresa deben ser responsables de la gestión de la información. Si la información solo es responsabilidad del departamento de TI, existe el peligro de que quienes crean y trabajan con la información cada día no comprendan los riesgos relacionados con ella. Lo que es más, si la información no es responsabilidad de todos, es posible que los equipos no comprendan o adopten nuevas formas de trabajar. Las políticas dirigidas a mantener la información segura deben apreciarse como una prioridad de la organización y deben comprenderse en todos los niveles. Los gerentes de primer nivel deben promover abiertamente buenas prácticas de seguridad de la información. La dirección es tan responsable como los gestores, los usuarios y las personas que generan esa información. Después de todo, el departamento de TI no puede proteger la información si alguien de marketing no respeta o sigue las directrices.

2.Conocer Los Puntos Fuertes Y Las Debilidades

El 87% de las empresas europeas y el 80% de las norteamericanas no creen que los ex-empleados se hayan llevado información de su antigua empresa a la nueva.

Se debe conocer la ubicación de la información más valiosa y más vulnerable de la empresa. Determinar quién tiene acceso a ella. La evaluación del riesgo debe incluir a toda la empresa, cada aspecto y ubicación. La evaluación del riesgo también debe incluir cuestiones elaboradas por los responsables de la gestión del riesgo. Entre las consideraciones se incluyen la seguridad de TI, el cumplimiento de normativas y los requisitos legales, las unidades de negocio y la gestión de documentos. Comprobar los repositorios físicos y digitales, así como la nube y los dispositivos móviles. No olvidar los proveedores externos. Utilizar los resultados como un marco de trabajo para planificar y tomar decisiones con respecto a los recursos en los que se invierten. Revisar las conclusiones con regularidad, ya que el perfil del riesgo de las diferentes áreas empresariales puede cambiar.

3.Implicar Al Personal

La gestión del riesgo depende de los empleados:

  • A medida que el volumen, la velocidad y la variedad de la información aumentan, también lo hace la necesidad de personas que puedan ayudar a las empresas a ir más allá de la política de la información. Los analistas de datos ayudaran a la empresa a determinar el equilibrio entre el valor y el riesgo. También se pueden incluir la ciencia y el análisis de datos entre las funciones del negocio.
  • Solo el 26% de las empresas europeas y el 20% de las norteamericanas realizan un seguimiento de su formación sobre riesgo para comprobar si ha sido efectiva.

  • Desarrollar e implementar formación sobre la información para que el personal sea consciente del riesgo y esté facultado para cambiar su comportamiento. Comunicarse regularmente con el personal para asegurarque la formación forma parte de las prácticas diarias. La información es un activo y crear una cultura de respeto a la información protegerá y promoverá su valor. Se debe comenzar con el máximo nivel e incluir a todos los empleados, así como a los proveedores externos e intermediarios.
  • La gente abandona su trabajo. Y cuando lo hace, a menudo se lleva información valiosa o sensible consigo. Pon en marcha un proceso para proteger la información de los empleados. Aumenta la concienciación y fomenta una buena conducta empresarial.

4.No Olvidarse Del Papel

Cerca de dos tercios de los participantes indicaron los documentos en papel como una de las principales preocupaciones con respecto al riesgo. Eso supone el doble de riesgo que las amenazas externas, que ocupan el segundo lugar.

El papel es una amenaza importante para la seguridad de la información. Plantéate invertir en una combinación de digitalización y almacenamiento seguro de documentos. Una solución híbrida puede ayudarte a controlar los documentos en papel. Los conocimientos y los recursos de Iron Mountain han resistido el paso del tiempo y pueden ser adecuados para tu empresa.

5.Evaluar De Forma Constante

Para que sea significativo, es necesario evaluar el cambio. Se deben definir los indicadores clave de rendimiento y establecer métricas de creación de informes, así como los tiempos. Asegurar que las personas conozcan las medidas adoptadas informando de los objetivos a la dirección y ofreciendo formación a los equipos principales. Asignar a alguien la responsabilidad de evaluar e informar de los resultados.

Solo el 37% de los participantes europeos y el 47% de los americanos contaban con una estrategia de riesgo de la información totalmente supervisada.

6.Tener Un Plan Para El Peor De Los Casos

¿Qué hacer si, a pesar de las precauciones, sucede lo peor? Los planes de continuidad empresarial y gestión de crisis deben incluir una estrategia para afrontar las consecuencias de la filtración de información. La manera de comunicarte con los empleados, los clientes y el público afectará al resultado.


Click to Download Full Report