Analisis Del Contexto Organizativo (Modulo 6)

Entorno demantenimientoy conservaciónde documentoselectrónicos Carlota Bustelo Ruesta PID_00202267

CC-BY-NC-ND • PID_00202267 Entorno de mantenimiento y conservación de documentos electrónicos

Los textos e imágenes publicados en esta obra están sujetos –excepto que se indique lo contrario– a una licencia deReconocimiento-NoComercial-SinObraDerivada (BY-NC-ND) v.3.0 España de Creative Commons. Podéis copiarlos, distribuirlosy transmitirlos públicamente siempre que citéis el autor y la fuente (FUOC. Fundación para la Universitat Oberta de Catalunya),no hagáis de ellos un uso comercial y ni obra derivada. La licencia completa se puede consultar en http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.es

http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.es

CC-BY-NC-ND • PID_00202267 Entorno de mantenimiento y conservación de documentos electrónicos

Índice

Introducción............................................................................................... 5

Objetivos....................................................................................................... 6

1. Entendimiento de la arquitectura y sistemas de

información......................................................................................... 7

2. El almacenamiento en ordenadores y redes............................... 8

2.1. Organización de ficheros identificados como documentos ........ 8

2.1.1. El almacenamiento en discos duros de los

ordenadores personales ................................................. 8

2.1.2. Servidores de ficheros y datos ....................................... 9

2.2. El almacenamiento en la nube ................................................... 11

2.3. Almacenamiento off-line y near-line............................................. 11

2.4. El caso especial del correo electrónico ........................................ 12

3. Las políticas de conservación de la información electrónica. 14

4. Las políticas de seguridad de la información............................ 16

4.1. El contexto y características de la información y los

documentos ................................................................................. 16

4.2. Los controles de la ISO 27001 y su relación con la gestión de

documentos ................................................................................. 19

Bibliografía................................................................................................. 43

CC-BY-NC-ND • PID_00202267 5 Entorno de mantenimiento y conservación de documentos electrónicos

Introducción

En este módulo vamos a identificar los distintos entornos donde se mantienen

y conservan los documentos electrónicos en las organizaciones. Describimos

las situaciones más habituales a la hora de hacer el análisis de contexto orga-

nizativo, necesario para la implantación de un modelo de gestión documental.

Además, vamos a acercarnos a las tecnologías de la información y a las infra-

estructuras de la organización que estamos analizando para entenderlas desde

una perspectiva global. Ello nos permitirá realmente comprender los entornos

de mantenimiento y conservación de documentos electrónicos.

Por esta razón haremos especial hincapié en las políticas de seguridad de la

información, que describiremos a grandes rasgos en relación con la gestión de

los documentos. Entender estas políticas y cómo se aplican en la organización

en concreto es una parte importante del análisis de contexto.


Objetivos

1. Aprender a identificar los distintos entornos en los que se mantienen y

conservan los documentos electrónicos en las organizaciones.

2. Identificar las tecnologías de la información y sus infraestructuras existen-

tes en la organización.

3. Conocer las políticas de seguridad de la información y cómo se aplican.


1. Entendimiento de la arquitectura y sistemas deinformación

Los documentos electrónicos son parte de la información que se maneja en los

sistemas de información de cualquier organización. Para completar el análisis

del contexto organizativo, hay que entender cómo se organiza la información

en la organización y si existen algunas políticas que pueden influir o condi-

cionar la gestión de los documentos electrónicos.

En muchas organizaciones pequeñas o medianas puede faltar una implanta-

ción consciente de una determinada arquitectura de información. En las or-

ganizaciones grandes lo normal es que exista un plan�de�sistemas�de�infor-

mación que dirija la implantación de tecnologías de la información, tanto de

hardware como de software.

Entender estos condicionantes es imprescindible para poder proponer cómo

implantar soluciones de gestión de los documentos electrónicos, que en la

mayoría de los casos supondrá la incorporación de un software específico para

su gestión. Este deberá incorporarse a la arquitectura ya existente en la orga-

nización, o proponer cambios justificados de dicha arquitectura mediante una

inversión razonable.

El primer paso, por lo tanto, para analizar el entorno de mantenimiento y

conservación de los documentos electrónicos es estudiar, si los hubiera, los

documentos que definen la arquitectura de información, el plan de sistemas

o cualquier otro documento relacionado con los sistemas de información de

la organización.


2. El almacenamiento en ordenadores y redes

En el análisis del entorno de conservación y preservación, es importante iden-

tificar los ordenadores y las redes que forman parte del sistema de información

de la organización, en la cual hemos de definir políticas de gestión documen-

tal.

Los aspectos que hemos de analizar concretamente son:

• Cómo están organizados los ficheros identificados como documentos.

• Si se almacenan documentos en los discos duros de los ordenadores per-

sonales.

• Si hay servidores de ficheros y datos y cómo son.

• Si se está almacenando en la nube, off-line, near-line.

• Cómo se gestiona la documentación de y en correo electrónico.

2.1. Organización de ficheros identificados como documentos

Los sistemas de información requieren para su funcionamiento el almacena-

miento de gran cantidad de ficheros de distintos tipos que permiten el fun-

cionamiento del hardware, el software y las comunicaciones. De entre estos

ficheros tenemos los concernientes a los sistemas operativos, dispositivos, se-

guridad y gestión de usuarios. Además existen los ficheros que componen las

distintas aplicaciones de software o programas.

La organización de todos estos ficheros es tarea de los administradores de re-

des y sistemas informáticos, y dependerá en gran parte de los sistemas opera-

tivos, los dispositivos instalados, la estructura de las redes y los servidores y

la definición de usuarios.

De todos estos ficheros, desde el punto de vista de la gestión de los documen-

tos, lo que nos interesa son los ficheros de usuario o los generados con los

datos e información que provienen de las actividades realizadas.

No existen unos principios de organización universales para este tipo de fiche-

ros. Dependiendo de la complejidad de la organización, estos ficheros pueden

encontrarse almacenados de distintas formas.

2.1.1. El almacenamiento en discos duros de los ordenadores

personales

En organizaciones pequeñas y poco estructuradas es normal que los ficheros

de datos se encuentren en los discos duros de los ordenadores personales si-

guiendo los propios criterios de las personas que los usan. Esto ocurre a ve-


ces aunque los ordenadores se encuentren en red y se compartan aplicaciones

de gestión. De hecho, el sistema operativo Windows, el más extendido para

los ordenadores personales, ya propone por defecto que la ubicación de los

ficheros que se producen con las herramientas de edición de documentos sea

un directorio llamado “Mis documentos”. Esta forma de almacenamiento de

ficheros tiene grandes desventajas en cuanto a:

• Acceso a los documentos, ya que para que otras personas accedan a los

mismos deben convertirse las carpetas en compartidas de manera inten-

cionada por el usuario del ordenador.

• Gestión de las copias de seguridad que no pueden hacerse de forma cen-

tralizada.

• Cantidad de duplicados que produce la filosofía de que los documentos

son propios de cada persona y no son documentos o información corpo-

rativos.

Por eso es muy habitual que las organizaciones pasen rápidamente a un siste-

ma de servidores de ficheros y datos.

2.1.2. Servidores de ficheros y datos

En distintas configuraciones de ordenadores en red, se permite acotar un de-

terminado espacio de alguno de los servidores para que sea el lugar de alma-

cenamiento de los ficheros de usuario.

La idea principal es mantener todos los ficheros de datos en una misma ubi-

cación de manera que permita la actuación y la aplicación de determinadas

medidas, de una manera más fácil y corporativa.

Aunque este es un paso importante para la consideración de la información y

los documentos como corporativos y no “personales”, en la organización más

clásica de unidades de red y directorios se mantienen también los espacios

personales.

En unos apuntes clásicos para configuración de carpetas compartidas podemos

encontrar algunas sugerencias y modelos de organización de carpetas compar-

tidas (González).

Según este texto los principales modelos para organizar la información en car-

petas compartidas son:

• Jerárquico: En el que la información y los permisos de acceso a ella esta-

rían distribuidos según las diferentes unidades de la organización. La or-

ganización contaría con una macrocarpeta compartida, en la que, a su vez,

existirían tantas subcarpetas compartidas como secciones tenga, y quizá

Lectura recomendada

Curso en línea. Trabajo cola-borativo apoyado en la red,por Víctor R. González Fer-nández para la Inspección deEducación de Castilla y Leónhttp://platea.pntic.mec.es/vgonzale/trabcolab_0910/index.htm

http://platea.pntic.mec.es/vgonzale/trabcolab_0910/index.htm




algunas más con el objeto de dar soporte al trabajo intersecciones. Los

trabajadores tendrían acceso a la carpeta de su sección y a alguna de las

subcarpetas de soporte.

• Temático: Se contaría con una carpeta compartida para cada tema abor-

dado por la organización. Un trabajador tendría acceso a tantas carpetas

compartidas como temas sean de su competencia. Asimismo, probable-

mente tendría acceso a algunas otras carpetas de soporte y recursos, y con

un nivel de permisos de acceso que depende de su cargo.

• Por�procesos: Distribución análoga a la temática pero con un enfoque

basado en el trabajo por procesos.

• Mixto: Distribución híbrida de las anteriores.

Un modelo que se ha impuesto en muchas organizaciones que intentan hacer

desaparecer información relevante de los discos duros de los ordenadores per-

sonales es la división del almacenamiento en diferentes unidades de red, que

se definen por los permisos de acceso.

• En este espacio común cada usuario tiene un espacio al que solo tiene

acceso él mismo, y que sustituye a su disco duro.

• Existen diferentes unidades jerárquicas que representan grupos de trabajo

o unidades organizativas a las que acceden todos los usuarios que la con-

forman.

Cuando se produce esta organización de las unidades de red, para poder ana-

lizar el entorno de mantenimiento y conservación de los documentos tendre-

mos que tratar de analizar cómo son los comportamientos de las personas con

respecto a esta organización, y cómo están definidos los permisos para hacer

ciertas acciones. Concretamente nos fijaremos en los siguientes aspectos:

• Si existen criterios de cuáles son los documentos que se deben integrar

en uno u otro nivel y si están recogidos en algún documento que se va

actualizando.

• Si los documentos se “mueven” de un directorio a otro o se “copian”, quién

lo hace y si hay procedimientos establecidos.

• Cómo se vacían los directorios cuando alcanzan su nivel máximo de al-

macenamiento, quién lo hace, y si dicho vaciado está procedimentado.


2.2. El almacenamiento en la nube

La nube o el cloud computing es importante desde el punto de vista del entorno

de producción de los documentos electrónicos, pero este tipo de servicios tam-

bién tiene un componente importante cuando queremos analizar el entorno

de mantenimiento y conservación de los documentos.

Quizás no haya pasado mucho tiempo en el uso de servicios de este tipo para

sacar conclusiones acertadas sobre el impacto de esta tecnología en el man-

tenimiento y conservación de los documentos electrónicos. No obstante, te-

niendo en cuenta los objetivos de cualquier sistema de gestión de documentos

y sus objetivos, podemos tomar en consideración algunas reflexiones cuando

el almacenamiento en la nube es el planteamiento de las organizaciones. En

este sentido cabría preguntarse:

• ¿Es el almacenamiento en la nube una solución para el mantenimiento y

conservación de la información y los documentos?

• ¿Se han establecido plazos para que una información siga almacenada en

estos servicios?

• ¿Se ha contratado un espacio que puede crecer indefinidamente?

• ¿Se ha de mantener una copia local de todo lo que está en la nube?

• ¿Se han incluido en los contratos de servicios qué es lo que sucede con

la información y los documentos cuando se extingue el contrato de servi-

cios?

2.3. Almacenamiento off-line y near-line

Algunas organizaciones con grandes volúmenes de información electrónica se

plantean en algunos casos el almacenamiento off-line, en el que la informa-

ción se graba en dispositivos de almacenamiento. Ello ocurre cuando se quiere

conservar la información, pero esta no va a ser utilizada con frecuencia. Ac-

tualmente, estas prácticas empiezan a ser menos comunes en las organizacio-

nes, debido al abaratamiento de los costes de almacenamiento y al aumento

de las capacidades.

Por ello el almacenamiento off-line y near-line está quedando relegado a las

copias de seguridad. Aun así podemos encontrarlos en algunas organizaciones

prácticas, como descargar documentos a CD o DVD para liberar espacio.

Cuando nos encontramos con este tipo de almacenamiento, debemos analizar

cuáles son las decisiones que se han tomado al respecto y si su utilización res-

ponde a una práctica planificada o a una solución improvisada para solven-

tar un problema puntual de almacenamiento. Desgraciadamente, en muchas

organizaciones es frecuente encontrar información almacenada en soportes


off-line, desde cintas magnéticas a DVD o similares, que se realizaron en un

momento determinado y que se siguen almacenando ya inservibles para la

recuperación de la información.

El almacenamiento near-line es un tipo de almacenamiento intermedio entre

el almacenamiento on-line y el off-line. En algunos casos la denominación al-

macenamiento near-line puede utilizarse para un determinado tipo de disco con

altas capacidades de almacenamiento y velocidad de acceso lenta.

El sistema de almacenamiento near-line conoce en qué volumen residen los

datos y usualmente puede “preguntar” a un robot para que lo pueda extraer de

su localización física (una librería de cintas o un jukebox de discos) y colocarlo

en el dispositivo de lectura, cuando desde una búsqueda on-line se requieren

los datos contenidos en el repositorio near-line. Lógicamente la recuperación

es más lenta que en un sistema on-line.

Jukebox óptico

Un jukebox óptico es un dispositivo robótico que puede cargar y descargar discos ópticos,como CD, DVD o Blue-Ray. Puede tener más de 2.000 slots para discos y tiene un brazo queactúa sobre los discos y los slots. La organización de los discos y slots afecta al rendimientodel mismo, dependiendo de la cercanía entre discos y slots.

Este tipo de almacenamiento se produce habitualmente en organizaciones que

tienen grandes volúmenes de información valiosa que ocupa mucho espacio.

Un ejemplo claro son las organizaciones que manejan grandes cantidades de

imágenes, como el centro de documentación de una televisión.

2.4. El caso especial del correo electrónico

La tecnología del correo electrónico ha creado en pocos años una forma muy

diferente de comunicarse y la creación de un nuevo tipo de documentos elec-

trónicos. Por la misma razón, la conservación y mantenimiento de los correos

electrónicos se ha convertido en otro de los temas a solucionar. Dependiendo

de las organizaciones podemos encontrar distintas estrategias que pueden va-

riar, entre las cuales destacamos las siguientes:

• Imprimir copias en papel de los correos electrónicos, si bien la autenticidad

y fiabilidad de estas copias es prácticamente nula.

• Sin intervención del usuario duplicar todos los mensajes trasmitidos a

otro almacenamiento fuera del servidor, lo que fundamentalmente se hace

cuando la organización se quiere curar en salud de los riegos de destruc-

ción de e-mail.

• Establecer una serie de carpetas compartidas en el servidor, que permiten,

ya sea de forma manual o automatizada, clasificar los correos en un estruc-

tura previamente establecida.


• Trasladar los correos electrónicos al repositorio documental corporativo

mediante herramientas de usuario o sistemas automatizados. Esto normal-

mente conlleva la conversión de los correos electrónicos a otros formatos

como PDF o XML.

Diferentes estudios realizados sobre el correo electrónico defienden que solo

puede considerarse documentos a conservar un 10% de lo habitualmente re-

cibido en un buzón. Sin embargo, pocas organizaciones han conseguido ha-

cerlo eficazmente.

Lectura recomendada

Aunque visto desde la óptica de la preservación de los correos electrónicos, el siguientedocumento es una excelente recopilación del estado del arte en la gestión de los correoselectrónicos.

Christopher�Prom. Preserving e-mail. Digital Preservation Coalition Technology WatchReport 11-01 December 2011.

La preocupación por la conservación de los correos electrónicos ha llevado

al mercado de las tecnologías de la información a la comercialización de una

tecnología específica que se conoce con la etiqueta de e-mail�archiving.

El e-mail archiving se define como el proceso de capturar, preservar y hacer fá-

cilmente buscables todo el tráfico de correos electrónicos desde un individuo

concreto, una organización o una unidad administrativa. Las soluciones de

este tipo capturan el contenido de los correos, bien directamente sobre la apli-

cación de correo electrónico o en el proceso de comunicación, guardándolos

en un almacenamiento que facilite su indexación y por lo tanto, su búsqueda.

Con este tipo de soluciones los departamentos de sistemas pueden al mismo

tiempo descargar los servidores de correo y protegerse guardando todo el co-

rreo recibido. Esta segunda parte se ha potenciado mucho desde los entornos

anglosajones y los departamentos legales que consideran que el correo es una

fuente de legal discovery o soporte de pruebas en caso de litigio.

Para analizar el entorno de mantenimiento y conservación de los documentos,

es muy importante saber si la organización ha implantado o va a implantar

alguna solución de este tipo.

Elección de una herramienta de e-mail archiving

Es interesante ver desde la perspectiva de las tecnologías de la información la manera deplantear, en una revista especializada, cómo elegir una herramienta de e-mail archivingen al año 2009.

http://www.eweek.com/c/a/Data-Storage/How-to-Choose-an-Email-Archiving-Solution/

http://dx.doi.org/10.7207/twr11-01



3. Las políticas de conservación de la informaciónelectrónica

Habitualmente, en las organizaciones es responsabilidad de los servicios de

informática el mantenimiento y conservación de los documentos y la infor-

mación electrónica.

En el mundo de la tecnología 4 o 5 años es un tiempo larguísimo, durante

el cual se puede haber cambiado toda la configuración informática más de

una vez. Por tanto, en el plano tecnológico los conceptos de conservación a

largo plazo tienen un significado mucho más corto de lo que se necesita para

determinados documentos o información.

Cuando se realiza el análisis del entorno de conservación de los documentos

electrónicos y las políticas que se pueden haber implementado desde los ser-

vicios de informática, debemos tener en cuenta esta diferencia de apreciación

en los plazos.

En muchas organizaciones el crecimiento exponencial de la información elec-

trónica almacenada es un verdadero problema para los servicios de informáti-

ca. Si bien el tema económico no es el principal problema por el abaratamien-

to de los costes, sí lo es la complejidad de la gestión de una información que

crece sin límites tendiendo al infinito. Por eso, en algunas organizaciones se

fuerza el control poniendo límite a los espacios de almacenamiento o estable-

ciendo bienintencionadas políticas de eliminación de la información, en base

a periodos temporales establecidos de forma generalizada y arbitraria para toda

la organización. En España es común la creencia de que los documentos solo

deben guardarse 5 años. Este equívoco proviene de una mala interpretación

tanto del Código de Comercio, como de la legislación fiscal. En el primer caso,

el Código de Comercio dice que los empresarios deben guardar soporte docu-

mental de todos los asientos contables 6 años (la sabiduría popular los ha con-

vertido en 5) después de haber presentado los libros contables. En el segundo

caso, la legislación fiscal dice que los delitos fiscales prescriben a los 5 años.

Por otro lado, cuando se ha evitado eliminar información, es muy probable

que la información electrónica con más de 5 o 6 años de antigüedad se haya

guardado en formatos obsoletos, y es difícil consultarla y utilizarla. La obso-

lescencia de la información electrónica y su preservación a lo largo del tiem-

po es una de las preocupaciones universales en la que existen muy distintos

enfoques y puntos de vista.

En todas las organizaciones que existen desde hace más de una década seguro

que se han producido cambios de sistemas, actualizaciones de software, cam-

bio de servidores o incluso cambio de sistemas operativos. Analizar si en estos


cambios se han producido pérdidas importantes de información o cómo se

han abordado las migraciones y cambios de sistemas es una forma indirecta de

averiguar cuáles son las políticas de conservación de la información electróni-

ca, que en la mayor parte de los casos no habrán sido explicitadas como tales.

Sin embargo, también es posible que en determinadas organizaciones se haya

reflexionado sobre el tema y se hayan establecido algunas medidas para la

preservación de la información electrónica, e incluso planes de trasformación

de la misma.


4. Las políticas de seguridad de la información

El incremento de recursos tecnológicos, la tendencia a trabajar cada vez más

con recursos electrónicos, junto a la vulnerabilidad manifiesta en el acceso a

información sensible –como ha quedado de manifiesto en acciones llevadas a

cabo por parte de piratas informáticos– constituyen razones para que la segu-

ridad de la información sea un aspecto clave en la gestión y preservación de

documentos electrónicos de cualquier organización para poder continuar con

su actividad diaria sin interrupciones.

Los documentos electrónicos deben ser objeto de las políticas de seguridad a

fin de poder preservar las características de los documentos que dichas orga-

nizaciones originan.

Por ello dedicamos un módulo específico a la seguridad de la información. En

primer lugar presentamos un breve esbozo del valor de las políticas de seguri-

dad, y los esfuerzos que se están realizando desde distintas organizaciones. En

segundo lugar presentamos los aspectos más relevantes que cualquier organi-

zación debe tener en cuenta en la definición de sus políticas de seguridad. Para

ello nos basamos en los controles que define la norma ISO 27001, relaciona-

dos con la gestión de documentos.

4.1. El contexto y características de la información y los

documentos

Durante la primera década del siglo XXI la seguridad de la información se ha

desarrollado como un dominio específico y separado, que tiene sus propias

normas y que ha arraigado en muchas organizaciones. La familia ISO 27000,

Sistemas de gestión de la seguridad de la información, es el máximo exponen-

te.

Desde los departamentos de tecnologías de la información se han ido desarro-

llando políticas, que aplican a toda la información electrónica que se guarda

principalmente en los ordenadores, aunque en muchos discursos sobre el te-

ma se hable de la información en general, que podría no necesariamente con-

tenerse en los sistemas informáticos.

El enfoque de dichas políticas es fundamentalmente de protección de la in-

formación, estableciendo las medidas necesarias para evitar acceder a ella de

forma no autorizada y que sea utilizada de forma maliciosa. De hecho, en el

mundo de los piratas informáticos o hackers, del spam o del robo de identida-

des digitales, también se insiste mucho en la protección de los datos de carác-


ter personal y de la necesidad de crear confianza para el uso de los sistemas in-

formáticos. Asimismo, muchas jurisdicciones establecen la obligatoriedad en

el sector público de alguna forma de sistema de seguridad de la información.

Real Decreto 1720/2007

Ya en España en el derogado Real Decreto 994/1999, se aprobaban medidas de seguridadde los ficheros automatizados que contuviesen datos de carácter personal.

La misma voluntad de proteger los datos personales, más concretamente, “las libertadespúblicas y los derechos fundamentales de las personas físicas, y especialmente de su ho-nor e intimidad personal”, queda recogida en el actual Real Decreto 1720/2007, de 21 dediciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,de 13 de diciembre, de Protección de Datos de Carácter Personal.

Así pues, la seguridad de la información incluye tres dimensiones principales:

la confidencialidad, la disponibilidad y la integridad de la información. Estos

conceptos están recogidos en diferentes glosarios y aclaraciones terminológi-

cas incluidas en documentos sobre seguridad de información. Aquí presenta-

mos las expresadas en el documento ISO/IEC 13335-1:2004. La confidenciali-

dad se refiere a que solo pueden acceder a la información aquellas personas que

tienen autorización. Por disponibilidad entendemos el acceso a la información

por parte de las personas autorizadas en el momento en que lo precisen. Por

último, la integridad comprende la exactitud y completitud de los activos.

La integridad y la disponibilidad también son algunas de las características in-

herentes a los documentos –electrónicos o en papel–, junto a la autenticidad y

fiabilidad. Su preservación permite que los documentos que genera la organi-

zación puedan actuar como evidencias de las actividades organizativas, y así

posibilitar a las organizaciones la rendición de cuentas, como queda recogido

en la norma ISO 15489. Esta norma define estas características de la siguiente

manera:

La autenticidad de un documento se refiere a que este puede probar que es lo

que afirma ser, que ha sido creado o enviado por la persona de la cual se afirma

que lo ha creado o enviado, y que ha sido creado o enviado en el momento

en que se afirma. A tal fin, las organizaciones deben implantar y documentar

políticas y procedimientos para controlar la creación, recepción, transmisión,

mantenimiento y disposición de los documentos, de manera que se asegure

que los creadores de dichos documentos estén autorizados e identificados, y

que los documentos estén protegidos frente a cualquier adición, supresión,

modificación, utilización u ocultación no autorizadas.

La fiabilidad es la característica que asegura que el contenido de dicho docu-

mento es una representación completa y precisa de las operaciones, las activi-

dades o los hechos de los que da testimonio.

La integridad de un documento, como hemos apuntado antes, se refiere a

que su contenido es completo y está inalterado. Para ello los documentos de-

ben estar protegidos contra modificaciones no autorizadas. En caso de querer

permitir adiciones o anotaciones, estas deben hacerse de acuerdo a políticas

Lectura recomendada

ISO/IEC 13335-1:2004 Infor-mation technology - Securitytechniques - Management ofinformation and communi-cations technology security -Part 1: Concepts and modelsfor information and commu-nications technology securitymanagement.


y procedimientos de gestión que autoricen dichas adiciones o anotaciones.

En el procedimiento se debe recoger qué adiciones o anotaciones se pueden

realizar y a quién está permitido hacerlo. Asimismo, se debe dejar trazabilidad

de los cambios: qué y quién los ha hecho.

La disponibilidad de un documento es la característica que permite localizar-

lo, recuperarlo, presentarlo e interpretarlo. Su presentación debería mostrar

la actividad u operación que lo produjo, y mantener los vínculos entre los

documentos que reflejan una secuencia de actividades, manteniéndose así el

contexto de las actividades y las funciones de la organización.

Teniendo en cuenta este contexto, y con el objetivo de asegurar la sostenibili-

dad de las organizaciones y minimizar los riesgos, desde distintos ámbitos se

han propuesto una serie de medidas que cubren un amplio espectro de posi-

bles amenazas sobre la información agrupadas en políticas, procedimientos,

estructuras organizativas, software y hardware. A nivel organizativo, estas me-

didas quedan recogidas en las denominadas políticas de seguridad de la infor-

mación.

En España, esta preocupación se ha materializado en el Esquema Nacional de

Seguridad que se define en el Real Decreto 3/2010 de 8 de enero que regula

el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración

electrónica. El ENS establece:

• los principios básicos,

• los requisitos mínimos,

• las medidas de seguridad que deben adoptarse,

• las comunicaciones electrónicas,

• la respuesta ante incidentes de seguridad,

• la certificación de seguridad,

• la conformidad.

Lecturas recomendadas

UNE-ISO�15489-1:2006 In-formación y documentación.Gestión de documentos. Par-te 1: Generalidades.UNE-ISO/TR�15489-2:2006Información y documenta-ción. Gestión de documen-tos. Parte 2: Directrices. (ISO/TR 15489-2:2001).

En Europa, muchos países están utilizando la norma alemana de seguridad

de tecnologías de la información desarrollada por la Oficina Federal para la

Seguridad de la Información (Bundesamt für Sicherheit in der Informations-

technik, BSI). Su Manual para la Protección (IT-Grundschutz Handbuch, 2008)

ha sido traducido a varias lenguas y su última versión incluye instrucciones

para el análisis de riesgos que incluyen temas muy relacionados con la gestión

de documentos, como los que provienen de la gestión del correo electrónico,

de los sistemas de gestión de documentos, de las salvaguardias de datos, de los

soportes de archivo, del intercambio de datos, y de los dispositivos móviles.

Web recomendadas

Bundesamt für Sicherheit inder InformationstechnikFederal Office for Informa-tion Security

https://www.bsi.bund.de/DE/Home/home_node.html


https://www.bsi.bund.de/EN/Home/home_node.html

https://www.bsi.bund.de/EN/Home/home_node.html


4.2. Los controles de la ISO 27001 y su relación con la gestión de

documentos

Los controles de la ISO 27001 se refieren a la seguridad de la información.

Intervienen cuando la información ya ha sido creada y almacenada y se en-

cuentra en los ordenadores.

Los grados de seguridad son diversos. El máximo grado de seguridad sería el

que sitúa la información en un bunker inaccesible. Todos sabemos que no se

trata de eso, sino de encontrar el equilibrio entre las prácticas de seguridad

necesarias para preservar la confidencialidad, disponibilidad e integridad de

la información, y el uso de esta en las organizaciones.

La seguridad de la información tiene mucha relación con la gestión de los do-

cumentos electrónicos, si bien no todos los controles propuestos por la norma

ISO 27001 están relacionados con la gestión de documentos o deben ser com-

plementados en su visión para tener el alcance adecuado.

En consecuencia, cuando analizamos el contexto en el cual se mantienen y

conservan los documentos electrónicos en las organizaciones que han imple-

mentado los controles de la ISO 27001, es frecuente que nos podamos encon-

trar con el discurso de que estos controles son más que suficientes para una

adecuada gestión de los documentos electrónicos. A pesar de ello, hemos de

analizar bien las arquitecturas y los sistemas de información, los lugares y las

formas de almacenamiento, y las políticas definidas, para ver si los grados que

se han definido son los adecuados para la preservación de documentos elec-

trónicos.

La norma ISO 27001 ofrece pautas para identificar aspectos clave de un siste-

ma de información. A fin de poder integrar en estas claves los aspectos de la

gestión documental a tener en cuenta, a continuación presentamos las tablas

que identifican los controles de la ISO 27001 relacionándolos con la gestión

de los documentos electrónicos.

1)�Política�de�seguridad

Controles�ISO�27001

Código Nombre Control

Relación�con�la�ges-tión�de�documentos

A.5.Política de seguridad





A.5.1.1 Documento de políti-ca de seguridad de lainformación

La Dirección debeaprobar un documen-to de política de segu-ridad de la informa-ción, publicarlo y dis-tribuirlo a todos losempleados

A.5.1.2 Revisión de la políticade seguridad

La política de seguri-dad de la informacióndebe revisarse a inter-valos planificados osiempre que se pro-duzcan cambios signi-ficativos, a fin de ase-gurar que se manten-ga su idoneidad, ade-cuación y eficacia

Aunque algunos te-mas pueden ser coin-cidentes en la políti-ca de gestión docu-mental y de seguri-dad de la información,el alcance y enfoqueno es el mismo. El do-cumento de políticade seguridad de la in-formación podría fu-sionarse con el docu-mento de política degestión de los docu-mentos.

2)�Aspectos�organizativos




A.6. Aspectos organizativos

A.6.1.1 Compromiso de la Di-rección con la seguri-dad de la información

La Dirección debeprestar un apoyo acti-vo a la seguridad den-tro de la organizacióna través de directricesclaras, un compromi-so demostrado, asig-naciones explícitas yreconocimiento de lasresponsabilidades deseguridad d de la in-formación

El mismo compromi-so debería exigirse pa-ra la gestión de docu-mentos

A.6.1.2 Coordinación de la se-guridad de la informa-ción

Las actividades relati-vas a la seguridad dela información debenser coordinadas entrelos representantes delas diferentes partesde la organización consus correspondientesroles y funciones detrabajo

La coordinación engestión de documen-tos también es necesa-ria

A.6.1.3 Asignación de respon-sabilidades relativas ala seguridad

Deben definirse clara-mente todas las res-ponsabilidades relati-vas a la seguridad

Las responsabilidadesson otras

A.6.1.4 Proceso de autoriza-ción de recursos pa-ra el tratamiento de lainformación

Para cada nuevo re-curso de tratamientode la información de-be definirse e implan-tarse un proceso deautorización por partede la dirección

En este mismo proce-so de autorización de-bería incluirse la deci-sión de si con ese re-curso se van a crear ono documentos.





A.6.1.5 Acuerdos de confiden-cialidad

Debe determinarsey revisarse periódica-mente la necesidad deestablecer acuerdos deconfidencialidad o norevelación que reflejenlas necesidades de laorganización para laprotección de la infor-mación

Estos acuerdos deconfidencialidad sonaplicables a los docu-mentos y a la informa-ción que contienen

A.6.1.6 Contacto con las auto-ridades

Deben mantenerse loscontactos adecuadoscon las autoridadespertinentes

Existen también auto-ridades en la gestiónde los documentos

A.6.1.7 Contacto con gruposde especial interés

Deben mantenerse loscontactos adecuadoscon grupos de interésespecial, u otros foros,y asociaciones profe-sionales especializadosen seguridad

Existen también gru-pos de interés especia-lizados en gestión dedocumentos

A.6.1.8 Revisión independien-te de la seguridad dela información

El enfoque de la orga-nización para la ges-tión de la seguridadde la información y suimplantación (es decirlos objetivos de con-trol, los controles, laspolíticas, los procesosy los procedimientospara la seguridad dela información) debesometerse a una revi-sión independiente aintervalos planificadoso siempre que se pro-duzcan cambios signi-ficativos en la implan-tación de la seguridad

Esta revisión indepen-diente también puedehacerse de la gestiónde documentos.

A.6.2.1 Identificación de losriesgos derivados delacceso de terceros

Deben identificarse losriesgos para la infor-mación y los disposi-tivos de tratamientode la información dela organización deriva-dos de los procesos denegocio que requierande terceros, e implan-tar los controles apro-piados antes de otor-gar el acceso

A.6.2.2. Tratamiento de la se-guridad en relacióncon los clientes

Deben tratarse todoslos requisitos de segu-ridad identificados an-tes de otorgar accesoa los clientes a los acti-vos o información dela organización

Estos controles sonaplicables en los caosen que terceros oclientes deban acce-der a los documentosde la organización, yespecialmente cuandose externalice algúnproceso de negocio ola propia gestión delos documentos





A.6.2.3. Tratamiento de la se-guridad en contratoscon terceros

Los acuerdos con ter-ceros que conllevenacceso, procesado, co-municación o gestión,bien de la informaciónde la organización, ode los recursos de tra-tamiento de la infor-mación, o bien de laincorporación de pro-ductos y servicios a losrecursos de tratamien-to de la información,deben cubrir todos losrequisitos pertinentes

3)�Gestión�de�activos




A.7. Gestión de activos

A.7.1.1. Inventario de activos Todos los activos de-ben estar claramenteidentificados y debeelaborarse y mante-nerse un inventario detodos los activos im-portantes

Los documentos sonun activo de la infor-mación y por lo tan-to deberían incluirseen este inventario, sibien desde gestióndocumental se propo-ne que además existauna identificación pre-via de los documentosque deben crearse encada proceso de ne-gocio

A.7.1.2 Propiedad de los acti-vos

Toda la información yactivos asociados conlos recursos para eltratamiento de la in-formación deben te-ner un propietario queforme parte de la or-ganización y haya sidodesignado como tal

El concepto de pro-pietario o responsablede aplicaciones infor-máticas puede encajarsi determinamos quepor ejemplo un EDM-RS es propiedad de laUnidad de gestión do-cumental. Sin embar-go si descendemos alos propios documen-tos desde gestión do-cumental se insiste enque los documentosde una organizaciónson un activo corpora-tivo

A.7.1.3. Uso aceptable de losactivos

Se deben identificar,documentar e implan-tar las reglas para eluso aceptable de la in-formación y los acti-vos asociados con losrecursos para el trata-miento de la informa-ción

Este control puede seraplicable a los docu-mentos





A.7.2.1 Directrices de clasifica-ción

La información debeser clasificada segúnsu valor, los requisitoslegales, la sensibilidady la criticidad para laorganización

A.7.2.2. Etiquetado y manipu-lado de la información

Se debe desarrollar eimplantar un con jun-to adecuado de proce-dimientos para etique-tar y manejar informa-ción de acuerdo conel esquema de clasifi-cación adoptado porla organización

La clasificación de se-guridad y los posiblesmetadatos que gene-ra son sólo un aspec-to de la clasificación ymetadatos que se re-quieren para los docu-mentos

4)�Recursos�humanos




A.8 Recursos humanos

A.8.1.1 Funciones y responsa-bilidades

Las funciones y res-ponsabilidades de se-guridad de los em-pleados, contratistas yterceros de deben de-finir y documentar deacuerdo con la políticade seguridad de la in-formación de la orga-nización

A.8.1.2. Investigación de ante-cedentes

La comprobación deantecedentes de to-dos los candidatos alpuesto de trabajo, delos contratistas o delos terceros, se debellevar a cabo de acuer-do con las legislacio-nes, normativas y có-digos éticos que seande aplicación y de unamanera proporciona-da a los requisitos delnegocio, la clasifica-ción de la informacióna la que se accede ylos riesgos considera-dos

Las medidas con res-pecto a los recursoshumanos antes de lacontratación son váli-das enfocándolo a lagestión de los docu-mentos





A.8.1.3 Términos y condicio-nes de contratación

Como parte de susobligaciones contrac-tuales los empleados,los contratistas y losterceros deben acep-tar y firmar los térmi-nos y condiciones desu contrato de traba-jo, que debe estable-cer sus responsabilida-des y las de la organi-zación en los relativo aseguridad de la infor-mación

A.8.2.1 Responsabilidades dela Dirección

La Dirección debe exi-gir a los empleados,contratistas y tercerosque apliquen la segu-ridad de acuerdo conlas políticas y procedi-mientos establecidosen la organización

Lo mismo debe suce-der con las políticas yprocedimientos de lagestión documental

A.8.2.2 Concienciación, for-mación y capacitaciónen seguridad de la in-formación

Todos los empleadosde la organización,y cuando correspon-da, los contratistas yterceros, deben reci-bir una adecuada con-cienciación y forma-ción, con actualizacio-nes periódicas, sobrelas políticas y procedi-mientos de la organi-zación, según corres-ponda con su puestode trabajo

También debe existiruna concienciación ycapacitación en la ges-tión de los documen-tos

A.8.2.3 Proceso disciplinario Debe existir un proce-so disciplinario formalpara los empleadosque hayan provocadoalguna violación de laseguridad

Este control sería apli-cable a la gestión delos documentos

A.8.3.1 Responsabilidad de ce-se o cambio

Las responsabilidadespara proceder al ceseen el empleo o cam-bio de puesto de tra-bajo deben estar cla-ramente definidas yasignadas

A.8.3.2 Devolución de activos Todos los empleados,contratistas y tercerosdeben devolver todoslos activos de la orga-nización que estén ensu poder al finalizarsu empleo, contrato oacuerdo

Los controles al finali-zar la relación de untrabajador con la or-ganización son aplica-bles también en el ca-so de los documentos





A.8.3.3. Retirada de los dere-chos de acceso

Los derechos de acce-so a la información ya los recursos de trata-miento de la informa-ción de todos los em-pleados, contratistasy terceros deben serretirados a la finaliza-ción del empleo, delcontrato o del acuer-do, o bien deben seradaptados a los cam-bios producidos

5)�Seguridad�física�y�ambiental




A.9 Seguridad física y ambiental

A.9.1.1 Perímetro de seguri-dad física

Se deben utilizar perí-metros de seguridad(barreras, muros puer-ta de entrada con con-trol de acceso a travésde tarjeta, o puesto decontrol) para protegerlas áreas que contie-nen la información ylos recursos de trata-miento de la informa-ción

A.9.1.2 Controles físicos deentrada

Las áreas seguras de-ben estar protegidaspor controles de en-trada adecuados, pa-ra asegurar que úni-camente se permite elacceso al personal au-torizado

A.9.1.3 Seguridad de oficinas,despachos e instala-ciones

Se deben diseñar yaplicar medidas de se-guridad física para lasoficinas, despachos einstalaciones

A.9.1.4 Protección contra lasamenazas externas deorigen ambiental

Se debe diseñar y apli-car una protección fí-sica contra el dañocausado por fuego,inundación, terremo-to, explosión, revuel-tas sociales y otra for-ma de desastres natu-rales o provocados porel hombre

Todos los controles deseguridad física y am-biental son aplicablestanto a los ordenado-res y sistemas informá-ticos donde se gestio-nan los documentoselectrónicos, como alos espacios e instala-ciones donde se cus-todian documentos enpapel





A.9.1.5 Trabajo en áreas segu-ras

Se deben diseñar eimplantar una protec-ción física y una seriede directrices para tra-bajar en áreas seguras

A.9.1.6 Áreas de acceso públi-co y carga y descarga

Deben controlarse lospuntos de acceso talescomo las áreas de car-ga y descarga y otrospuntos, a través de losque personal no au-torizado puede acce-der a las instalaciones,y si es posible, dichospuntos se deben ais-lar de las instalacionesde tratamiento de lainformación para evi-tar accesos no autori-zados

A.9.2.1 Emplazamiento y pro-tección de equipos

Los equipos deben si-tuarse o protegerse deforma que se reduz-can los riesgos deriva-dos de las amenazasy peligros de origenambiental así como lasocasiones de que seproduzcan accesos noautorizados

A.9.2.2. Instalaciones de sumi-nistro

Los equipos deben es-tar protegidos contrafallos de alimentacióny otras anomalías cau-sadas por fallos en lasinstalaciones de sumi-nistro

A.9.2.3. Seguridad de cablea-do

El cableado eléctricoy de telecomunicacio-nes que trasmite datoso que da soporte a losservicios de informa-ción debe estar prote-gido frente a intercep-taciones

A.9.2.4 Mantenimiento deequipos

Los equipos deben re-cibir un mantenimien-to correcto que asegu-re su disponibilidad eintegridad

A.9.2.5 Seguridad de los equi-pos fuera de las insta-laciones

Teniendo en cuentalos diferentes riesgosque conlleva traba-jar fuera de las instala-ciones de la organiza-ción, deben aplicarsemedidas de seguridada los equipos situadosfuera de las instalacio-nes





A.9.2.6 Reutilización o retiradasegura de equipos

Todos los soportes dealmacenamiento de-ben ser comprobadospara confirmar que to-dos los datos sensiblesy todas las licenciasde software se han eli-minado o bien se hanborrado o sobreescritode manera segura, an-tes de su retirada

A.9.2.7 Retirada de materialespropiedad de la em-presa

Los equipos, la infor-mación o el softwareno deben sacarse delas instalaciones sinuna autorización pre-via

6)�Gestión�de�comunicaciones�y�operaciones




A.10. Gestión de comunicaciones y operaciones

A.10.1.1. Documentación delos procedimientos deoperación

Deben documentarsey mantenerse los pro-cedimientos de opera-ción y ponerse a dis-posición de todos losusuarios que los nece-siten

También deben exis-tir procedimientos deoperación de gestiónde documentos elec-trónicos

A.10.1.2 Gestión de cambios Deben gestionarse loscambios en los siste-mas de tratamiento dela información

Aplicable a los siste-mas que gestionandocumentos electróni-cos

A.10.1.3 Segregación de tareas Las tareas y áreas deresponsabilidad debensegregarse para redu-cir la posibilidad deque se produzcan mo-dificaciones no autori-zadas o no intenciona-das o usos indebidosde los activos de la or-ganización

Este control es difícil-mente aplicable a latareas y responsabili-dades de gestión do-cumental

A.10.1.4 Separación de los re-cursos de desarrollo,prueba y operación

Deben separarse losrecursos de desarro-llo, de pruebas y deoperación, para redu-cir los riesgos de acce-so no autorizado o loscambios en el sistemade producción

Aplicable en los siste-mas informáticos quegestionan documen-tos electrónicos





A.10.2.1 Provisión de servicios Se deben comprobarque los controles deseguridad, las defini-ciones de los serviciosy los niveles de provi-sión, incluidos en elacuerdo de provisiónde servicios por terce-ros, han sido implan-tados, puestos en ope-ración y son manteni-dos por parte de untercero

A.10.2.2. Supervisión y revisiónde los servicios presta-dos por terceros

Los servicios, informesy registros proporcio-nados por un tercerosdeben ser objeto desupervisión y revisiónperiódicas, y tambiéndeben llevarse a caboauditorías periódicas

A.10.2.3 Gestión del cambio enlos servicios prestadospor terceros

Se deben gestionar loscambios en la provi-sión de los servicios,incluyendo el mante-nimiento y la mejo-ra de las políticas, losprocedimientos y loscontroles de seguri-dad de la informaciónexistentes, teniendoen cuenta la criticidadde los procesos y siste-mas del negocio afec-tados así como la re-evaluación de los rie-gos

Estos controles seríanaplicables a los docu-mentos cuando se hanencargado a un terce-ro tareas que crean ygestionan documen-tos o la propia gestiónde los mismos

A.10.3.1 Gestión de capacida-des

La utilización de los re-cursos se debe super-visar y ajustar así co-mo realizar proyeccio-nes de los requisitosfuturos de capacidad,para garantizar el ren-dimiento requeridodel sistema

A.10.3.2 Aceptación del siste-ma

Se deben establecerlos criterios para laaceptación de nue-vos sistemas de infor-mación, de las actuali-zaciones y de nuevasversiones de los mis-mos, y se deben llevara cabo pruebas ade-cuadas de los sistemasdurante el desarrolloy previamente acepta-ción

Estos controles sonaplicables para los sis-temas que gestionandocumentos electróni-cos





10.4.1 Controles contra el có-digo malicioso

Se deben implantarcontroles de detec-ción, prevención y re-cuperación que sirvancomo protección con-tra código maliciosoy se deben implantarprocedimientos ade-cuados de conciencia-ción del usuario

A.10.4.2 Controles contra elcódigo descargado enel cliente

Cuando se autoriceel uso de código des-cargado en el cliente,la configuración de-be garantizar que di-cho código autoriza-do funciona de acuer-do con una política deseguridad claramen-te definida, y se debeevitar que se ejecuteun código no autori-zado

Estos controles sonaplicables para los sis-temas que gestionandocumentos electróni-cos

A.10.5.1 Copias de seguridadde la información

Se deben realizar co-pias de seguridad dela información y delsoftware, y se debenprobar periódicamen-te conforme a la políti-ca de copias de segu-ridad acordada

Este control es aplica-ble a los sistemas quegestionan documen-tos electrónicos peroen ningún caso susti-tuyen a la implanta-ción de procesos deevaluación, disposi-ción y preservación delos documentos elec-trónicos

A.10.6.1 Controles de red Las redes deben estaradecuadamente ges-tionadas y controla-das, para que esténprotegidas frente aposibles amenazas ypara mantener la se-guridad de los siste-mas y de las aplicacio-nes que utilizan estasredes, incluyendo in-formación en tránsito

A.10.6.2. Seguridad de serviciosde red

Se deben identificarlas características deseguridad, los nive-les de servicio de red,tanto si estos serviciosse prestan dentro dela organización o sesubcontratan

Estos controles sonaplicables cuando lossistemas informáticosque gestionan docu-mentos electrónicos seinstalan en red





A.10.7.1 Gestión de soportesextraíbles

Se deben establecerprocedimientos parala gestión de soportesextraíbles

A.10.7.2 Retirada de soportes Los soportes deben serretirados de forma se-gura cuando ya no va-yan a ser necesarios,mediante los procedi-mientos formales esta-blecidos

Estos controles sonaplicables para los so-portes extraíbles quepermitan los sistemasinformáticos que ges-tionan documentoselectrónicos

A.10.7.3 Procedimientos demanipulación de la in-formación

Deben establecerse losprocedimientos parala manipulación y elalmacenamiento de lainformación, de modoque se proteja dichainformación contra larevelación no autoriza-da o uso indebido

Deben existir proce-dimientos específicospara la manipulación ygestión de documen-tos

A.10.7.4 Seguridad de la docu-mentación del sistema

La documentacióndel sistema debe estarprotegida contra acce-sos no autorizados

La documentación delos sistemas debe in-cluirse en la políticageneral de gestión dedocumentos

A.10.8.1 Políticas y procedi-mientos de intercam-bio de información

Deben establecer-se políticas, procedi-mientos y controlesformales que protejanel intercambio de in-formación medianteel uso de todo tipo derecursos de comunica-ción

Deben existir proce-dimientos específicospara la manipulación ygestión de documen-tos

A.10.8.2 Acuerdos de intercam-bio

Deben establecerseacuerdos para el inter-cambio de informa-ción y de software en-tre la organización yterceros

A.10.8.3 Soportes físicos entránsito

Durante el transpor-te fuera de los límitesfísicos de la organiza-ción, los soportes quecontengan informa-ción deben estar pro-tegidos contra accesosno autorizados, usosindebidos o deterioro

A.10.8.4 Mensajería electrónica La información quesea objeto de mensa-jería electrónica debeestar adecuadamenteprotegida

Estos controles sonaplicables a los siste-mas informáticos quecrean y gestionan do-cumentos electrónicos





A.10.8.5 Sistemas de informa-ción empresariales

Deben formularse eimplantarse políticasy procedimientos pa-ra proteger la informa-ción asociada a la in-terconexión de los sis-temas de informaciónempresariales

A.10.9.1 Comercio electrónico La información in-cluida en el comer-cio electrónico que setrasmita a través de re-des públicas debe pro-tegerse contra las acti-vidades fraudulentas,las disputas contrac-tuales, y la revelacióno modificación no au-torizada de dicha in-formación

A.10.9.2 Transacciones en línea La información con-tendida en las transac-ciones en línea debeestar protegida paraevitar trasmisiones in-completas, errores dedireccionamiento, al-teraciones no autori-zadas de los mensajes,la revelación, la dupli-cación o la reproduc-ción no autorizada delmensaje

A.10.9.3 Información pública-mente disponible

La integridad de la in-formación puesta adisposición pública sedebe proteger paraevitar modificacionesno autorizadas

Estos controles sonaplicables para los sis-temas informáticosque crean y gestionandocumentos electróni-cos y cuya operaciónincluye comercio elec-trónicos, transaccionesen línea o informaciónpública

A.10.10.1 Registro (log)de audi-torías

Se deben generar re-gistros de auditoríade las actividades delos usuarios, las excep-ciones y eventos deseguridad de la infor-mación, y se deberíanmantener estos regis-tros durante un perío-do de tiempo acorda-do para servir comoprueba en investiga-ciones futuras y en lasupervisión de controlde acceso

A.10.10.2 Supervisión de uso delsistema

Se deben establecerprocedimientos parasupervisar el uso delos recursos de trata-miento de la informa-ción y se deben revisarperiódicamente los re-sultados de las activi-dades de supervisión

Estos controles sonaplicables para los sis-temas informáticosque crean y gestionandocumentos electróni-cos





A.10.10.3 Protección de la infor-mación de los regis-tros (logs)

Los dispositivos de re-gistro y la informaciónde los registros debenestar protegidos con-tra manipulaciones in-debidas y accesos noautorizados

A.10.10.4 Registros (log) de ad-ministración y opera-ción

Se deben registrar lasactividades del admi-nistrador del sistemay de la operación delsistema

A.10.10.5 Registro (log) de fallos Los fallos deben ser re-gistrados y analizadosy se deben tomar lascorrespondientes ac-ciones

A.10.10.6 Sincronización de reloj Los relojes de todoslos sistemas de trata-miento de la informa-ción dentro de unamisma organizacióno un dominio de se-guridad, deben estarsincronizados con unaúnica fuente precisa yacordada en el tiempo

7)�Control�de�acceso




A.11 Control de acceso

A.11.1.1 Política de control deacceso

Se debe establecer,documentar y revisaruna política de controlde acceso basada enlos requisitos del ne-gocio y de seguridadpara el acceso

La política de accesoa los documentos de-be estar definida de lamisma forma. Suponeuna profundización enel control propuesto

A.11.2.1 Registro de usuario Debe establecerse unprocedimiento formalde registro y anulaciónde usuarios para con-ceder y revocar el ac-ceso a todos los siste-mas y servicios de in-formación

A.11.2.2 Gestión de privilegios La asignación y el usode privilegios debenestar restringidos ycontrolados

Estos controles sonaplicables a los siste-mas informáticos quegestionan documen-tos electrónicos y soncoincidentes con lospropuestos desde ges-tión documental





A.11.2.3 Gestión de contrase-ñas de usuarios

La asignación de con-traseñas debe ser con-trolada a través de unproceso de gestiónformal

A.11.2.4. Revisión de los de-rechos de acceso deusuario

La dirección debe re-visar los derechos deacceso de usuario aintervalos regulares yutilizando un procesoformal

A.11.3.1 Uso de contraseñas Se debe requerir alos usuarios seguir lasbuenas prácticas deseguridad en la selec-ción y el uso de lascontraseñas

A.11.3.2. Equipo de usuario des-atendido

Los usuarios debenasegurarse de que elequipo desatendidotiene la protecciónadecuada

A.11.3.3. Política de trabajo des-pejado y pantalla lim-pia

Debe adoptarse unapolítica de puesto detrabajo despejado depapeles y soportes dealmacenamiento ex-traíbles junto con unapolítica de pantallalimpia para los recur-sos de tratamiento dela información

Estos controles sonaplicables a los siste-mas informáticos quegestionan documen-tos electrónicos

A.11.4.1 Política de uso de losservicios en red

Se debe proporcionara los usuarios única-mente el acceso a losservicios para los quehayan sido específica-mente autorizados

A.11.4.2. Autenticación deusuario para conexio-nes externas

Se deben utilizar losmétodos apropiadosde autenticación paracontrolar el acceso delos usuarios remotos

A.11.4.3 Identificación de losequipos en las redes

La identificación auto-mática de los equiposde debe considerar unmedio de autentica-ción de las conexionesprovenientes de locali-zaciones y equipos es-pecíficos

A.11.4.4. Diagnóstico remotoy protección de lospuertos de configura-ción

Se debe controlar elacceso físico y lógicoa los puertos de diag-nóstico y de configu-ración

Estos controles actúanen una capa previa ala de los sistemas in-formáticos que creany gestionan documen-tos





A.11.4.5 Segregación de redes Los grupos de servi-cios de información,usuarios y sistemas deinformación deben es-tar segregados en re-des

A.11.4.6 Control de la cone-xión a la red

En redes comparti-das, especialmente enaquellas que traspasenlas fronteras de la or-ganización, debe res-tringirse la capacidadde los usuarios paraconectarse a la red,esto debe hacerse deacuerdo a la políticade control de acceso ya los requisitos de lasaplicaciones empresa-riales

A.11.4.7 Control de encamina-miento (routing) dered

Se deben implantarcontroles de encami-namiento (routing) deredes para asegurarque las conexiones delos ordenadores y losflujos de informaciónno violan la política decontrol de acceso a lasaplicaciones empresa-riales

A.11.5.1 Procedimientos segu-ros de inicio de sesión

El control a los siste-mas operativos de de-be controlar por me-dio de un procedi-miento seguro de ini-cio de sesión

A.11.5.2 Identificación y auten-ticación de usuario

Todos los usuarios de-ben tener un identi-ficador único (ID deusuario) para su usopersonal y exclusivo, yse debe elegir una téc-nica adecuada de au-tenticación para con-firmar la identidad so-licitada al usuario

A.11.5.3 Sistema de gestión decontraseñas

Los sistemas para lagestión de contrase-ñas deben ser interac-tivos y establecer con-traseñas de calidad

A.11.5.4. Uso de los recursos delsistema

Se debe restringir ycontrolar de una ma-nera rigurosa el usode programas y utili-dades que puedan sercapaces de invalidarlos controles del siste-ma y de aplicación

Estos controles actúanen una capa previa ala de los sistemas in-formáticos que creany gestionan documen-tos





A.11.5.5. Desconexión automá-tica de sesión

Las sesiones inactivasdeben cerrarse des-pués de un período deinactividad definido

A.11.5.6 Limitación del tiempode conexión

Para proporcionar se-guridad adicional a lasaplicaciones de altoriesgo, se deben utili-zar restricciones en lostiempos de conexión

A.11.6.1 Restricción de accesoa la información

Se debe restringir elacceso a la informa-ción y a las aplicacio-nes a los usuarios y alpersonal de soporte,de acuerdo con la po-lítica de control de ac-ceso definida

El acceso a los docu-mentos se define enlas tablas de seguridady acceso. Sería un de-talle del acceso a la in-formación

A. 11.6.2 Aislamiento de siste-mas sensibles

Los sistemas sensiblesdeben tener un en-torno dedicado (aisla-do) de ordenadores

Este control puede seraplicable a los entor-nos donde se guardanlos documentos vita-les o esenciales de unaorganización

A.11.7.1 Ordenadores portátilesy comunicaciones mó-viles

Se deben implantaruna política formal yse deben adoptar lasmedidas de seguridadadecuadas para la pro-tección contra los ries-gos de la utilización deordenadores portátilesy comunicaciones mó-viles

A.11.7.2 Teletrabajo Se deben redactar eimplantar, una políticade actividades de tele-trabajo, así como losplanes y procedimien-tos de operación co-rrespondientes

Estos controles aplicana la gestión de docu-mentos mediante dis-positivos portátiles omóviles y el acceso alos sistemas que ges-tionan documentosmediante teletrabajo.

8)�Adquisición,�desarrollo�y�mantenimiento�de�los�sistemas�de�informa-

ción




A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información





A.12.1.1 Análisis y especifica-ción de los requisitosde seguridad

En las declaracionesde los requisitos denegocio para los nue-vos sistemas de infor-mación, o para mejo-ras de los sistemas deinformación ya exis-tentes, se deben espe-cificar los requisitos delos controles de segu-ridad

También deberían in-cluirse los requisitosde la gestión de do-cumentos en los siste-mas de informaciónque los creen o losgestionen

A.12.2.1 Validación de datos deentrada

La introducción de da-tos en las aplicacionesdebe validarse paragarantizar que dichosdatos son correctos yadecuados

A.12.2.2 Control de procesa-miento interno

Para detectar cual-quier corrupción dela información debidaa errores de procesa-miento o actos inten-cionados, se deben in-corporar comproba-ciones de validaciónen las aplicaciones

A.12.2.3 Integridad en los men-sajes

Se deben identificarlos requisitos para ga-rantizar la autentici-dad y para proteger laintegridad de los men-sajes en las aplicacio-nes y se deben iden-tificar e implantar loscontroles adecuados

A.12.2.4 Validación de los da-tos de salida

Los datos de salida deuna aplicación se de-ben validar para ga-rantizar que el trata-miento de la informa-ción almacenada escorrecto y adecuado alas circunstancias


A.12.3.1 Política de usos de loscontroles criptográfi-cos

Se debe formular e im-plantar una políticapara el uso de los con-troles criptográficospara proteger la infor-mación

A.12.3.2 Gestión de claves Debe implantarse unsistema de gestión declaves para dar sopor-te al uso de las técni-cas criptográficas porparte de la organiza-ción

Estos controles son es-pecialmente significa-tivos en la gestión dedocumentos y espe-cialmente cuando seutilizan firmas digitales





A.12.4.1 Control del softwareen explotación

Deben estar implan-tados procedimientospara controlar la ins-talación de softwareen los sistemas en pro-ducción o en explota-ción

A.12.4.2 Protección de los da-tos de prueba del sis-tema

Los datos de pruebase deben seleccionarcuidadosamente y de-ben estar protegidos ycontrolados

A.12.4.3 Control de acceso alcódigo fuente de losprogramas

Se debe restringir elacceso al código fuen-te de los programas


A.12.5.1 Procedimientos decontrol de cambio

La implantación decambios debe contro-larse mediante el usode procedimientos for-males de control decambios

A.12.5.2 Revisión técnica de lasaplicaciones tras efec-tuar cambios en el sis-tema operativo

Cuando se modifi-quen los sistemas ope-rativos, las aplicacio-nes empresariales crí-ticas deben ser revi-sadas y probadas pa-ra garantizar que noexisten efectos adver-sos en las operacioneso en la seguridad de laorganización

A.12.5.3 Restricciones a loscambios en los paque-tes de software

Se deben desaconsejarlas modificaciones enlos paquetes de soft-ware, limitándose alos cambios necesa-rios, y todos los cam-bios deben ser objetode un control riguroso

A.12.5.4 Fugas de información Deben evitarse las si-tuaciones que permi-tan que se produzcanfugas de información

A.12.5.5 Externalización deldesarrollo de software

La externalización deldesarrollo de softwaredebe ser supervisaday controlada por la or-ganización


A.12.6.1 Control de la vulnera-bilidades técnicas

Se debe obtener la in-formación adecuadaacerca de las vulne-rabilidades técnicasde los sistemas de in-formación que estánsiendo utilizados, eva-luar la exposición dela organización



9)�Gestión�de�incidentes�de�seguridad




A.13 Gestión de incidentes de seguridad

A.13.1.1. Notificación de even-tos de seguridad de lainformación

Los eventos de seguri-dad de la informaciónse deben notificar através de los canalesadecuados de gestiónlo antes posible

A.13.1.2 Notificación de lospuntos débiles de se-guridad

Todos los empleados,contratistas y tercerosque sean usuarios delos sistemas y serviciosde información de-ben estar obligados aanotar y notificar cual-quier punto débil queobserven o que sospe-chen exista, en dichossistemas o servicios

A.13.2.1 Responsabilidades yprocedimientos

Se deben establecerlas responsabilidadesy procedimientos degestión para garanti-zar una respuesta rápi-da, efectiva y ordena-da a los incidentes deseguridad de la infor-mación

A.13.2.2. Aprendizaje de los in-cidentes de seguridadde la información

Deben existir meca-nismos que permitancuantificar y supervisarlos tipos, volúmenes ycostes de los inciden-tes de seguridad de lainformación

A.13.2.3. Recopilación de evi-dencias

Cuando se empren-da una acción contrauna persona u organi-zación, después de unincidente de seguri-dad de la información,que implique accioneslegales (tanto civilescomo penales), debenrecopilarse las eviden-cias, y conservarse ypresentarse conformea las normas estableci-das en la jurisdiccióncorrespondiente

Estos controles sonaplicables para inci-dentes de seguridadque puedan producir-se en el estén implica-dos documentos de laorganización

10)�Gestión�de�la�continuidad�del�negocio





A.14 Gestión de la continuidad del negocio

A.14.1.1 Inclusión de la seguri-dad de la informaciónen el proceso de ges-tión de la continuidaddel negocio

Debe desarrollarse ymantenerse un proce-so para la continuidaddel negocio en toda laorganización, que ges-tione los requisitos deseguridad de la infor-mación necesarios pa-ra la continuidad delnegocio

A.14.1.2 Continuidad del ne-gocio y evaluación deriesgos

Deben identificarse loseventos que puedancausar interrupcionesen los procesos de ne-gocio, así como lasprobabilidad de quese produzcan tales in-terrupciones, sus efec-tos y sus consecuen-cias para la seguridadde la información

A.14.1.3 Desarrollo e implanta-ción de planes de con-tinuidad que incluyanla seguridad de la in-formación

Deben desarrollarse eimplantarse planes pa-ra mantener o restau-rar las operaciones ygarantizar la disponi-bilidad de la informa-ción en el nivel y enel tiempo requeridos,después de una inte-rrupción o un fallo delos procesos críticosde negocio

A.14.1.4 Marco de referenciapara la planificaciónde la continuidad delnegocio

Debe mantenerse unúnico marco de refe-rencia para los planesde continuidad del ne-gocio, para asegurarque todos los planessean coherentes, pa-ra cumplir los requisi-tos de seguridad de lainformación de mane-ra consistente y paraidentificar las priorida-des de realización depruebas y del mante-nimiento

A.14.1.5 Pruebas, manteni-miento y reevaluaciónde los planes de conti-nuidad del negocio

Los planes de conti-nuidad del negociodeben probarse y ac-tualizarse periódica-mente para asegurarque están al día y queson efectivos

La continuidad del ne-gocio es uno de lospuntos que están másrelacionados con lagestión documental.En los procesos docu-mentales siempre seincluye la identifica-ción de los documen-tos vitales y esencialesque deben gestionarsede forma que asegu-ren la continuidad delnegocio

11)�Cumplimientos





A.15 Cumplimiento

A.15.1.1 Identificación de la le-gislación aplicable

Todos los requisitospertinentes, tanto le-gales como reglamen-tarios o contractuales,y el enfoque de la or-ganización para cum-plir dichos requisitos,deben estar definidos,documentados y man-tenerse actualizadosde forma explícita pa-ra cada sistema de in-formación de la orga-nización

Este es un punto claveen la gestión de docu-mentos, que amplía elalcance de la legisla-ción a tener en cuenta

A.15.1.2 Derechos de propie-dad intelectual

Deben implantarseprocedimientos ade-cuados para garanti-zar el cumplimientode los requisitos lega-les, reglamentarios ycontractuales sobre eluso de material, conrespecto al cual pue-den existir derechosde propiedad intelec-tual y sobre uso deproductos de softwarepropietario

En determinados en-tornos la gestión delos documentos debeaclarar este punto

A. 15.1.3 Protección de los do-cumentos de la orga-nización

Los documentos im-portantes deben estarprotegidos contra lapérdida, destrucción yfalsificación de acuer-do con los requisitoslegales, regulatorios,contractuales y em-presariales

Este es el único con-trol que se refiere es-pecíficamente a losdocumentos. En unsolo control se abar-can todos los procesosy requisitos documen-tales

A.15.1.4 Protección de datosy privacidad de la in-formación de carácterpersonal

Debe garantizarse laprotección y la priva-cidad de los datos se-gún se requiera en lalegislación y la regla-mentación aplicablesy, en su caso, en lascláusulas contractualespertinentes

A.15.1.5 Prevención del uso in-debido de los recursosde tratamiento de lainformación

Se debe disuadir a losusuarios de utilizar losrecursos de tratamien-to de la informaciónpara fines no autoriza-dos

A.15.1.6 Regulación de los con-troles criptográficos

Los controles cripto-gráficos se deben uti-lizar de acuerdo contodos los contratos,leyes y regulacionespertinentes.

De especial aplicaciónen la gestión docu-mental





A.15.2.1 Cumplimiento de laspolíticas y normas deseguridad

Los directores debenasegurarse de que to-dos los procedimien-tos de seguridad den-tro de su área de res-ponsabilidad se rea-lizan correctamentecon el fin de cumplirlas políticas y normasde seguridad

A.15.2.2 Comprobación delcumplimiento técnico

Debe comprobarseperiódicamente quelos sistemas de infor-mación cumplen lasnormas de aplicaciónpara la implantaciónde la seguridad

Lo mismo debería su-ceder con los proce-dimientos de gestióndocumental

A.15.3.1 Controles de auditoríade los sistemas de in-formación

Los requisitos y las ac-tividades de auditoríaque impliquen com-probaciones en los sis-temas de produccióndeben ser cuidadosa-mente planificados yacordados para mini-mizar el riesgo de inte-rrupciones en los pro-cesos del negocio

A.15.3.2 Protección de las he-rramientas de audito-ría de los sistemas deinformación

El acceso a las herra-mientas de auditoríade los sistemas de in-formación debe estarprotegido para evitarcualquier posible peli-gro o uso indebido

Los mismos contro-les serian aplicables alas auditorías sobre lossistemas de informa-ción que crean o ges-tionan documentoselectrónicosTambién podrían exis-tir controles propiosreferido a auditoríassobre los procesos ycontroles documenta-les


Bibliografía

Barlett, M. (2009). “How to Choose an E-mail Archiving Solution. eweek”. Dispo-nible en http://www.eweek.com/c/a/Data-Storage/How-to-Choose-an-Email-Archiving-Solu-tion/ [Consulta: enero del 2013].

Bundesamt für sicherheit in der informationstechnik (2008). IT-Grundschutz Hand-buch, 2008. Disponible en https://www.bsi.bund.de/DE/Home/home_node.html [Consulta:15 de octubre del 2012].

Cruz Allende, D.; Garre Gui, S. (2011). Sistema de gestión de la seguridad de la información.Barcelona: Universitat Oberta de Catalunya.

González Fernández, V. R. Trabajo en colaboración apoyado en la red. Para laInspección de Educación de Castilla y León http://platea.pntic.mec.es/vgonzale/trabco-lab_0910/index.htm

Graham, T. (2003). “Electronic access to and the preservation of heritage materials". TheElectronic Library (vol. 21, núm. 3, pág. 223-226).

Groenewald, R.; Breytenbach, A. (2011). “The use of metadata and preservation met-hods for continuous access to digital data”. The Electronic Library (vol. 29, núm. 2, pág.236-248).

ICT Policy and Coordination Office. Department of Pu-blic Works (2011). Information Standars 18: Information Secu-rity – Implementation Guideline. Queensland Government. Disponibleen: http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architecture%20and%20Stan-dards/Information%20Standards/Current/IS18%20-%20Implementation%20Guideline.pdf[Consulta: 15 de octubre de 2012]

ICT Policy and Coordination Office. Department of Public Works (2010). Email disclaimerguideline. Disponible en: http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architec-ture%20and%20Standards/QGEA%202.0/Email%20disclaimer%20guideline.pdf [Consulta:15 de octubre de 2012]

ISO/IEC 13335-1:2004 Information technology - Security techniques - Management of in-formation and communications technology security - Part 1: Concepts and models for in-formation and communications technology security management.

Krtalic, M.; Hasenay, D. (2012). “Exploring a framework for comprehensive and success-ful preservation management in libraries”. Journal of Documentation (vol. 68, núm 3, pág.353-377).

Lin, L. S.; Ramaiah, Ch. K.; Wal, P. K. (2003). “Problems in the preservation of electronicRecords”. Library Review (vol. 52, núm. 3, pág. 117-125).

Prom, Ch. (2011). Preserving e-mail. Digital Preservation Coalition Technology Watch Report11-01 December 2011. DOI.

UNE-ISO 15489-1:2006 Información y documentación. Gestión de documentos. Parte 1: Ge-neralidades.

UNE-ISO/TR 15489-2:2006 Información y documentación. Gestión de documentos. Parte 2:Directrices. (ISO/TR 15489-2:2001).

Zierau, Eld Maj-Britt Olmütz (2012). “A holistic approach to bit preservation". LibraryHi Tech (vol. 30, núm. 3, pág. 472-489).






http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architecture%20and%20Standards/Information%20Standards/Current/IS18%20-%20Implementation%20Guideline.pdf

http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architecture%20and%20Standards/Information%20Standards/Current/IS18%20-%20Implementation%20Guideline.pdf

http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architecture%20and%20Standards/QGEA%202.0/Email%20disclaimer%20guideline.pdf

http://www.qgcio.qld.gov.au/SiteCollectionDocuments/Architecture%20and%20Standards/QGEA%202.0/Email%20disclaimer%20guideline.pdf

http://dx.doi.org/10.7207/twr11-01

Analisis Del Contexto Organizativo (Modulo 6)

Documents

Transcript of Analisis Del Contexto Organizativo (Modulo 6)