Como es natural, en ocasiones debe almacenarse información sensible o confidencial en el gestor documental. Por ejemplo, puedes tener documentación relacionada con salarios de personas, documentos que contienen secretos de negocio, información médica de personas o cualquier tipo de información personal (PII – Personally Identifiable Information). Para eso está el gestor documental ¿verdad? , para guardar cualquier tipo de activo digital con valor para la compañía. A continuación revisamos las opciones que tienes para proteger tanto documentos como valores de campos cuando contienen información sensible.
El primer nivel de defensa de esta información son los permisos. Puedes por ejemplo, guardar la documentación sensible en un espacio determinado y garantizar que sólo determinados usuarios autorizados pueden consultar los documentos en este espacio. Esta sería la opción básica que tienes, utilizando los permisos de los espacios. Esto tiene la ventaja de que es fácil de mantener. Simplemente añades o quitas usuarios de los grupos con permiso sobre el espacio.
Sin embargo, no siempre tenemos la posibilidad de segregar en un espacio específico toda la documentación o información sensible. A veces, sólo es sensible parte de la documentación de un expediente, documentos concretos, etc. Para estos casos, habrá que utilizar un sistema de permisos más granular: los permisos por objeto.
Los permisos por objeto en Athento permiten otorgar y controlar el acceso a nivel de documento. De esta manera, puedo tener un expediente con 100 documentos y cada uno de esos documentos podrían tener permisos de acceso específicos. Un usuario podría ver sólo 88 documentos del expediente, mientras que otro podría ver la totalidad.
Por supuesto, un sistema tan granular de permisos es mucho más complejo de mantener que la primera opción que comentamos. Por eso nosotros siempre recomendamos usarlos con criterio.
Los permisos por objeto en Athento se pueden asignar mediante automatismos. Ya que Athento tiene la posibilidad de ejecutar automatismos en la edición de campos, podemos por ejemplo, usar un campo de tipo usuarios para asignar de forma dinámica y a demanda los permisos, o, podemos tener un campo “Nivel de Confidencialidad” con un desplegable que me muestre opciones como “Confidencial”. En cuanto el usuario añada una clasificación de confidencialidad, Athento puede asignar los permisos de forma dinámica.
Otra opción que se puede contemplar son los permisos exclusivos de autor. Esto es, los usuarios pueden ver sólo los documentos que ellos mismos han creado.
El personal del servicio o proveedor del software tendrá acceso a los documentos de manera puntual para prestar soporte, resolver incidencias o realizar alguna labor de mantenimiento. Estos accesos por supuesto, deben registrarse en el software de modo que puedan ser trazados. El proveedor debe contar con una política de acceso seguro y todas las directrices relacionadas con el tratamiento de datos.
Sin embargo, es recomendable que si tenemos información confidencial, sensible o PII, tomemos algunas medidas. En este sentido, Athento nos ofrece la capacidad de anonimizar el valor de un campo para que el personal de soporte no pueda ver su contenido. Por ejemplo, si tenemos un campo “Salario” en los expedientes de empleados, podemos indicar a Athento que el campo contiene información sensible a la que no queremos que su personal tenga acceso. Esto se hace desde la configuración del campo.
Si lo que queremos es que el archivo que forma parte del documento en Athento -PDF, Word, JPG o el formato que sea- no pueda ser visualizado por el personal de Athento, podemos indicar en el espacio que este contiene información sensible. En este caso, la previsualización de los documentos se desactiva para los usuarios del personal de Athento.
Como ves, hay múltiples opciones para proteger la información confidencial o sensible con la que trabajemos. Además, es importante tener en cuenta que un sistema de gestión de documentos se caracteriza por mantener una pista de auditoría de las acciones que se realizan sobre los mismos. Esto es fundamental para -si bien no prevenir el acceso indeseado- medir el alcance o impacto de dichos accesos.
Permisos, autenticación y funcionalidades de censura como las que hemos visto en este artículo pueden ayudarnos a mantener nuestra información segura.
AthentoAcelera 2023: la primera conferencia online y abierta de Athento se celebrará los días 23, 24, 25 y 26 de Octubre ¡inscríbete ahora!
Ya puedes ver el vídeo del webinar: Canal de Denuncias Interno con Athento, del pasado 14 de septiembre de 2023.
Ya está disponible el vídeo del webinar: Selección e incorporación de nuevos empleados con Athento, del pasado 05 de julio de 2023.
