14 Sep 2014

Gestión documental en la nube: ¿Icloud, gdrive, dropbox...? ¿seguro?

Por Julian Moyano

La nube llegó para quedarse y también a la gestión documental. La nube, en líneas generales, se entiende como un conjunto de servicios a los que se accede a través de la red, principalmente mediante el navegador web,  sin necesidad de instalar previamente aplicaciones concretas en el terminal del usuario, sobre todo en PCs. La gestión de documentos y de archivos como tarea fundamental de cualquier organización no ha quedado al margen del cloud computing, convirtiéndose en una necesidad para acceder a los activos de información desde cualquier dispositivo conectado a internet con las mismas posibilidades del lugar de trabajo tradicional.

Además, el reto del teletrabajo en empresas y administraciones públicas va a justificar el desarrollo de servicios integrales en la nube que respalden todas las actividades relacionadas con el uso, producción y gestión de documentos, con todas las posibilidades de la ubicuidad del trabajo y sin las limitaciones de herramientas como el correo electrónico.   

View image on Twitter

"The #Cloud and pending European Data Protection regulations" http://t.c

o/wz7LJq9fSh  John Mancini (@jmancini77) 

La nube está cambiando el uso y concepción del correo electrónico y también la forma de trabajar colaborativamente a través de las unidades de red compartidas, que siguen siendo muy utilizadas. Estas unidades de red suelen ofrecer estructuras jerárquicas de carpetas y ficheros con los archivos meramente almacenados para su descarga o apertura, sin ningún tipo de normalización ni control global, y con posibilidades bastante limitadas, siendo la intuición del usuario la clave para saber dónde se encuentran determinados documentos. Las unidades de red poco a poco están dando paso a servicios en la nube que pretenden solventar sus limitaciones y problemas.

Google drive, Icloud, o Dropbox son servicios que resultan familiares y representan muy bien la cloud,  y además se han extendido entre los usuarios para guardar  archivos y documentos de todo tipo y desarrollar tareas diversas. Algunos motivos por los que estos servicios han crecido rápidamente en número de usuarios y datos almacenados pueden ser:

  • La "gratuidad" de los servicios.
  • Su popularidad: recomendaciones en las redes sociales y en la vida real.
  • No depender de USBs y dispositivos de almacenamiento físicos para obtener la información.
  • La necesidad de disponer de documentos, fotografías, archivos y ficheros desde cualquier equipo.
  • Su simplicidad de uso.
  • Las posibilidades de compartir con otros usuarios archivos, simplemente con un enlace.
  • La sensación de control ante el acceso de terceros a documentos y ficheros en estos servicios.
  • La sensación de tranquilidad ante la "imposibilidad" de pérdida de información.
  • El anonimato de guardar documentos y ficheros en la nube y no en ordenadores de empresa o domésticos.

Pero una cosa es utilizar servicios como google drive, dropbox u otros para uso particular y otra muy diferente, es utilizarlos para almacenar y gestionar la documentación de una organización. Después de algunos problemas de filtrados y accesos no autorizados, se empieza a recomendar que estos recursos tan conocidos no deben de utilizarse para albergar información sensible de la organización (y por extensión tampoco la de cualquier usuario).  

Permisos de una imagen almacenada en google Drive, aparentemente de acceso restringido. Imagen que puede estar disponible temporalmente para cualquier usuario y máquina sin cumplir ninguno de los permisos fijados: captura de pantalla accediendo a través de Zend2.  O imagen que parece protegida, privada y no compartida de la copia de seguridad automática de un teléfono, disponible consiguiendo su url.

 

Todos estos servicios de almacenamiento y gestión de archivos en la nube, están destinados a cualquier usuario y se denominan genéricamente como public cloud, y antes de adoptarlos por empresas, organizaciones y también particulares, debe de tenerse en cuenta algunas cuestiones:

  • La seguridad y el acceso no autorizado a datos propios está en entredicho constantemente (sin necesidad de ataques informáticos previos).
  • No suelen cumplir la normativa española en materia de protección de datos. Y tampoco se pueden adaptar a dicha normativa por la complejidad de las empresas que lo sustentan. Las compañías responsables se rigen por normas legales de terceros países y los datos pueden estar almacenados en servidores de cualquier país del mundo, que tampoco se rigen por las normas de la sede de la compañía....
  • No suelen utilizar estándares de arquitectura de datos ni de servicios (firma electrónica, conservación y seguridad de documentos a largo plazo, interoperabilidad, esquemas de metadatos personalizados...).
  • Es complejo adaptar los sistemas de public cloud a las necesidades de las organizaciones y hay que limitarse a los servicios por defecto.   
  • Se desconoce el uso que puede hacer la compañia responsable del servicio de los datos y documentos aquí recogidos.
  • Los posibles problemas de seguridad y filtrado de datos de la organización, almacenados en la nube pública, no pueden justificarse con una nota de prensa de una compañía responsable final de los servicios.
  • La compañía puede cerrar, cambiar las condiciones de uso, con o sin aviso y perder toda la información almacenada.
  • Y además, no se han leído detalladamente las condiciones de uso de los servicios.  

Ubuntu One servicio de Canonical para almacenamiento en la nube cerró todos sus servicios  eliminando todas la cuentas y archivos almacenados.  Los usuarios fueron avisados con bastante antelación. 

Hoy en día aunque no se puede ver estos servicios únicamente como una amenaza constante para los datos, puesto que hay que reconocer la parte positiva del trabajo y almacenamiento de ficheros y documentos, que es ágil, dinámica, fácil y ha abierto muchas posibilidades. Sí que hay que tener en cuenta que estas posibilidades tan atractivas no deben determinar su elección, debiendo evaluar aspectos mucho más importantes como el acceso por personal no autorizado, y en definitiva, el control de la documentación y datos. Por estos motivo se debe apostar y desarrollar todas las posibilidades de la nube para gestionar la documentación de las organizaciones, puesto que:

  • Favorece el trabajo colaborativo, comunicación y creatividad entre los trabajadores.
  • Permite el acceso desde cualquier lugar.
  • Evita la saturación de los buzones de correos electrónicos con documentos y archivos.
  • Mejora los recursos de la empresa: en cuanto a inversión en software, hardware, backup...

Pero en ningún caso debería de ser una public cloud, y sí una nube privada (private cloud) para gestionar la documentación. La nube privada entendida como un servicio en la nube pero no compartido por terceros que permite desarrollar un sistema de información y gestión documental con bastantes ventajas con respecto a la nube pública:

  • Se conoce a los responsables de servicios y las condiciones de uso, pudiendo fijar clausulas concretas en cuanto a la gestión de los documentos y responsabilidad de los sistemas.
  • Los servicio estarán adaptado a las necesidades de la organización.
  • Se sabe con seguridad la ubicación de los servidores y datos.
  • Se puede adaptar los servicios a la normativa estatal y europea.
  • Las infraestructuras utilizadas son de uso, acceso privado y están bajo control por personal autorizado.
  • La documentación e información sensible está mejor custodiada, y los problemas de seguridad se pueden corregir, prever y solventar. Disponiendo de información detallada por parte del equipo responsable del desarrollo y mantenimiento, conociendo objetivamente su situación, necesidades y mejoras.
  • Uso de estándares y adaptación a normas de calidad para gestionar los documentos (Normalización, firmas electrónicas, calidad, esquemas de metadatos, sistemas interoperables...) 
  • Mayores posibilidades de integración con aplicaciones y sistemas internos (intranets, webs corporativas y otras redes).
  • Los sistemas de clasificación documental, tablas de valoración, mapas de procesos y otras herramientas de gestión de la documentación e información corporativa serán más fácilmente adaptables a las infraestructuras del sistema de gestión documental desplegado en la nube privada.
  • La política de gestión documental e información aprobada por la organización se va a reflejar en el sistema de manera coherente y auditable.
  • Desarrollo del repositorio de datos e información institucional.
  • Archivo electrónico de documentos de la organización correctamente gestionado.
  • Creación de informes estadísticos con los datos y documentos de la nube privada y de sus usuarios. Estos informes son personalizados y generados exclusivamente por el personal autorizado.

La nube privada es una necesidad, y no una opción para hacer una organización más competitiva, productiva y coherente con la tecnología actual.  Le elección de la tecnología adecuada dependerá de las necesidades de la organización en cuanto al uso y tratamiento de la documentación, número de usuarios y otros muchos requerimientos. 

Algunos de los programas que pueden desarrollar infraestructuras de información y gestión de documentos bajo la filosofía de la nube privada*:

*También algunos de estos recursos ofrecen servicios en la nube pública.

Y para ampliar información: