Seguridad de la información y Gestión de documentos: disciplinas convergentes

Proteger la información es una necesidad clave en cualquier organización. Cada vez son más frecuentes las noticias y evidencias de ciberataques y los intentos de desestabilizar las actividades de las organizaciones, con el fin de afectar no sólo a sus actividades de negocio, sino también a su prestigio y reputación. Los riesgos potenciales han crecido de manera continuada con la incorporación de nuevas tecnologías, el uso de dispositivos móviles y prácticas como el teletrabajo.

Las organizaciones relacionadas con la gestión del patrimonio documental no son ajenas a estos riesgos. Aunque podamos tener la sensación de que estas entidades no se encuentran entre los principales objetivos de los ciberataques, varios casos recientes alertan de la necesidad de establecer medidas preventivas. Entre los más significativos se puede citar el ataque que sufrió la British Library en octubre de 2023. La principal biblioteca británica sufrió un ataque de tipo ransomware por un grupo llamado Rhysida que no sólo afectó a la disponibilidad del catálogo, sino que permitió el robo de datos personales de sus usuarios (en torno a unos 600 Gb), con un proceso de recuperación costoso en tiempo y en recursos económicos. Ese mismo mes la Toronto Public Library sufrió un ataque con objetivos similares (sustracción de datos personales), y apenas un mes antes la red de bibliotecas de Delaware vio seriamente afectada la continuidad de sus servicios y operaciones internas. Unos años antes el artículo Cybersecurity and libraries (2018) – resumido en el blog de la Biblioteca Nacional de España – se hizo eco del ataque a la red de bibliotecas públicas de Saint Louis, e incluso la Library of Congress se ha visto afectada por distintos ataques.

Ciberseguridad y Seguridad de la información

La ciberseguridad, enfocada en la prevención ataques principalmente externos, es parte de una estrategia más amplia: la gestión de la seguridad de la información, disciplina en la que los profesionales de la información y documentación deben ser parte activa. La relación y las similitudes entre ambas disciplinas se observa en las principales normas internacionales que usan como referencia, concretamente la ISO 15489-1 y las familias de normas ISO 30300 e ISO/IEC 27000.

Todas ellas parten del hecho de que la información – codificada en distintos medios y soportes – es el principal activo de las organizaciones. También coinciden en señalar que la protección de la información y de los documentos consiste en salvaguardar una serie de características:

• ISO 15489-1 establece cuatro características de los documentos fidedignos: autenticidad, fiabilidad, integridad y usabilidad, todas ellas definidas en la ISO 30300, que recoge los conceptos y el vocabulario utilizado en la familia de normas ISO 30300.La integridad se refiere a que un documento esté completo e inalterado, mientras que la usabilidad hace referencia a que los documentos puedan ser localizados, recuperados, presentados e interpretados. Por otra parte, la autenticidad requiere que los documentos “sean lo que afirman ser y que se hayan creado por el agente que afirma haberlo hecho, en el momento en el que se afirma”.

• ISO/IEC 27001 contempla tres características o dimensiones que se deben resguardar: confidencialidad, integridad y la disponibilidad.
  La integridad es un concepto equivalente en ambas normas, y es fácil observar la semejanza entre la usabilidad de las normas de gestión de documentos y la disponibilidad de ISO/IEC 27001.
  La confidencialidad de ISO/IEC 27001 guarda relación con algunos requisitos de ISO 30301, concretamente con tres de los controles que se establecen su anexo normativo Requisitos operacionales para los procesos, los instrumentos y las aplicaciones de gestión de documentos:

• • 2.5 Reglas de acceso y permisos: Las reglas de acceso a los documentos se deben establecer, documentar y mantener durante todo el tiempo que los documentos se requieran.
  • 2.6 Reglas de acceso y permisos. Las reglas de acceso en las aplicaciones de gestión documental se deben implementar para asignar un estatus de acceso tanto para los documentos como para los individuos.
  • 3.8 Acceso. Se deben establecer, documentar y mantener las reglas para el acceso a las aplicaciones de gestión de documental para llevar a cabo tareas de administración del sistema.

No es esta analogía la única que encontramos entre estas normas. ISO 30301 hace referencia explícita a la seguridad de la información en el control A.3.1 Integridad/ seguridad, que señala que “las aplicaciones de gestión de documental deben garantizar la integridad/seguridad de los documentos para prevenir el uso, la modificación, borrado, distribución, ocultamiento y/o destrucción no autorizadas de los mismos.”

Si, además de ISO/IEC 27001, se considera otra referencia fundamental en España, el Esquema Nacional de Seguridad (ENS), a las dimensiones confidencialidad, integridad y disponibilidad se debe añadir la trazabilidad y la autenticidad, también tratada en ISO 15489-1.

La familia de normas ISO/IEC 27000

Se trata de una serie o familia de normas, siendo la más importante la ISO/IEC 27001, que establece los requisitos para los sistemas de gestión de la seguridad de la información y una serie de controles que deben implementarse. De estos controles se ofrece información detallada en la ISO/IEC 27002, organizados en distintos grupos: organizacionales, personas, infraestructura y tecnología.  Al tratarse de una norma de sistemas de gestión, ISO/IEC 27001 presenta la misma estructura de capítulos que ISO 30301, por lo que los lectores conocedores de esta última ya estarán familiarizados con conceptos como las políticas, la apreciación del riesgo, auditorías o mejora continua, entre otros.

Un aspecto importante es que ISO/IEC 27001 no limita su alcance a la ciberseguridad. Se propone un enfoque más amplio. Implementar un sistema de gestión de seguridad de la información requiere analizar qué activos se debe proteger (datos, documentos y servicios) y completar una apreciación de los riesgos que pueden afectar a sus características esenciales. Esta aproximación también está presente en las principales metodologías para el análisis de riesgos de seguridad, destacando entre ellas MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), desarrollada por la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica del Ministerio de Hacienda y Organizaciones Públicas, y ampliamente utilizada en la administración pública española.

La identificación de activos de información, el análisis de riesgos y la gestión de distintos tipos de activos tecnológicos (aplicaciones software, infraestructuras, dispositivos de almacenamiento, etc.), son actividades básicas en el diseño y evaluación de sistemas para la gestión de documentos. Los controles de ISO/IEC 27001 también hacen referencia a la necesidad de definir pautas para la clasificación y el etiquetado de los activos de información “en función de la confidencialidad, integridad, disponibilidad y los requisitos pertinentes de las partes interesadas”, también una práctica consolidada en la gestión de documentos.

Se observan así numerosas conexiones entre ambas disciplinas, y aspectos coincidentes que denotan su permeabilidad. La gestión de documentos y las estrategias de preservación pueden y deben complementarse con la aplicación de controles de seguridad de la información como los definidos en ISO/IEC 27001, y la implementación de un sistema de gestión de seguridad de la información puede beneficiarse de las prácticas de gestión de documentos y de la experiencia de sus profesionales. Su comprensión de los activos de información, sus métodos de análisis, normas y pautas de trabajo constituyen puntos de partida sólidos para establecer un programa de seguridad de la información.

Referencias

Angulo, Esther. Ciberataques en bibliotecas: una amenaza creciente [en línea]. Biblogtecarios, 27 marzo 2024. [Consulta: 30 noviembre 2025]. Disponible en: https://www.biblogtecarios.es/esterangulo/ciberataques-en-bibliotecas

Ciberseguridad y bibliotecas [en línea]. El Blog de la BNE, 8 mayo 2024. [Consulta: 30 noviembre 2025]. Disponible en: https://www.bne.es/es/blog/biblioteconomia/ciberseguridad-bibliotecas

España. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I – Método [en línea]. Madrid: Ministerio de Hacienda y Administraciones Públicas, 2020.

Disponible en: https://pilar.ccn-cert.cni.es/docman/documentos/1-magerit-v3-libro-i-metodo/file

Jasper Hamill. British Library reveals £400,000 plan to rebuild after «catastrophic» ransomware attack: World-famous library is still battling to recover from an incident described as one of the worst in British history [en línea]. The Stack, 21 agosto 2024. [Consulta: 30 noviembre 2025]. Disponible en: https://www.thestack.technology/british-library-ransomware/

UNE. Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información (SGSI). UNE-EN ISO/IEC 27001:2023. Madrid: AENOR, 2023.

UNE. Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información. UNE‑EN ISO/IEC 27002:2023. Madrid: AENOR, 2023.

UNE. Información y documentación. Gestión de documentos. Parte 1: Generalidades. UNE‑ISO 15489‑1:2016. Madrid: AENOR, 2016.

UNE. Sistemas de gestión para los documentos. Fundamentos y vocabulario. UNE‑ISO 30300:2021. Madrid: AENOR, 2021.

UNE. Sistemas de gestión para los documentos. Requisitos. UNE‑ISO 30301:2019. Madrid: AENOR, 2019.