La norma UNE-ISO de gestión de documentos en la nube

• Por María del Valle Palma Villalón, Miembro del Subcomité (SC)1 del Comité 50 de Documentación (UNE).

El Subcomité (SC) 1 del Comité 50 de Documentación de UNE ha publicado en 2021 el informe técnico UNE-ISO/TR 22428-1:2021. Gestión de documentos en entornos de computación en la nube. Parte 1: Cuestiones y consideraciones que corresponde al ISO/TR 22428-1:2020. Managing records in cloud computing environments — Part 1: Issues and concerns.

Este informe técnico sirve de orientación a instituciones y empresas que contratan servicios de gestión de documentos en la nube.

La gestión de documentos en la nube supone seleccionar un modelo adecuado de gestión de los documentos y la consideración de unos riesgos específicos y potenciales con antelación a su contratación. Las organizaciones han de ser conscientes de que gran parte de sus documentos son evidencias que han de gestionar y preservar en el tiempo.

Por tanto, este informe técnico tiene como objetivo proporcionar pautas a los profesionales y organizaciones que tienen la intención de adoptar servicios en la nube para la gestión de sus documentos con el objeto de reducir la probabilidad de que estos riesgos se materialicen. Actualmente puede que algunas organizaciones sean reacias a adoptar estos servicios debido al desconocimiento de sus riesgos y a consideraciones de seguridad y privacidad, por ello este informe técnico puede resultarles de utilidad.

La gran ventaja de los servicios en la nube es que pueden proporcionar el software, el hardware y la plataforma necesarios para implementar un sistema de gestión documental a un precio asequible.

Habitualmente los servicios generales en la nube no suelen satisfacer por completo los requisitos del proceso de gestión de documentos. Además, al estar distribuidos por todo el mundo, trascienden las fronteras nacionales, lo que puede causar conflictos y problemas legales que pueden ocasionar que los usuarios de la nube se puedan enfrentar a riesgos inesperados.

El modelo que se propone incluye a las partes interesadas, procesos, metadatos, arquitectura y casos de uso

Como existen varios tipos de servicios en la nube que ofrecen cada uno diferentes capacidades el cliente ha de seleccionar uno que sea adecuado a las características de la gestión de los documentos. En este informe técnico se explican estos tipos de servicios.

El modelo de parte interesada en la nube de este documento se basa en el modelo de servicio proporcionado por la ISO/IEC 17788 y lo extiende al dominio de la gestión de documentos. Este modelo de referencia se llama Arquitectura de Gestión de Documentos Orientada a Servicios (SORMA en su acrónimo en inglés), un término resultado de combinar SOA con la gestión documental.

Se describen los clientes del servicio de gestión de documentos en la nube, los proveedores de servicios de gestión de documentos en la nube y los socios de servicios de gestión de documentos en la nube.

Los proveedores de los servicios en la nube generalmente se clasifican como proveedores de los IaaS, proveedores de los PaaS y proveedores de los SaaS, según las capacidades que ofrezcan, y tienen los roles y responsabilidades necesarios para realizar una gestión de documentos digitales segura y confiable.

• Proveedor del SaaS de gestión de documentos – Un proveedor del SaaS de gestión de documentos es una parte que proporciona servicios de aplicaciones para la gestión de documentos.
• Proveedor del PaaS – Una de las funciones clave de un proveedor del PaaS es proporcionar una plataforma para desarrollar y ejecutar el SaaS de gestión de documentos de forma segura y fiable.
• Proveedor del IaaS – Los proveedores del IaaS proporcionan el hardware para el almacenamiento de datos, los servidores y las redes en forma de servicios.

Se describen estos servicios a los clientes y socios en relación a la gestión de los documentos en la nube. Cuando una organización se plantea gestionar sus documentos en la nube deberá seleccionar aquella combinación idónea entre estos modelos de gestión y categorías de los servicios en la nube que se ajusten a sus necesidades.

Es necesario tener en consideración que un proveedor del servicio en la nube de gestión de documentos debe ofrecer servicios que den apoyo a la totalidad o a parte de los procesos, desde la creación de los documentos hasta su disposición: creación y captura de documentos, clasificación e indización, control de acceso, almacenamiento de documentos, uso y reutilización, migración, disposición y traza de auditoría.

Para asegurar la autenticidad de los documentos guardados en la nube, los metadatos se deben gestionar de manera fiable, estos metadatos pueden clasificarse en metadatos de los documentos y metadatos del sistema generados por los servicios en la nube. Es importante que en el contrato se especifique la propiedad de ambos tipos de metadatos.

Por otra parte, en este informe técnico se describen los riesgos específicos de los sistemas de gestión de documentos, estos riesgos se dividen en:

• riesgos derivados de la naturaleza inherente de los servicios en la nube
• riesgos derivados del sistema en la nube
• riesgos causados por las partes interesadas.

Los clientes deben conocer estos riesgos de antemano y asegurarse de que el proveedor de servicios en la nube puede adoptar medidas contra ellos.

Finalmente se extiende en cuestiones sociales y legales de los servicios en la nube, como las cuestiones jurisdiccionales de datos transfronterizos, la incapacidad para hacer cumplir los términos contractuales, los términos de licencia no negociables, las cuestiones de propiedad de los datos y los conflictos entre los términos y las condiciones.