La aplicación empresarial de los derechos digitales
A estas alturas de la película, somos o deberíamos ser muy conscientes de que, con permiso de las personas, la información que manejamos es el activo más valioso de las organizaciones. La protección de esta información de la que depende la ventaja competitiva de muchas empresas se convierte, por tanto, en pura estrategia de supervivencia en el medio plazo.
En el plano táctico, estamos asistiendo a una paulatina transición de proteger el continente (hardware) a la protección del contenido (la información en sí misma). Yo puedo establecer sistemas de protección de mi PC pero, sin duda, lo que me preocupa es en última instancia es el fichero Word donde almaceno todas mis contraseñas, por ejemplo, o impedir que mi plan estratégico residente en una hoja Excel acabe en manos inapropiadas.
La gestión de derechos digitales (DRM, digital rights management) es un concepto que engloba todas las tecnologías cuyo objetivo es establecer restricciones sobre los usuarios de un sistema o forzar los derechos digitales asignados por parte de los autores o propietarios de un determinado contenido o activo digital. Algo así como que un determinado archivo (un fichero MP3, un vídeo o una hoja de Excel, por ejemplo) sólo puede ser abierto por mí (que he pagado una licencia para su reproducción) y por nadie más. Se asigna una licencia única para disfrute individual, resultando imposible que otra persona lo pueda leer, imprimir o, ni siquiera, capturar como pantallazo. Con el contenido que recibo, obtengo de manera protegida (cifrada) una licencia que especifica el uso del mismo. Por ejemplo, que sólo lo pueda escuchar una vez, sólo durante un tiempo determinado, que sólo lo pueda ejecutar en un dispositivo determinado, que no pueda reenviarlo o que me vea obligado a desembolsar un micropago si lo quiero escuchar, por ejemplo.
Basados en técnicas criptográficas, un sistema DRM es una combinación de contenido cifrado y de un conjunto de reglas que determinan quién puede acceder al contenido, cuándo y bajo qué circunstancias. Este sistema se usa en modelos de negocio como iTunes de Apple, con el objetivo último de que, respetando todos los legítimos derechos de los intervinientes en una creación musical, resulte finalmente más fácil comprarlo que robarlo.
Caballo de batalla de la industria audiovisual, que ve en la gestión de los derechos digitales una necesidad imperiosa para encauzar el laberinto P2P, su aplicación en entornos corporativos resulta igualmente de enorme interés y de amplia casuística de aplicación práctica: a determinados documentos confidenciales de la compañía se les puede asignar una política que establece quién puede, ver, editar, imprimir o enviar por correo electrónico dichos documentos. Las personas que intenten abrirlos han de validarse contra un servidor que almacena los derechos de acceso definidos para el documento, según los criterios establecidos por la dirección general. Si el documento es enviado por correo electrónico (por error o malintencionadamente) a un receptor (interno o externo a la organización) no autorizado para su apertura, simplemente, no podrá ni leerlo, ni editarlo, ni imprimirlo, ni siquiera capturar un pantallazo. Se puede establecer que un determinado documento sólo pueda ser leído desde las 09:00 hasta las 10:00 del 18 de mayo de 2007, por ejemplo; o sólo durante 15 minutos; o durante un año desde que se le asignaron los derechos de acceso o desde que fue abierto por primera vez.
Tal vez otra de las aplicaciones de mayor interés sea la protección de la información en el cada vez más amplio abanico de dispositivos portátiles de almacenamiento (ordenadores, memorias USB, PDA, móviles, etcétera). Uno de los mantras de la movilidad es la utilización de la información desde cualquier dispositivo, de la misma forma que uno de los ingredientes de la conciliación vida laboral y profesional son amplias dosis de teletrabajo.
El estilo de trabajo actual hace que sea cada vez más frecuente utilizar estos dispositivos móviles, luego ¿qué sucede con la información que un empleado tiene en su casa cuando éste es despedido? En empresas basadas en el conocimiento, como la consultoría, los servicios profesionales, la abogacía, etcétera, ¿cómo impido que mis empleados, en un mal cuarto de hora, se apoderen de información confidencial de la organización que pueda ser utilizado en contra de la compañía? Recientes casos aparecidos en los medios de comunicación han puesto de relieve lo que puede suponer para una compañía la pérdida de un portátil. Pues bien, si los documentos almacenados en dicho portátil estuvieran protegidos por políticas DRM, nadie no autorizado podría tener acceso a ellos.
Es más, si esta información se almacenara en un llavero USB, en caso de pérdida y posterior recuperación por alguien, quien intentara acceder a la documentación sujeta a derechos digitales vería registrada la dirección IP del ordenador desde donde se ha intentado acceder a los documentos.
Pero tal vez el control más efectivo aportado por los sistemas DRM es la protección de la información confidencial en el caso de despido de personal. Cuando dos meses después de ser despedido, un ex empleado intente acceder a la documentación que obra en su poder, no sólo no podrá abrirla, sino que su intento de acceso quedaría grabado en un log, de control de visitas de la empresa, que podría ser utilizado en su contra. Por ende, sería una buena prueba de incumplimiento de acuerdos de confidencialidad.
Por último y no menos importante, determinada información puede quedar aislada de los administradores de sistemas, auténticos sheriffs de las máquinas o contenedores de la información. Bajo un DRM, un administrador, aun teniendo acceso irrestricto a la máquina, tampoco podría tener acceso a determinado contenido, al estar excluido de su visualización.
En resumen, los sistemas de derechos digitales establecen un ciclo de vida de un documento, desde su creación hasta su retirada de circulación, estableciendo las reglas de uso del mismo, incluyendo su tiempo de uso y los usuarios o grupos de usuarios que tienen acceso a él. La frase 'esta grabación se autodestruirá en 10 segundos' deja de ser la quimera de Mortadelo y Filemón para convertirse en realidad empresarial.
Fernando Aparicio. Director Cátedra de Riesgos en Sistemas de Información del IE Business School