Casi todos los documentos confidenciales son redactados y revisados por un equipo de trabajo de múltiples partes. Por ejemplo en un contrato o participan ambas partes (el contratante y el contratado) y sus respectivos asesores legales. Participan al menos cuatro partes y probablemente más de 8 personas distintas.

Analicemos los riesgos de que una persona no autorizada obtenga una copia del documento:

Podemos guardar el documento en un servidor con todas las seguridades y candados electrónicos posibles. Sin embargo la tarea requiere que varias partes tengan acceso al documento, es necesario compartir este documento. Para ello el vehículo más utilizado es el correo electrónico y en consecuencia se depende de la seguridad del correo electrónico de al menos cuatro organizaciones distintas, con políticas de seguridad diferentes e inclusive en muchos casos inexistentes. Cualquier persona que tenga acceso a la cuenta de correo de uno de los involucrados, por ejemplo la secretaria de uno de los asesores legales, ya constituye un riesgo de seguridad.

Cada vez que se hacen modificaciones a un documento, se produce una copia que se distribuye en el grupo de trabajo. Esto aumenta las posibilidades de encontrar el documento confidencial para el espía. Cuando se retira una persona del equipo que puede ver el documento, este mantiene todas las copias anteriores en su bandeja de entrada del correo electrónico y en su disco duro.

La seguridad de acceso a un documento compartido no es un tema tecnológico, es un tema de confianza en el personal, procedimientos adecuados y capacitación en la realización de los procedimientos y la tecnología que la soporta.

Los métodos más tradicionales se enfrentan a mayores riesgos. Por ejemplo imprimir el documento, o transmitirlo mediante CD o memoria USB lo único que provoca es aumentar el número de personas con acceso al documento. El que imprime el documento, si es que no encarga al asistente que lo imprima y lo coloque en un sobre, lo entregará a la secretaria, para que ella a su vez lo entregue al mensajero, quien lo entregará al departamento de mensajería del receptor, y luego al repartidor, y luego a la secretaria y finalmente al destinatario. El riesgo se multiplica por tres, pues son cuatro partes (el que la genera y los 3 que la reciben). Cada vez que un documento físico cambia de mano, corre el riesgo de ser vulnerado o perdido.

Ahora, analicemos la situación utilizando un documento compartido en Google Docs: 

Bajo este esquema no existen copias del documento, ni por correo electrónico ni en los discos duros de los integrantes del equipo de trabajo de cada parte. El riesgo principal es que una persona no autorizada conozca la contraseña de uno de los integrantes, ahora este riesgo es idéntico a compartir el documento por correo electrónico. Si los integrantes del equipo están adecuadamente capacitados y sus computadoras libres de programas espía, este riesgo se elimina.

Con Google Docs es posible impedir que los integrantes descarguen el documento a sus computadoras, lo que impide la producción de copias. Claro que si la integridad de uno de los miembros del equipo es baja, este puede copiar y pegar el texto en otro archivo, pero este riesgo está igualmente presente bajo todos los esquemas de transmisión del documento incluyendo el físico.

Con Google Docs también es posible retirar el acceso al documento a una persona. Como no existen copias del documento, tampoco existe el riesgo de que copias anteriores sean distribuidas.

Finalmente un pequeño extra de Google Docs: No es posible deshabilitar el control de cambios (historial) del documento en Google Docs. Este está siempre activo.

En conclusión: contrario a la percepción de seguridad que da almacenar documentos en un centro de cómputo propio con los más elevados estándares de seguridad, la seguridad de compartir un documento en la nube con Google Docs a personas selectas, es mayor que el de administrar este documento en servidores propios.

La capacitación en seguridad informática que necesitan recibir las personas para que su información en la nube sea segura, privada y confidencial es mucho menor a la que se requiere para manejar la confidencialidad por otros medios. Los procedimientos que las personas deben seguir para manejar documentos confidenciales en la nube son mucho más sencillos que los que se requieren para mantener la confidencialidad en otros medios. No olvidemos que los procedimientos más simples son los más seguros y los que mayor consistencia producirán en los resultados.