La información es uno de los activos más valiosos, sensibles y vulnerables para las empresas e instituciones de nuestro tiempo. Sin embargo, esta idea que para muchos puede resultar en cierto modo novedosa, fue esbozada por Francis Bacon en su obra Meditations Scare (1597) aseverando ‘ipsa scientia potestas est’, es decir, ‘el conocimiento es en sí mimo poder’; y, posteriormente, por el filósofo y escritor Thomas Hobbes en su archiconocida obra El Leviatán (1961), con la siguiente cita: ‘Quien tiene la información, tiene el poder’.
Sin embargo, y a pesar de que han transcurrido varios siglos desde que estos pensadores arrojaran luz sobre la vital importancia de la información, son muchas las organizaciones que carecen, a día de hoy, de un plan de contingencia de seguridad informática. Un instrumento más que necesario para hacer frente a las posibles amenazas y riesgos, como anomalías funcionales, vulnerabilidades e intrusión en los sistemas informáticos, que puedan llegar a comprometer la integridad de los diferentes activos de información — recogidos en la norma ISO 27001— y que son tan necesarios para lograr un adecuado nivel de operatividad organizacional.
Hoy más que nunca, el avance vertiginoso de las nuevas tendencias tecnológicas como la inteligencia artificial, el blockchain, la nube nativa, el Big Data, la malla de ciberseguridad, etc., está influyendo de un modo determinante en la configuración de una nueva economía, cultura y sociedad. Hasta tal punto que, como apunta Manuel Castells en su obra La era de la información. Economía, sociedad y cultura. La sociedad red (Vol. I), ‘lo que caracteriza a la revolución tecnológica actual no es el carácter central del conocimiento y la información, sino la aplicación de ese conocimiento e información a aparatos de generación de conocimiento y procesamiento de la información/comunicación (…)’.
Ante este escenario, las organizaciones, independientemente de su tamaño y del sector productivo al que pertenezcan, deben adoptar una posición proactiva a la hora de establecer un plan de seguridad informática, en torno al cual se articulen una serie de medidas de tipo preventivo o de respaldo, detección y recuperación.
Como punto de partida a la hora planificar la seguridad informática de una organización, se deberá realizar un análisis de los posibles riesgos y sus consecuencias. Posteriormente, se elaborará un plan de contingencia que recogerá todo un conjunto de medidas de actuación, para mitigar las posibles vulnerabilidades y, en caso de amenaza, definir las líneas de actuación. Este plan de contingencia será evaluado en diferentes auditorías, para tratar de detectar posibles deficiencias y subsanarlas. Finalmente, tras todo este proceso, se fijarán las políticas de seguridad corporativa, las cuales, serán revisadas y actualizadas de forma periódica para garantizar la confidencialidad, disponibilidad e integridad de la información.
Un proceso que pone de relieve tanto el valor de la información, como el papel de todo el personal que integra el departamento de TI de una entidad. Especialmente del CIO, su máximo responsable que, junto con el CEO, son los únicos actores corporativos que disponen de una visión transversal de todos los procesos y problemáticas que afectan a la organización, en un mercado cada vez más global y digital.
AuraQuantic
Director of Technology Analysis & Research
