04.01.2012
La Seguridad de la Información en las organizaciones

En la última década, con la automatización de procesos y el ingreso de la tecnología de punta a todo nivel en nuestras organizaciones, se ha visto incrementado el nivel de vulnerabilidad a la cual está expuesta la información, siendo este aspecto uno de los factores de riesgo más importantes actualmente y que puede repercutir en la operatividad de una empresa.

Comprendiendo que la información es uno de los principales activos en una organización, nuestro primer objetivo deberá ser el poder concientizar a nuestros colaboradores en el uso, administración y control de la información que manejan dentro y fuera de la misma; así como también el revertir el concepto de asociar al área o departamento de sistemas como el único responsable de su aplicación.

En el Perú, un porcentaje considerable de las empresas formales todavía no tiene claro cuál es el alcance del concepto de seguridad de la información y como puede esta impactar en sus operaciones diarias, a pesar que el concepto puede estar inmerso en aspectos tan generales como la Cultura Organizacional.  Un ejemplo de esto se da en nuestra vida cotidiana, en donde de forma directa o indirecta estamos acostumbrados a conversar con nuestros familiares o amigos sobre nuestra jornada laboral y sin pensarlo involuntariamente estamos quizás divulgando información confidencial o estratégica de nuestra organización sin medir el impacto o repercusión que pudiera estar asociado. (Riesgo: “Fuga de Información”).

Es así como el sólo hecho de fomentar la concientización y formación de buenas practicas (hábitos) en relación a la seguridad de información, debiera convertirse en el inicio de su aplicación en nuestras organizaciones.  Nuestros colaboradores deben comenzar a entender  y a interiorizar que la información de la empresa en general a la cual tienen acceso, es tan o más reservada aún que su propia información personal y que como tal deberá ser protegida. El fomentar la implementación de estas buenas prácticas a futuro permitirá a la organización la aplicación de normativas y controles de una forma natural.

A nivel sistemas, el concepto de seguridad de la información se encuentra estrechamente vinculado a casi todas las actividades que esta realiza, como ejemplo si nos refiriéramos solo de las actividades de salvaguarda de la información, estas no sólo deberán estar cubiertas por procedimientos claros y definidos de respaldo y recuperación y el detalle técnico asociado; sino también deberán cubrir los riesgos operacionales asociados a la perdida de la información, con una medición del impacto de la misma, identificando las operaciones claves y las actividades de remediación asociadas que nos permitieran cubrir la operativa de la organización.
En tal sentido, este alcance ya no sólo abarcara la solución técnica que pudiera ser cubierta por nuestra área de sistemas, sino que ahora comprenderá del análisis y revisión de los procesos de negocio, su información e impacto y con una participación activa multifuncional.

Queda claro entonces, que todos aquellos conceptos asociados a seguridad de la información, dejaron de ser netamente un tema del área de sistemas o TI (tecnología de la información) y pasaron a convertirse en una responsabilidad que debe ser motivada y liderada por la alta dirección de la empresa.  

Dentro del ámbito legal, sólo algunos sectores se encuentran regulados bajo normativas con aspectos relacionados a la seguridad de la información, como es el caso de bancos, entidades financieras y asociación de fondo de pensiones (AFP’s), quienes deberán de cumplir con lo estipulado vía reglamento por la Superintendencia de Banca ,Seguros y AFP’s (SBS).  Para el sector industrial, en muchos casos se vienen implementando ciertos parámetros y estándares de trabajo, que aplican a controles a nivel seguridad de la información, pero orientados al concepto de seguridad industrial.  Para el resto de las empresas privadas, se espera que en los próximos años la reglamentación aplique en forma general a todos los sectores tanto públicos como privados, por lo que se recomienda que las empresas puedan iniciar en un corto plazo la aplicación y difusión de estos conceptos, a fin de poder adaptarse y estar preparadas para el cumplimiento de la reglamentación futura y en salvaguarda de su crecimiento y sostenibilidad.





María Acevedo
Gerente information technology
Grant Thornton Perú