La seguridad de la información es un tema multidisciplinario, inmerso en la evolución misma de los procesos de negocio y gestión de la información de las organizaciones. Es por ello que requiere de una visión integradora, entre todas las variables que la componen, dada la propia dinámica del mundo corporativo y los entornos gubernamentales.

Por lo tanto, quienes dedicamos todo nuestro esfuerzo y capacidad en el análisis y resolución de esta problemática, debemos entender la importancia de realizar una revisión tanto conceptual como práctica de la seguridad de la información. Donde los aspectos tecnológicos ocupan un lugar importante, ya sea por el desarrollo e implementación de nuevas tecnologías de la información y las comunicaciones en todo tipo de organizaciones, como así también por las fallas y errores de seguridad que las mismas presentan. Pero la seguridad no debe remitirse solo a la tecnología, ya que este pensamiento sería muy disperso, dado que los sistemas informáticos siempre presentarán nuevas vulnerabilidades, lo esencial es comprender que éstas se vuelven aún más críticas si no existe una conciencia corporativa sobre la seguridad de la información, que se evidencie en el comportamiento cotidiano de los usuarios que gestionan los activos de las organizaciones.

La seguridad es un proceso holístico que no puede ser abordado tan solo con soluciones de tipo tecnológicas, sino que debe ser afrontado de modo sistémico sobre todos los elementos que hacen a la interacción cotidiana entre el uso de las tecnologías, los recursos humanos que las utilizan y las organizaciones que las contienen para sus procesos de gestión de la información en un contexto global determinado.

Mientras las relaciones entre los procesos de negocio y la seguridad en la gestión de la información, no se encuentren íntimamente ligadas, la seguridad de la información no podrá ser considerada como valor agregado del negocio, y por ende no se podrá crear una verdadera conciencia corporativa al respecto. Mucho menos trasladarla a las acciones necesarias de “administración, resguardo y protección” por parte de los usuarios de cada organización.

Actualmente muchas organizaciones abordan la seguridad de la información desde un punto de vista formal, con sólidas estrategias, directrices y políticas de seguridad, haciendo cumplir las mismas de modo estricto, pero a su vez existen aquellas que solo entienden la seguridad de la información como “algo que hay que hacer”, ya sea por obligaciones de certificación y/o el cumplimiento de normativas vigentes, o bien por iniciativas aisladas del área de tecnología, también suele manifestarse por cuestiones reactivas ante la ocurrencia de algún siniestro o bien un evento ilícito, que transforma la problemática de seguridad en un tema para la discusión de la alta gerencia. De todos modos, si no se llega a entender que la seguridad de la información debe ser abordada de manera global por toda la organización, integrando a los usuarios con las políticas de seguridad y a su vez el uso de las tecnologías con el resguardo de la información, en el contexto de la gestión del negocio, cualquier tipo de solución que se implemente será una simple quimera.

Es necesario concientizar sobre la verdadera dimensión de la seguridad de la información en su íntima relación con los procesos del negocio, a los efectos de generar una conciencia colectiva propia de la organización, con el objeto de que la seguridad se cristalice en las acciones cotidianas de los usuarios de la información, transformando el cumplimiento de las políticas y procedimientos en beneficios tangibles. De este modo, la seguridad de la información se vuelve una experiencia corporativa, la cual comienza en los recursos humanos que gestionan los datos, continua en los procesos del negocio, en el contexto de un flujo determinado de la información, para luego ser monitoreada por los propietarios de la información, desde las diversas áreas que correspondan.

Por tal motivo la seguridad de la información requiere de un constante control, auditando el efectivo cumplimiento de las normas, procedimientos y planes adoptados, en el contexto de una conciencia corporativa de seguridad. A partir de la cual toda nueva implementación es previamente analizada desde el aspecto de seguridad, más allá de la funcionalidad de cada tecnología, los desarrollos son analizados desde el aspecto de seguridad y así sucesivamente, logrando que los usuarios de la información encuentren un sentido práctico al acatamiento de la directriz general de seguridad de la información y en definitiva la conciencia corporativa exista por si misma, mas allá de la tecnología.

Las organizaciones deben analizar la dinámica del negocio y sus flujos de información, para determinar cuales son sus principales riesgos, a su vez deben realizar profundos estudios sobre el impacto que generaría en su negocio/modelo de gestión, la ocurrencia de siniestros y/o ataques contra la integridad, confidencialidad y disponibilidad de sus datos, la continuidad de sus servicios o bien su propio prestigio, comprendiendo que la forma más efectiva de implementar “Seguridad de la Información” es llevarla al corazón mismo de su actividad: la mente de sus recursos humanos, responsables directos de la manipulación de sus activos de información.