SIC

No hace falta decir que una política de seguridad de la información debería prestar una atención preferente a los riesgos generados por el uso de las tecnologías y de los sistemas y redes. Tampoco hace falta decir que para saber si es necesaria, convendría analizar los riesgos. ¿Qué entidad debería de responsabilizarse de la ejecución de dicho análisis? ¿Y de que se identifiquen procesos y se apliquen controles? ¿Quién o quiénes deberían realizar una labor de clasificación de la información en orden a su disponibilidad, integridad y confidencialidad, respetando, por supuesto, las acotaciones que establece en este sentido la legislación vigente?
Es un hecho que la apuesta por la llamada administración electrónica, con lo que conlleva de intensificación del uso de TIC por las propias administraciones, por las entidades privadas colaboradoras de las administraciones y por parte de la ciudadanía, va a incrementar notablemente el escenario de riesgo.
Y una política clara, realista y establecida para poder cumplirse, quizás debería tener un alcance superior al de la llamada administración electrónica y al acotado para los datos de carácter personal. Pero para discutirla y cocinarla es menester tener datos sobre lo que se percibe que pasa, lo que realmente va pasando y lo que puede pasar –todo el presupuesto que se habilite para este fin, bien invertido estará, no lo duden–.
Así pues, no parece este mal momento para ponerse manos a la obra, y dar a la creación de CERTs –últimamente tan activa–, y a la sociedad (que somos todos), en la manera y en el margen que nos permitan las iniciativas de la UE, una pieza global y coherente que aclare el panorama de tanta legislación aislada, que haga posible una aplicación cierta y eficiente de las directrices de la OCDE y que, por ejemplo, indique que cada ministerio debe disponer de una organización formalmente constituida y específica para gestionar los riesgos de información con mayor eficiencia, si cabe. Es, simplemente, una cuestión de cultura de seguridad.