Tener políticas y cumplirlas

No basta con disponer de una buena política de seguridad de la información aprobada al más alto nivel –lo que ya es mucho para lo que gastamos en España–, sino que es necesario activarla y verificar su cumplimiento en todos los ámbitos afectados, estableciendo controles eficaces y auditables que permitan tener una certeza de que las cosas van razonablemente bien, o sea, que se pueda decir profesionalmente, y en un momento dado, que los riesgos de la empresa –incluidos los vinculados con las TIC y su seguridad– están correctamente identificados y gestionados, incluidos los de incumplimiento de la legislación vigente, la debida protección de los intereses de empleados, accionistas, clientes y terceros, y el posible quebranto del buen nombre de la entidad por la trascendencia social de la divulgación de tal o cual hecho.
Para conseguir este casi inalcanzable objetivo es muy importante disponer hoy de una organización de seguridad de la información bien dimensionada y con medios adecuados, en la que ocupen un lugar muy relevante profesionales de TIC y de seguridad TIC.
Pasa sin embargo que en esta tierra, y salvo honrosas excepciones, todavía hay muchas organizaciones privadas y públicas cuya dimensión y calado están pidiendo a gritos el establecimiento y delimitación de las funciones de seguridad de la información y de seguridad TIC. Y en este frente hay que prosperar, porque si no, sobran los discursos sobre las buenas prácticas en la gestión de las empresas.

Documento en PDF
 

<volver