Tener políticas y cumplirlas |
||
|
||
No
basta con disponer de una buena política de seguridad de la información
aprobada al más alto nivel –lo que ya es mucho para lo que
gastamos en España–, sino que es necesario activarla y verificar
su cumplimiento en todos los ámbitos afectados, estableciendo controles
eficaces y auditables que permitan tener una certeza de que las cosas van
razonablemente bien, o sea, que se pueda decir profesionalmente, y en un
momento dado, que los riesgos de la empresa –incluidos los vinculados
con las TIC y su seguridad– están correctamente identificados
y gestionados, incluidos los de incumplimiento de la legislación
vigente, la debida protección de los intereses de empleados, accionistas,
clientes y terceros, y el posible quebranto del buen nombre de la entidad
por la trascendencia social de la divulgación de tal o cual hecho. Para conseguir este casi inalcanzable objetivo es muy importante disponer hoy de una organización de seguridad de la información bien dimensionada y con medios adecuados, en la que ocupen un lugar muy relevante profesionales de TIC y de seguridad TIC. Pasa sin embargo que en esta tierra, y salvo honrosas excepciones, todavía hay muchas organizaciones privadas y públicas cuya dimensión y calado están pidiendo a gritos el establecimiento y delimitación de las funciones de seguridad de la información y de seguridad TIC. Y en este frente hay que prosperar, porque si no, sobran los discursos sobre las buenas prácticas en la gestión de las empresas. |
||
|