La información es actualmente uno de los principales activos de las empresas. Es necesario protegerla de un modo inteligente preservando su seguridad en sentido amplio:
- Confidencialidad es garantizar que la información esté disponible exclusivamente para personas autorizadas.
- Integridad es garantizar que la información sea completa, precisa y protegida contra cambios no autorizados.
- Disponibilidad es garantizar que la información esté disponible y se pueda usar cuando se necesite.
- Cumplimiento es garantizar que la información y sus tratamientos se adecúen a la legislación vigente.
La seguridad de la información en la empresa no se ubica tan solo en el hardware, software y configuraciones técnicas, fundamentalmente consiste en el análisis corporativo de la misma, su impacto en las guidelines y en los procesos de negocio, lo cual comporta una disección y categorizando de la información conforme a criterios empresariales.
Este análisis, con indicación de los posibles riesgos, contribuirá a valorar y decidir las medidas a aplicar para la prevención aceptable de los mismos y a costes aceptables.
En esa línea se pronuncia también la regulación vigente en materia de protección de datos, al considerar que las medidas a aplicar deben basarse en tres ámbitos, todos ellos necesarios:
- Ámbito organizativo.- fundamental para definir y mantener un Sistema de Gestión de la Seguridad de la Información (SGSI). Es necesario la gestión y actualización del sistema globalmente para que el mismo sea eficaz y completo con el paso del tiempo.
- Ámbito técnico.- implementación de los controles que surgen como consecuencia de desarrollar el ámbito organizativo.
- El ámbito jurídico surge ante la necesaria observancia y cumplimiento legal. Cada vez aparece más regulación que afecta al Derecho TIC. Y a la “responsabilidad corporativa” por “omisión de las medidas de control”.
Independientemente de la obtención de la certificación final, se obtienen los beneficios directos por el establecimiento del alcance y objetivos definidos.