El emergente sector de las tecnologías de la información y la comunicación no sólo ha sido un resultado más de ello, sino quizás su principal protagonista, pues ha transformado la manera de relacionarse las personas y de funcionamiento de las organizaciones, posibilitando que lo que ayer era una estrategia para ellas, hoy en día haya pasado a formar parte de su estructura o infraestructura. Uno de los muchos ejemplos de ello, es su uso en el sector de la banca, al acercar el banco a los clientes a través de las TIC. La banca virtual empezó siendo una estrategia más no exenta de incertidumbre; hoy en día sin embargo, no concebimos ningún banco que no haya asumido dentro de su infraestructura, cuando abre una oficina nueva, la instalación de un cajero, o bien simplemente facilitar el acceso al mismo a través de Internet.
Mi pregunta ahora es, la información para las organizaciones, ¿Es una estrategia o un activo sin el que no se concibe una organización? - como lo puede ser un vehículo, un edificio - y en función del valor que le demos, ¿Cuánto nos importa su seguridad?
Afortunadamente, empresas, instituciones y administración hace tiempo que aplican seguridad informática; sin embargo algo relativamente nuevo, es lo que afecta a la seguridad la información.
¿Cuál es la diferencia entre Seguridad de la Información y Seguridad Informática?
La Seguridad Informática es una característica concreta de cualquier sistema informático que nos indica que éste está libre de peligro, daño o riesgo. Podríamos concluir entonces diciendo que la Seguridad Informática consiste la implantación un conjunto de medidas técnicas destinadas a preservar la Confidencialidad, Integridad y Disponibilidad de la Información.
Para definir la Seguridad de la Información es necesario fijarse en la totalidad de información que se maneja en una organización. En la actualidad las empresas se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de fuentes, que pueden dañar de forma importante sus sistemas de información y sus activos - tanto documentales como informatizados - de información y pueden poner en peligro la continuidad del negocio.
De todo ello se deduce que una correcta política de Seguridad de la Información es aquel conjunto de medidas técnicas, organizativas y legales, que permiten a la empresa asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.
Podemos intuir que la gestión documental (digital o no) en las organizaciones, tiene más que ver con la seguridad de la información que con el conjunto de medidas técnicas.
Parece lógico pensar que las organizaciones coordinan esfuerzos técnicos, organizativos y legales, en el ejercicio de su actividad, si bien no suele ser tan común que esa coordinación se de desde el punto de vista de la seguridad, quizás por falta de apoyo y concienciación de la dirección, sin la cual no se podrá implementar con éxito un sistema gestión de seguridad de la información (SGSI).
Aclarados estos puntos, planteo otra pregunta, ¿Qué se debe perseguir con un SGSI, la mejor seguridad o la consistencia y coherencia de la misma?
La mejor seguridad continuamente está limitada por los recursos disponibles, lo que supone que muy pocas organizaciones puedan acceder a ella; sería un objetivo deseable, pero de difícil o de imposible alcance. La consistencia y coherencia de la seguridad debe ser nuestro objetivo plausible, definiendo previamente cómo tratar el riesgo: evitándolo, transfiriéndolo, reduciéndolo o asumiéndolo. Para lo cual los pasos estructurados serían:
Definiremos un ámbito.
Definiremos un alcance.
Haremos un inventario de Activos dentro del ámbito y el alcance.
Analizaremos los riesgos de la organización: intrínseco (a priori, antes aplicar contramedidas o elementos de reducción) y el residual (tras aplicar contramedidas).
Implantaremos el SGSI.
Elaboraremos un plan de continuidad de negocio.
¿Qué tiene que ver la certificación en todo esto y qué me aporta?
Hoy en día en España se puede certificar el sistema de gestión de seguridad de la información de cualquier entidad en base a las normas UNE 71502:2004 y/o ISO/IEC 27001, si bien son muchos los organismos que en cada país, han desarrollado normas y estándares propios: el NIST en EEUU, UKAS en Reino Unido, etc. La certificación sigue una metodología procedimental basada en 127 controles en el caso de la UNE 71502 y 132 en el caso de ISO 27001, y ahí es donde precisamente reside el valor de la misma, en el establecimiento de un marco de actuación en la aplicación de la seguridad.
¿Y todo ello para qué?
Obviamente para conseguir alcanzar la excelencia en la Seguridad de la Información, estableciendo, como su propio contenido indica, controles, o lo que era lo mismo cuando sólo hablábamos de Seguridad de la Información, alcanzar el objetivo plausible de la consistencia y coherencia de la seguridad. Por lo tanto debemos también hacer de la certificación, un elemento riguroso de control y supervisión de la seguridad.
La información es un elemento vivo en las organizaciones, y de igual modo un SGSI sigue varias fases: planificación, implantación, testeo y la corrección del mismo, en un ciclo denominado PDCA. Todas ellas estarían presentes en cualquier ámbito que defina el SGSI, incluido el proceso de gestión documental.
Seguridad de la información y gestión documental
La gestión documental es uno de los procesos críticos en el mapa de circulación de la información de una compañía, y en muchas ocasiones está asociada a redes de colaboración, atendiendo la demanda de información de los usuarios, mediante el almacenamiento, la captura e indexación de documentos, recuperación y seguimiento de información, gestión de contenidos, entrega de notificaciones y automatización de flujos de trabajo en asignación de tareas.
Las organizaciones necesitan completas soluciones que permitan gestionar la información disponible para hacerla accesible, dentro de su ciclo de vida, bajo estrictos controles de seguridad.
La definición de documentos dentro de una organización contempla todo tipo de información desestructurada que se produce o se recibe en el ejercicio de su actividad (esto incluye facturas, borradores, actas, fichas de servicio, informes, notas de prensa...).
La implantación de un sistema de gestión documental es un elemento clave en la actividad de la empresa, tanto en grandes organizaciones como en la pequeña y mediana empresa. En este sentido el alcance de la solución es muy amplio pasando desde el simple archivo masivo de documentos hasta el análisis de la información y gestión del conocimiento.
En general un sistema de gestión documental deseable tendría características como las siguientes:
Flexibilidad en la captura de todo tipo de de documentos.
Potentes herramientas de indexación, catalogación y clasificación.
Potentes sistemas de búsqueda, localización y recuperación pertinente de la información.
Versatilidad en la visualización de documentos.
Integridad y seguridad de los documentos.
Eficiencia en los procesos de producción, utilización y conservación o eliminación de los documentos, mediante la utilización de prácticas y procedimientos normalizados.
Capacidad de gestión para el flujo de trabajo documental lo que supone la capacidad de establecer ciclos de aprobación, alertas y procesos de trabajo.
Escalabilidad (gestión de nuevos usuarios, nuevos procesos, nuevas entidades…).
Integración con la informática corporativa y con tras soluciones (ERP, CRM…).
No cabe duda, de que un adecuado sistema de gestión documental produce beneficios inmediatos a la organizaciones, es necesario pues establecer una adecuada gestión del ciclo de vida completo de los documentos, es decir un tratamiento ordenado y lógico, desde el momento en que se crean o se reciben hasta el momento en que son conservados o eliminados dependiendo de las políticas que tenga cada organización. Una vez que completemos de forma normalizada la gestión documental se puede pasar a la gestión de información y posteriormente alcanzar la gestión del conocimiento. Eso sí, la seguridad en la gestión de esa información es el camino para ello.
