¿Es lo mismo seguridad informática que seguridad de la información? Aunque son dos conceptos semejantes no deben de confundirse:

Se entiende por seguridad de la información las medidas que adopta una organización para proteger los datos tanto referidos a personas, como los tecnológicos u otros de todo tipo de los que dispone persiguiendo siempre los objetivos de mantener la confidencialidad de los mismos, su disponibilidad y su integridad.

Cuando nos referimos a seguridad informática solamente nos circunscribimos a la protección de los equipos y sistemas de tratamiento automatizados de dicha información.

Si una entidad se plantea seriamente proteger los datos confidenciales debe por supuesto establecer medidas de seguridad físicas e informáticas. Unas y otras irán encaminadas a dos objetivos:

1.- No permitir el acceso de las personas ajenas a la organización
2.-No todas las personas con acceso tendrán acceso a todo. Deben de establecerse limitaciones o perfiles que permitan distintas atribuciones a cada usuario concreto.

Las medidas físicas son puertas, cerraduras, alarmas…. Sistemas en todo caso que impidan el acceso de terceros y que creen también zonas de acceso restringido accesibles únicamente a determinadas personas. Las medidas informáticas son claves de usuario, contraseñas, perfiles, monitorizaciones, … con el mismo objetivo.

No existirá en ningún caso un sistema eficaz de protección de la información si no se abordan dos temas fundamentales:

1.-crear una conciencia de la necesidad de proteger la información entre los usuarios y
2.-cumplir la normativa legal.

La formación de las personas que tienen acceso legítimo a un sistema hará que sean conscientes de sus obligaciones, de sus derechos y de las vulnerabilidades que en ocasiones provoca un uso negligente. Hay que tener en cuenta también que muchos de los ataques a los sistemas de información se producen desde el interior de las organizaciones por personas que se mueven por interés.

El cumplimiento de la normativa legal mejorará las relaciones de la entidad con su entorno, regulando adecuadamente las relaciones con clientes o socios, con trabajadores y por supuesto con proveedores de servicios. En todo caso se intentará restringir y limitar la responsabilidad de la organización a lo estrictamente necesario atribuyendo responsabilidades a los distintos agentes. Las organizaciones deben cumplir con Ley Orgánica de Protección de datos no tanto porque exista un severo régimen de sanciones, si no porque también contribuye a mejorar la imagen de seriedad y rigor en un tema tan fundamental.

Carlos Arratibel

Pyramide Asesores