El hacer vs creer en la Seguridad de la Información
Pensemos en las siguientes preguntas: ¿Una persona tiene que creer en la seguridad de la información para actuar de forma confiable?, ¿Qué significa, de hecho, creer en la seguridad de la información?, La seguridad no es una religión, entonces, ¿dónde puede crearse el tema de discusión? Puede ser justo pedir dos listas, una de prácticas seguras y otras que generan peligro.
Si todos siguieran el primer punto pueden evitarse el segundo, ¿eso no crearÃa seguridad de cierta forma? De hecho, hay un lugar para esas listas: se llaman polÃticas, normas, directrices y procedimientos, que relacionan la forma en que la empresa o cualquiera otra institución debe cumplir con su misión. Las reglas tienen excepciones, y las personas que las siguen no son robots. Juicio, comprensión, y, sÃ, las creencias entran en la forma en que realmente funcionan las cosas, en lugar de como se supone que funcionan.
No es suficiente, simplemente, hacer lo que se requiere porque quienes elaboran los requisitos no pueden prever todas las situaciones en las que se aplicarán y hay excepciones de las reglas que mejor se dejan a quienes las aplican.
Tiene que haber una comprensión por parte de aquellos que actúan sobre las polÃticas de por qué fueron creadas, para quién fue destinado y cuál era la intención de los creadores de la seguridad de la información en el momento en que fueron creadas. Es de esperar que, quienes emiten las polÃticas sean más conscientes y diligentes en adherirse a las polÃticas, que aquellos que las reciben.
Para que unos pocos logren sus objetivos a través de los esfuerzos de muchos, deben transmitir la lógica detrás de las polÃticas a sus electores. En resumen, deben comunicar un punto de vista sistemático que impulse las polÃticas y que, a su vez, esté tan condicionado por la forma en que los creadores de las polÃticas han internalizado la necesidad de la seguridad de la información que puede describirse con precisión como un patrón de creencias.
Ahora, hagámonos esta pregunta: ¿DeberÃa yo preocuparme por la seguridad de la información?
Las infracciones y las irregularidades de la seguridad de la información pueden causar daños y cierta cantidad de angustia reales en las personas afectadas, incluso se pueden poner en riesgo sus propias vidas. Algunos ejemplos del daño causado por la pérdida o abuso de datos personales (a veces vinculados al fraude de identidad) incluyen: transacciones falsas de tarjetas de crédito, testigos en riesgo de daño fÃsico o intimidación, aplicaciones falsas para créditos fiscales y fraude hipotecario.
No todas las infracciones de seguridad tienen consecuencias tan graves, por supuesto. Muchos causan vergüenza o molestias menos serias para las personas involucradas. Las personas también tienen derecho a estar protegidas contra este tipo de daño.
Los avances en la tecnologÃa han permitido a las organizaciones procesar cada vez más datos personales y compartir información más fácilmente. Esto tiene beneficios obvios si recopilan y comparten datos personales de acuerdo con los principios de protección de datos, pero también da lugar a riesgos de seguridad igualmente obvios. Cuantas más bases de datos estén configuradas y más información se intercambie, mayor será el riesgo de que la información se pierda, se corrompa o se use incorrectamente.
 Una serie de pérdidas importantes de grandes cantidades de datos personales han llamado la atención sobre el tema de la seguridad de la información. Sin embargo, estos incidentes también han dejado en claro que la seguridad de la información es una cuestión de interés público, asà como de cumplimiento técnico. Si los datos personales no se protegen adecuadamente, esto puede dañar gravemente la reputación y la prosperidad de una empresa o institución y poner en peligro la seguridad de las personas.
*La autora es profesora de la Facultad de Informática de la Universidad de Panamá
Â
