Sistemas de Gestion en las TIC. La opción de la claridad es la más viable.

El avance de la Tecnología de la información y Comunicaciones, TIC, nos da la oportunidad de crear, mediante los estándares ISO, las mejores prácticas y gestionar una importante herramienta de negocio, además de promover el cambio cultural en las empresas. Para el desarrollo estratégico y la correcta toma de decisiones en una empresa se requiere que la información sea confiable y precisa, así que el departamento de informática y el centro de cómputo son parte fundamental en la administración de los mismos.
Al respecto, lo que los estándares ISO han hecho es la incorporación del Ciclo de Mejora Continua en el control y generación de datos en la empresa, misma que se administra con el fin de dar un mejor soporte tecnológico y funcional. Todo ello se delimita con la aplicación de dos documentos básicos en el estándar, el primero es la ISO 27001, la norma certificable que describe las especificaciones requeridas y la seguridad en la información, y el segundo, la ISO 27002, que describe la guía de buenas prácticas (controles).
Un dato estadístico mundial señala que sólo el 21% de las empresas han orientado las tecnologías de información hacia los objetivos estratégicos de la empresa. El resultado de esta tendencia marca que, con el tiempo, el director del área informática será más gestor y menos tecnólogo, orientándose más a los procesos de la empresa.
De aquí que existe un fuerte compromiso del área de tecnologías de información con todas las demás áreas de la empresa.
Con la Internet se abre la posibilidad de acelerar los procesos de transmisión de datos, pero también trae consigo una mayor vulnerabilidad en el robo, confiabilidad y modificación en la información dentro de una empresa, por lo que gestionar la seguridad en los sistemas de información se vuelve un punto clave en las empresas.
Sistemas de Gestión para Seguridad de la información
Para la seguridad de la información en una empresa nos soportamos en cuatro pilares fundamentales:
1.- Integridad de la información
Tiene que tener una correspondencia en la información de cada departamento, es decir, los datos de facturación deben de corresponder a los generados en las áreas de producción, almacén, compras, ventas, etc.
2.- Confidencialidad
Por ejemplo, el departamento de marketing puede tener acceso a una parte de los datos generados para hacer análisis del mercado y plantear las estrategias para impulsar ciertos productos y el área de calidad requiere otros datos, como la cantidad de producto que se produce y el control del índice de rechazos, etc.
3.- Disponibilidad
Sobre los tiempos de respuesta para proporcionar información o servicio en la parte informática de la empresa, si nos comprometemos en dar servicio continuo, o por ciertos periodos establecidos, éstos tienen que ser respetados.
4.- Cumplimiento Legal
De aquí que hay un gran avance en México para la legislación en la protección de información generada dentro de una empresa y la protección de datos personales.
El corazón del sistema de gestión para la seguridad de información se llama análisis de riesgos, y es un documento de aplicabilidad que se enfoca a los procesos del negocio y que puede ser de tipo cualitativo y cuantitativo.
Dicho documento debe ser de fácil comprensión para las personas involucradas con el sistema de gestión, ya que, de no ser así, carece de desempeño y funcionalidad. En ocasiones encontramos consultores con fórmulas para análisis de riesgos que solamente ellos entienden, por lo que hay que tener cuidado en la selección del mismo recordando la frase célebre de Leonardo Da Vinci. “La simplicidad es la mayor de las sofisticaciones”.