LA IMPORTANCIA DE LA GESTIÓN DE LA INFORMACIÓN EN LAS PYMES Por Pablo Pérez San José Y Javier Rey Perille

Hoy en día, la actividad empresarial depende en mayor o menor medida de sistemas y redes informáticas. Hasta las organizaciones cuya actividad no tiene nada que ver con la tecnología hacen uso de los ordenadores y de Internet en algún momento (comunicación con clientes, emisión de facturas, trámites con la Administración, etc.). En el caso de España, su importancia se materializa en dos hechos: el 90,6 por ciento de las empresas de nuestro país disponen de ordenador para su actividad de gestión diaria; además, el 96,2 por ciento de las entidades con más de 10 trabajadores disponen de conexión a Internet.

El uso extendido de las TIC en el tejido empresarial español –compuesto en su inmensa mayoría por pequeñas y medianas empresas y, sobre todo, por microempresas de menos de 10 trabajadores– y su papel clave en los procesos de negocio son, sin duda, motivos suficientes para que la seguridad de la información deba tener una especial atención en el seno de las pymes. En ellas han de primar la integridad y la disponibilidad de los datos. Ambos elementos, junto con la preservación de la confidencialidad, forman parte de la definición de la seguridad de la información según diversas normativas y estándares internacionales (como por ejemplo, ISO 27001). No obstante, el papel de la seguridad no es algo nuevo, ya fue contemplado por los teóricos de organización y dirección de empresas a principios del siglo XX, llegando a concluir que se trataba de una función empresarial, al mismo nivel que otras como la productiva, comercial o financiera.

Por otro lado, la seguridad de la información es de vital importancia para garantizar el cumplimiento con la normativa vigente (Ley Orgánica de Protección de Datos de Carácter Personal -LOPD-, Ley de Servicios de Sociedad de la Información, Ley General de Telecomunicaciones, Ley de Firma Electrónica, etc.) y, en último extremo, garantizar la continuidad del negocio.

En relación con la normativa, la seguridad centra sus esfuerzos, no sólo en una serie de métodos que previenen o mitigan la pérdida de datos, sino además en cumplir lo exigido por la legislación. El caso más reciente es el de la publicación del nuevo Reglamento de Desarrollo de la LOPD, donde se definen una serie de obligaciones legales relativas a los ficheros de carácter personal, diferenciándose tres niveles de seguridad en función de los datos que los ficheros contengan.

El segundo de los aspectos anteriormente planteados, esto es, la continuidad del negocio, preside la seguridad de la información en situaciones de crisis provocadas por incidentes o desastres que pueden atentar contra la sostenibilidad de la empresa.

Ahora bien, ¿qué pyme no guarda información sobre sus clientes, proveedores o distribuidores?, o ¿qué empresa está libre de verse afectada por una amenaza tecnológica o física?

Este artículo pretende descubrir aspectos tradicionalmente más obviados sobre la gestión de la información, como son las causas y consecuencias de la pérdida de datos así como las herramientas que las pymes tienen a su disposición para la gestión de soportes y la protección y recuperación de los datos.

Causas de la pérdida de datos

Para que una pyme pueda identificar y conocer las fuentes de la pérdida de datos debe hacerse la siguiente pregunta: ¿cuáles son las amenazas y los enemigos que dan lugar a la necesidad de una política de gestión de la información para mi empresa?

Con independencia de que posteriormente se identifiquen cada una de las principales causas, el denominador común a todas ellas es que son impredecibles. No se conoce cuándo se van suceder ni si aquellas personas que pueden solucionar el problema estarán presentes en el momento que los incidentes ocurren. Por consiguiente, aunque los profesionales de los sistemas de información tomen precauciones para proteger los datos empresariales, no siempre se puede evitar la pérdida; aunque sí se puede reducir considerablemente el riesgo de que suceda y sus consecuencias.

Habitualmente, aunque se pueden diferenciar entre causas internas y externas, en función del origen de las mismas, podemos destacar:

• Anomalías en el hardware: interrupción del suministro eléctrico, fallo del soporte donde se almacenan los datos, fallo del controlador, etc.

• Error humano: supresión o formateo de la unidad de forma accidental y daño causado por una caída o golpe, desconocimiento de la política de copias. En el recientemente publicado "Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas", realizado por Inteco, el 47,5 por ciento de las entidades no dispone de ningún procedimiento que le indique cómo realizar las copias de seguridad. Además el 4,6 por ciento de las entidades afirma haber sufrido una pérdida de datos o robo de la información en alguna ocasión.

• Anomalías en el software: daños causados por las herramientas de diagnóstico o reparación, errores de las copias de seguridad, complejidad de la configuración, errores que provocan el cierre de la aplicación, etc.

• Malware: virus, troyanos, gusanos, etc. Según datos de Inteco el porcentaje de empresas con menos de 50 trabajadores que en 2009 afirmaban haber sufrido un incidente de seguridad fue del 77,4 por ciento. Los incidentes que principalmente sufren y que tienen relación con los datos son: los virus (afirman sufrirlos el 49,2 por ciento de las empresas), los fallos técnicos (el 22,8 por ciento) y los troyanos (21,7 por ciento).

• Desastres naturales: incendios, inundaciones, etc. En 2008, según el Center for Research on the Epidemiology of Disasters(CRED) ocurrieron 354 desastres que afectaron a 214 millones de personas.

• Formación específica del personal: en tecnologías, en los programas de recuperación, etc. La importancia de conocer el fundamento de las incidencias y la identificación del origen en el seno de las propias empresas puede resultar garantía

...