|

ISO 27001- INFORMACIÓN Y SU VALOR

PorElier López Basilio

La información representa el activo más importante para las organizaciones. En este apartado se presenta un acercamiento a su definición así como al valor que obtiene en el contexto actual que explica la necesidad de su protección.

¿Qué es la información?

Definir el concepto de información es una tarea realmente complicada ya que existen diferentes vertientes que la interpretan de múltiples maneras, además, muchas veces se utilizan los términos “datos” e “información” de manera indistinta. Sin embargo, existen diferencias entre estos términos y conviene aclarar el concepto de información para saber por qué es que se vuelve primordial su seguridad. A continuación, se hace la descripción de la información, su valor e importancia para las organizaciones en la actualidad.

Definición de información

Es posible considerar a la información como un conjunto de datos que, cuando se organizan o procesan, pueden llegar a obtener un significado de utilidad para una entidad encargada de la toma de decisiones o para servir de entrada para un nuevo proceso. Es decir, la información puede considerarse como todos aquellos datos que adquieren un significado relevante en un contexto específico para la toma de decisiones o acciones de un usuario o dispositivo. Esta es una de las definiciones más aceptadas en el campo de la Informática, y la que consideraremos central para nuestros fines en seguridad de la información, sin embargo, resulta primordial resaltar, además, el valor de la información por su utilidad en la toma de decisiones que afectan las acciones de una organización.

El valor de la información

Como se ha mencionado, es conveniente considerar a la información desde una perspectiva de acción y estrategia para comprender por qué es tan importante. De acuerdo con Solís, “la información es reducción de incertidumbre y aumento del conocimiento” (2017). En esta definición se le otorga a la información la capacidad de aumentar el conocimiento por medio de la eliminación de posibilidades, una concepción clave en un ambiente organizacional.

La concepción de la información como un recurso útil para la toma de decisiones permite adaptar este activo de acuerdo a diferentes modelos de procesamiento, entre los cuales se destaca el modelo DIKW (Data, Information, Knowledge, Wisdom) que en español se transforma a Datos, Información, Conocimiento y Sabiduría.

Este modelo se ha utilizado, principalmente, para describir la evolución de la información en distintos niveles de utilidad y complejidad y me parece que funciona también de manera adecuada para reforzar la diferencia entre datos e información por medio de su relación.

En el modelo DIKW es posible distinguir cuatro pasos fundamentales:

  1. Se adquieren una serie de datos sobre un fenómeno. Los datos acoplan la representación sin procesamiento de hechos, objetos y eventos, en valores y medidas de dicho fenómeno.
  2. Los datos originales son transformados en información cuando se agrega contexto y un significado específico a los objetos y eventos del fenómeno. En este sentido, el contexto es, a su vez, una clase de dato suplementario que agrega significado a los datos originales y permite la estructuración y procesamiento de los datos para que sean relevantes.
  3. La información se transforma en conocimiento si dicha información se ha comprendido de manera tal que permite una explicación del cómo y porqué del fenómeno. En esta etapa es posible agregar elementos tales como la experiencia, es decir, conocimientos de eventos previos que pueden interrelacionarse con la información adquirida del fenómeno.
  4. El conocimiento pasa a ser sabiduría cuando la entidad es capaz de guiar sus acciones y decisiones futuras con base en el conocimiento adquirido y aplicarlo de manera efectiva en su contexto.

De esta manera, gracias a este modelo, se permite la identificación de la información como fuente de conocimiento y sabiduría para aplicar a la acción. Así, a pesar de que este modelo es una representación básica, permite observar la extracción del valor que se obtiene del procesamiento de datos para generar información.

La información y su importancia en las organizaciones

En la actualidad, la información se ha convertido en el principal activo de las organizaciones, precisamente, porque la información reduce la incertidumbre en cuanto a la toma de decisiones que les permiten alcanzar sus objetivos de negocio.

NOTA: El objetivo de negocio de una organización se considera como todas aquellas metas en la que centra sus esfuerzos a corto, mediano y largo plazo.

Esta es la razón por la que la información es tan importante, porque permite a las organizaciones la toma de decisiones para la realización de acciones específicas de su contexto que les permitan la consecución de sus objetivos. Evidentemente, la toma acertada de decisiones es lo que permitirá a las organizaciones ser competitivas y obtener provecho sobre la inversión realizada para sus actividades productivas.

Es importante meditar por un instante lo que la información representa para una organización ya que esta puede incluir resultados de investigaciones, datos de desarrollo, datos de ventas y finanzas, así como la información de su personal, datos legales, contratos, información de clientes, entre muchos otros tipos. Así que la información no solo es un recurso, sino el recurso más valioso y esencial con el que cuentan las organizaciones pues su éxito se encuentra ligado a su correcta utilización.

Por lo tanto, la información puede ser considerada como un activo estratégico que permite a las organizaciones obtener una ventaja competitiva, así como lograr diferentes perspectivas para mejorar la toma de decisiones e impulsar innovaciones.

Sin embargo, actualmente, la información de las organizaciones se encuentra en riesgo debido al crecimiento exponencial en ciberataques que son cada vez más especializados. En consecuencia, debido a su valor y a los riesgos a los que está expuesta, la protección de la información debe ser considerada como una prioridad, pues, al proteger la seguridad de la información se está protegiendo la competitividad y supervivencia de la organización.

Justamente, la norma ISO 27001 está orientada al establecimiento de un sistema de seguridad de la información que permita la consecución de los objetivos de negocio de cada organización. En siguientes apartados comentaremos cómo es que esta norma puede ayudar a mejorar la postura de seguridad de información de una organización.

Notas finales: Recomiendo enormemente el artículo publicado por el doctor Solís sobre la complejidad de la definición del concepto de información desde una perspectiva teórica:

Solís, V.  (2017). La información y sus transformaciones: ¿qué significa el término información?https://ru.iibi.unam.mx/jspui/bitstream/IIBI_UNAM/CL81/1/01_significados_informacion_usuario_victor_manuel_solis-macias.pdf