Si el lector de este artículo es un profesional con un pensamiento focalizado y orientado a objetivos y espera que en este texto se identifique un único elemento, le recomiendo para no defraudar sus expectativas, que no lo siga leyendo.

Cuando pensé en el título, estaba convencido que con los años de experiencia que llevo disfrutando en este campo profesional sería capaz de identificar un aspecto concreto que me permitiera señalar: “a mi juicio, esto es lo más importante” y ello con independencia del “depende” (del contexto concreto de la Organización, la persona o la sociedad). Desafortunadamente, según he empezado a escribirlo, a estructurar el mensaje, me doy cuenta de que hay diferentes elementos que son clave y no me permiten identificar si quiero más a papá o a mamá.

En principio, tengo varios candidatos: la información, los profesionales, el interés, los inventarios, los análisis de riesgos, el disponer de un responsable de seguridad de la información (CISO/RSI) para dirigir la práctica, el cumplimiento legal, la segregación de funciones (con otras partes de la Organización global e incluso dentro de la Seguridad), la colaboración o el presupuesto.

Seguro que quién lea este articulo (si es que hay alguien a quién haya podido “enganchar” con estas letras para que me ceda un rato de su valioso tiempo) tiene más candidatos para estar en el TOP o incluso para identificar aquél que a su juicio ocupa el puesto de “lo más importante”.

En mi caso y dado que ya he dedicado algún articulo a la importancia de alguno de estos otros candidatos, me voy a centrar ahora en dos: el interés y la información.

El interés, en este caso por la Ciberseguridad  (sus amenazas, riesgos y protecciones), da paso a la curiosidad y las ganas de aprender, el aprendizaje en la formación da conocimiento y esta junto con la experiencia nos lleva a la capacitación y el interés, el conocimiento y la capacitación, nos hace reflexionar con un pensamiento crítico formado y así alcanzar a tener criterio responsable y con este a saber evaluar, focalizar y priorizar. El interés, por tanto, es un germen de una correcta Ciberseguridad.

La otra candidata sobre la que quiero reflexionar es la Información. Partamos, de un punto controvertido que es si los términos Ciberseguridad y Seguridad de la información representan un mismo concepto. En mi opinión, hoy, en cuanto al alcance son sinónimos y lo son, incluso con la afinidad mental a la que nos lleva el término ciberseguridad con los riesgos asociados a internet, infraestructuras críticas y vidas humanas y que parecen modernizar el de la Seguridad de la Información. La protección de la información es el alcance común ya sea información personal, empresarial o de un operador esencial. Aquí, por tanto, en el reconocimiento de que la información es el objeto principal a proteger, y no los sistemas, radicaría un firme candidato a ser la respuesta a la pregunta que da título a este articulo; ¿Qué es lo realmente importante en Ciberseguridad?: la información. Como objeto y foco de la protección e incluso como fuente de protección de la información a proteger (la información empresarial la protegemos con ayuda de otra información -de inteligencia, información de monitorización de eventos, entre otras-).

Si la información es lo importante, ¿por qué focalizamos nuestro mensaje en la protección de los sistemas? o dicho de otra forma ¿por qué le dedicamos tanto esfuerzo a lo que recoge, almacena, procesa y transmite la información y tampoco a la información? Probablemente sea por que preferimos centrarnos en elementos concretos, es decir una organización que tenga millones de documentos tendrá miles de sistemas y estos últimos por su numero son más manejables, e incluso hay piezas de la Organización especializadas en su gestión; por ejemplo los departamentos de sistemas  o en su protección como el área de seguridad, mientras que la información , la “propiedad” está mucho más dispersa (Bases de datos e información no estructurada como ficheros). Manejables, incluso para identificarlos y valorarlos.

Es necesario que las organizaciones tengan un Plan de protección de la Información, donde se den las herramientas Organizativas, procedimentales y de recursos técnicos y humanos para una adecuada identificación, valoración, clasificación, manejo y protección de la información.

Recientemente en AUTELSI hemos terminado un trabajo sobre esta importante cuestión. Recomiendo su lectura, por el conocimiento que diversos profesionales de prestigio vuelcan en el mismo. Interés e información se  dan cita en el documento de la asociación que vamos a presentar próximamente.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI