Más allá de la tradicional aproximación a la Seguridad de la Información y sus Tecnologías afines, basada en los criterios C-I-A ([C]onfidencialidad, [I]ntegridad, Disponibilid[a]d), los actuales enfoques de Gobierno Corporativo de TI revelan que los riesgos derivados del uso de las TIC, que afectan a las organizaciones, quedan enmarcados en las siguientes categorías:

  • Disponibilid[a]d ([A]vailability)
    Mantener los sistemas  – y sus procesos de negocio asociados – en ejecución,  y recuperarlos/restablecerlos cuando se produzcan interrupciones (cualesquiera que sea la gravedad de éstas).
  • [A]ccesibilidad ([A]ccessibility)
    Garantizar un acceso apropiado a la información y a los sistemas de forma que la gente “adecuada” disponga del acceso que necesite y la gente “inadecuada” no.
  • Ex[a]ctitud ([A]ccuracy)
    Proporcionar la información correcta, completa y en tiempo, que cumpla con las necesidades de los diferentes grupos de interés (la Dirección, el personal, los clientes, los proveedores y los organismos reguladores).
  • [A]gilidad ([A]gility)
    Disponer de la capacidad de cambiar  – desde el punto de vista de las TI –  a una velocidad y a unos costes controlados (por ejemplo, tras la adquisición de otra compañía, tras finalizar un rediseño importante de los procesos de negocio o de cara a lanzar nuevos servicios). Es decir, caerá en esta categoría  de riesgo todo aquello que limite las opciones de acción de la organización.

Este paradigma parece alejarse  – tenuemente, al menos –  de la jerga tecnológica (cifra, claves, firma, no repudio, …), ligada a aspectos como la confidencialidad o la integridad, para adoptar una orientación más cercana a los criterios que, para el negocio, ha de cumplir la información corporativa (disponible, accesible, exacta y ágil). Así se desprende, aparentemente, de las investigaciones (1)  llevadas a cabo, en los últimos años, por George Westerman, de la Escuela de Negocios “Sloan” del MIT, que han servido de base para su libro “IT Risk. Turning Business Threats Into Competitive Advantage”, publicado en julio de 2007.

 

(1) Westerman, George. “Understanding the Enterprise’s IT Risk Profile”. Research Briefing IV(1C). Cambridge, MA: CISR, MIT Sloan School of Management. Marzo, 2004.