>> Estudio EIC >> MiPyMEs. 

 

 

El valor de los activos de información.

 En su Activo, todas las empresas guardan sus tenencias, sus bienes y sus créditos.  Desde hace no pocos años, se acepta mundialmente que la información de negocios de una MiPyME, también tiene un valor estratégico, y por ende se puede valuar en pesos.

 Para poder valuarlo, deben cumplirse ciertas pautas básicas, y otras más esenciales que se refieren a ellas.  Dentro de las básicas, la empresa debe ser propietaria de información personalizada, cuanto más personalizada o única mayor será su valor, que permiten tener una diferencia a la hora de hacer negocios.  Si no tiene esa ventaja, o sin información estratégica, no hay valuación posible.

 Pero no solo es cuestión de tenerla, también hay que cuidarla, asegurarla.  Para una empresa grande, estas acciones son conocidas, y generalmente ya están reglamentadas, en algunos casos a ultranza.  Para el sector público, sobre todo el nacional, mucha de su información es considerada crítica, en términos de seguridad.  Un ejemplo de ello es la AFIP-DGI cuyo centro de datos de Buenos Aires posee ocho niveles de seguridad antes de llegar al corazón de sus base de datos, muchos de ellos físicos dentro de un edificio construido a tal efecto, con protección de hormigón y diseñado por especialistas en seguridad.

 Seguramente este no es el caso de su MiPyME, pero bueno es conocer donde está el "techo" para conocer nuestras necesidades.  Todos sabemos que los ataques a sistemas informáticos son más cada día, y que sus atacantes, sean hackers o crackers o incluso aficionados, puede causar daño no fácil de reparar.  Se han conocido casos de grandes empresas que han visto burladas sus medidas de seguridad, y los datos propios y de sus clientes han sido hurtados o copiados, al menos.

 La forma en que una MiPyME puede proteger sus sistemas informáticos, cargados de información de la empresa, sus clientes, productos y proveedores, es un tema apasionante.  Ya lo hemos abordado en diferentes notas, y algunas de ellas las hemos publicado en esta Biblioteca Digital.  Especialmente me refiero a las de seguridad informática, que invito a leerlas, para no extender el contenido de la presente.

 Su red informática, con telefonía VoIp o sin ella, es el parámetro a analizar, como si fuese el título principal.  Es necesario conocer cual es la conexión, que tipo de módem utiliza, si el mismo tiene Firewall embebido o no, y luego los dispositivos y las políticas de grupo que se han configurado dentro de la red.

 Si su primer estudio de la realidad es negativo, hay que diseñar todo nuevamente y empezar desde cero, buscando urgentemente el mejor asesoramiento disponible de acuerdo con su presupuesto.  Obviamente puede consultarnos.  Un ejemplo: Si utiliza el módem que regalan las empresas proveedoras de conexiones a Internet (ISP) ya está en problemas graves.

  Pero si sus respuestas ya indican que ha avanzado en estos temas iniciales, todo será orientado hacia una auditoria de lo existente, y corroborar su funcionamiento y eficiencia ante su exposición al peligro de ataques, tanto internos como externos.

 La "seguridad total" no es simple de obtener, y hasta podríamos decir que al cien por ciento no existe, Irónicamente algunos sostienen que una computadora seguro es la que está apagada, aunque sabemos que puede ser robada o hurtada.  Lo que se busca es tener la mayor seguridad posible.

 Podemos seguir progresando en el test de seguridad de sus activos de información.  El paso siguiente está relacionado con la cantidad de dispositivos que se conectan a la red, y si las conexiones son exclusivamente por cable o fibra óptica, lo cual es más seguro, o si también conviven conexiones wireless (inalámbricas).

 A esta altura hay que diferenciar en la red, los dispositivos estancos, las computadoras y los servidores, si los hay. Si su empresa ha logrado tal envergadura, que ha instalado un centro de cómputos, aunque más no sea pequeño, donde aloja el o los servidores, con racks o sin ellos, pero con mayor separación física del resto de la red, ya podemos iniciar un estudio más elevado.  Es que muy importante saber, a esta altura, cuales son los datos confidenciales, cuales son importantes, cuales son críticos, y cuales son públicos.  No todos los datos deben estar la el mismo "paraguas de seguridad".  Se deben identificar, listar, agrupar, y cada grupo debe tener su nivel de seguridad física, digital y de uso, según un programa que reglamente el uso de los datos.  Aquí hay que confeccionar otra lista y políticas de seguridad respecto a que tipo de usuarios tiene en su empresa, quienes son, a que tienen acceso, y si han suscripto contratos de privacidad y de uso responsable de los equipos y datos de la empresa.  La política de contraseñas es importante.

Si le parece que es demasiado todo lo mencionado, piense como se sentiría Ud., si tuviese que confiar algunos de sus datos a otra MiPyME.  ¿Lo haría libre de prejuicios y con total desentendimiento?  ¿Preguntaría que seguridades tiene implementada la otra MiPyME con respecto a sus datos?  Lo mismo que cuando le piden el código de seguridad de su tarjeta de crédito.

Entonces, aquí es donde debe tener, y en lo posible por escrito, sus respuestas si algún tercero le hace estas preguntas.  prepárese porque ponto, muy pronto, se las harán o tal vez ya se las hayan hecho.  De su veracidad, de su contundencia, en definitiva de lo que Ud. responda, dependerá si ese tercero queda satisfecho y se siente proclive a hace negocios con su MiPyME, o desecha esa posibilidad.

A esta altura Ud. ya puede comenzar la elaboración de un programa de seguridad informática de nivel inicial.  Luego lo podrá ir mejorando y perfeccionando, en la medida que conozca el uso de las herramientas de seguridad que el mercado brinda, o contratando su instalación.  Este plan inicial como mínimo debe contener lo ya descripto y temas como derechos de acceso a la red, condiciones y verificación de accesos remotos, prevención de virus, de spyware, copias de respaldo metódicas, protección de la información, planificación de recuperación de información ante desastres, protección eléctrica y contra inundaciones, y temas afines.

No es aconsejable irse a los extremos, ni libertad total, ni restricción total.  Hay que analizar cada situación, luego decidir que hacer, y tener siempre la flexibilidad crítica de cambiar las decisiones de acuerdo al desenvolvimiento real. El programa que desarrolle siempre debe ser estudiado en su funcionamiento para mejorarlo.

Como todo programa, proyecto o manual, el mismo debe ser conciso, organizado, claro, fácil de entender hasta por las personas "no técnicas", y ser susceptible de auditorías que evalúen su cumplimiento.  Es necesario que la alta gerencia y los propietarios de la empresa presten su apoyo incondicional para que todos lo cumplan, sin excepciones.  El ejemplo es el mejor amigo, en estos casos.  la capacitación para lograr su implementación genera importantes beneficios.

Hay muchos temas técnicos que necesitan ser ampliados y explicados, pero excederíamos el objetivo de la presente.

Cumplidos todos estos pasos, entonces se podrá conocer hasta donde está segura la información de la empresa, y por ende ponerle un valor en pesos, que se reflejará en el balance.  Para publicar un valor monetario, es necesario tener pautas claras de valuación y certificada la seguridad informática aplicada y reinante.

  Dr. Jorge E. SOSA GONZÁLEZ. Derecho de Autor s/ Reg. Prop. Intelectual Nº 171.055. Publicado en el EIC MAGAZINE 16/11/06.       Volver a la Biblioteca

DISCLAIMER

La publicación del análisis de legislación es solo parcial y a modo introductorio, ya que cada caso hay que analizarlo dentro de su universo.  De ningún modo puede entenderse este análisis como una respuesta a su problemática fiscal, previsional o legal, en modo alguno.  El detalle publicado responde, en palabras entendibles, la idea general de la norma analizada, solo para casos muy generales y siempre en forma resumida y parcial. El lector deberá corroborar y completar la información tratada en los organismos y en las publicaciones pertinentes, o solicitar asesoramiento individual, para su caso.

Si tiene dudas puede consultarnos.