Kontzeptuak eta igurikimenak zehaztearren, esan beharko genuke informazioa datu-multzo ordenatu bat dela, hartzailearen ezagutza aldatzen duena, eta, beraz, edozein formatutan egon daiteke: ahozkoan, digitalean, paperezko euskarri batean, eta abar. Hau da, informazioaren segurtasunaz ari gara, ez segurtasun informatikoaz.
Edozein formatu edo euskarritan dagoenez, haren segurtasunak ez die eragiten informazio-sistemei bakarrik, baizik eta IKTen inguruneari ere bai, oro har. Ildo horretan, beste hainbati ere badagokio erakundearen informazioa babestea: giza baliabideetako sailei, informazioa maneiatuko duten pertsonak kontratatzean; gure instalazioetara sartuko diren hirugarrenekin kontratuak ezartzen dituen erosketa- edo kontratazio-sailari; edo eraikinak eta bulegoak babesteaz arduratzen den mantentze-lanetako arduradunari. Laburbilduz, informazioa erakundearen esparru guztietan babestu beharreko aktiboa da.
Baina, aurrera jarraitu aurretik, zer da segurtasuna? Informazioaren segurtasuna bermatzeaz ari garenean, konfidentzialtasuna ziurtatzeaz dihardugu. Hau da, erakundearen barruan duten jardunagatik dagokien pertsonek soilik bakarrik izatea informazio horren berri. Era berean, informazioaren segurtasunak beste hainbat alderdi ere inplikatzen ditu, hala nola osotasuna, igortzen denetik jaso arte aldaketarik ez izatea –dela akats baten ondorioz, dela kaltea eragiteko interesa duenen batek nahita aldatuta–. Eta, hirugarrenik, informazioaren erabilgarritasuna; hau da, behar denean eskuragarri egotea.
Norbaitek informazioa behar ez bezala eskuratzen duenean, manipulatu eta aldatu egiten duenean informazio hori, edo behar denean eskuragarri ez egotea eragiten duenean, kalte bat sortzen du gure erakundean, inpaktu bat. Segurtasun-gertakari deituko diegu halakoei. Zenbat eta garrantzitsuagoa izan gertakari horretan inplikaturiko informazioa eta zenbat eta handiagoa informazioaren gaineko erasana, orduan eta handiagoa izango da inpaktua. Eta inpaktuari buruz hitz egiten dugunean, hainbat alderdiri buruz ari gara, hala nola ospea, Datuak Babesteko Espainiako Bulegoaren zehapen ekonomikoa (datu pertsonalei eragiten dielako), gure lantegiko ekoizpena geldiarazi beharra, eta abar.
Laburbilduz, informazioa erakundearen aktibo bat da; izan ere, prozesu guztietan esku hartzen du, eta informazio horrek eragina izango du eskaintzen ditugun zerbitzuetan edo fabrikatzen ditugun produktuetan.
Baina zer da informazioaren segurtasuna kudeatzea?
- Goi-zuzendaritzak babestu beharreko aktibo kritiko gisa ulertu behar du informazioaren garrantzia. Hori errazagoa izaten da informazioa fabrikazioarekin eta ekoizpenarekin estu lotuta dagoen inguruneetan.
- Goi-zuzendaritzak babes-baliabideak eskaintzea, ulerturik garrantzitsua zera dela, ez izatea eraginik legezko baldintzak betetzeari dagokionez edota interes-taldeei eragiten dieten auzietan.
- Aktibo garrantzitsu horren «arriskua kudeatzen» diharduten prozesu espezifikoez hornitzea.
- Informazio horrek dituen arriskuak aztertzea, barneko eta kanpoko testuinguruaren arabera, hau da, nire erakundea nolakoa den eta non dagoen.
- Informazioaren segurtasunak erakundeari noiznahi balioa emango diola bermatuko duen kudeaketa-sistema bat izatea, hau da, erakundearen eta ingurunearen egoera aldakorretara egokituko dena.
Eta nondik hasi?
- Lehendabiziko pausoa da zure erakundeko zuzendaritzak ulertzea baliabideak jarri behar dituela premia eta kudeaketa-eredu espezifiko baterako. Kudeaketa-eredu horrek irauteko bokazioa izango du, eta ez da izango jarduera puntual bat. Ez da zerbait entxufatzea, kudeatzea baizik.
- Era berean, adituen babesa izatea, premia hori zuzendaritzara helarazten laguntzeko eta aholkularitza emateko zer-nola heldu erronka horri modu eraginkorrean eta baliabide egokiak erabiliz, betiere barneko, kanpoko eta heldutasuneko testuingurua kontuan hartuta. (Zeure kabuz ere egin dezakezu, baina, ziurrenik, denbora gehiago beharko duzu eta ez dituzu lortuko emaitza berberak.)
- Informazioaren segurtasunaren kudeaketa nazioartean aitortutako ereduetara bideratzea, zure erakundeari bermeak eta aintzatespena emateko. Gure inguruan, hauek erabili ohi ditugu:
- ISO 27001. Nazioarteko estandar horrek Informazioaren Segurtasuna Kudeatzeko Sistema (ISKS) batek bete behar dituen baldintzak ezartzen ditu, eta ziurtagarria da; hau da, ziurtapen-erakunde batek egiaztatuko du egiten duzun kudeaketa bat datorrela erreferentziazko arauaren eskakizunekin. Ziurtagiri mota horrek bermeak eskaintzen dizkie bai zuzendaritzari, bai zure negozioan esku hartzen duten interes-taldeei.
- Segurtasun Eskema Nazionala (SEN). Administrazio publikoa bazara edo segurtasun-soluzioak eta/edo -zerbitzuak ematen badituzu, legez behartuta zaude horiek betetzera.
- CyberSecurity Framework (CSF) da zibersegurtasun-hornitzaileek erabiltzen duten beste eredu bat. Amerikako Estatu Batuetako Merkataritza Sailaren eredu horixe da, hain justu, zibersegurtasuna kudeatzeko garatutako erreferentzia-esparru espezifikoenetako bat. Eredu horrek alderdi interesgarriena da kudeaketaren bizi-zikloarekin bat datozen hainbat funtzio bultzatzailetan banatzen dela:
- Zer babestu behar dugun identifikatzea.
- Aktiboak modu espezifikoan babestea, erasanen probabilitatea edo inpaktua minimizatzeko.
- Ahalik eta lasterren detektatzea, kudeaketa-denborak minimizatzeko eta inpaktua areagotzea saihesteko.
- Eraso espezifiko baten aurrean ahalik eta modu ordenatuenean erantzutea.
- Kaltetutako sistemak ahalik eta lasterren berreskuratzea.
Ondorioa
Edozein izanik ere jarduera egituratzen lagunduko dizun kudeaketa-eredu espezifikoa, funtsezkoa da erakundeak ulertzea saihestu ezinezko auzia dela informazioaren segurtasuna. Zerbitzuak edo ondasunak sortzeko, erabat beharrezkoa ekoizpen horretan baliatzen den informazioa. Eta informazio horretan izaniko erasan orok ekarriko ditu inpaktuak negoziora.
