El mes pasado, buceando por las redes localicé la ponencia «Procesamiento de lenguaje natural e inteligencia artificial paso a paso desde la aplicación en el Derecho y seguridad de la información» que Elen Irazabal dio en otoño de 2020 para el curso Innovaciones tecnológicas en la Administración de Justicia: inteligencia artificial en el Centro de Estudios Jurídicos (CEJ).
La ponente analiza los elementos necesarios para desarrollar un proyecto con datos no estructurados, es decir, aquellos que no tienen una estructura identificable, como por ejemplo: archivos en pdf o word, emails, tweets, vídeos, audios, imágenes… No obstante, como a principios de año ya escribí un post sobre el funcionamiento del procesamiento del lenguaje natural, no voy a incidir más sobre ello.
Sin embargo, lo que me llamó la atención de la ponencia fue la segunda parte sobre la seguridad de la información porque, aun estando familiarizado con la temática por motivos laborales, me pareció interesante su explicación. A simple vista puede parecer un tema trillado, pero hay que estar siempre actualizado.
En un mundo ciberconectado nadie está libre de sufrir un hackeo, por ello, es esencial tomar medidas preventivas y reactivas que permitan resguardar y proteger la información. A este nuevo campo se le denomina «seguridad de la información» y está regulado por las normas ISO 27001. Dichas normas están fundamentadas en tres pilares:
- Disponibilidad. Concepto vinculado directamente a la accesibilidad de la información.
- Integridad. Información correcta y ausencia de modificaciones por terceros no permitidos para tal fin.
- Confidencialidad. Información accesible únicamente para aquellas personas autorizadas o la no revelación de la misma a terceros.
Elen afirma que antes de elaborar un plan de seguridad de la información, la organización debe conocer cuál y dónde se encuentra su documentación más relevante. Posteriormente, se debe identificar, clasificar y valorar la información en base a los tres pilares anteriores para establecer los controles o salvaguardas aplicables para protegerla. Por otro lado, la información también puede clasificarse en función de su criticidad:
- Confidencial. Documentación crítica para la empresa, solo accesible a los trabajadores autorizados para que puedan desempeñar sus funciones.
- Interna. Accesible para todos los trabajadores de la organización, pero no a terceros ajenos a la misma salvo autorización.
- Pública. Información que se puede difundir sin restricciones.
A continuación se debería confeccionar un análisis de riesgos, instrumento que sirve para identificar las amenazas y vulnerabilidades de los activos de una organización, y seleccionar aquellos controles que sirvan para mitigar el riesgo. Por último, se proponen estrategias para el tratamiento de dichos riesgos, y medidas técnicas, organizativas, físicas y normativas de seguridad.
La ciberseguridad es un campo en constante actualización. La elaboración de planes de seguridad es fundamental para evitar riesgos. Los profesionales de la Documentación podemos ser parte de la cadena de valor, colaborando en su elaboración y aplicando la clasificación a los documentos.
Si también quieres leer la ponencia, pulsa aquí para acceder al texto completo en el repertorio jurídico científico del CEJ.
Buceando entre documentación jurídica 