Hay una escena que se repite con una frecuencia casi insultante en el tejido empresarial de este país, una de esas estampas que no salen en los folletos ni en los discursos grandilocuentes sobre transformación digital, pero que cualquiera que haya trabajado dentro de una organización reconoce al instante, porque la ha visto, la ha vivido o, en el peor de los casos, la ha sufrido. Una empresa pequeña o mediana que funciona razonablemente bien en lo operativo, que factura, que cumple, que sobrevive, pero que cuando uno rasca un poco en la forma en que gestiona su información descubre un ecosistema caótico, improvisado y peligrosamente frágil, donde los datos se almacenan sin criterio, los accesos se conceden por costumbre, los sistemas se mantienen por inercia y la seguridad es, en el mejor de los casos, una mezcla de buena voluntad y desconocimiento.
Y entonces ocurre algo. No siempre un gran desastre de película, no siempre un ataque sofisticado de esos que llenan titulares, sino algo mucho más vulgar y, por eso mismo, más frecuente. Un fichero que se pierde, un acceso indebido, una base de datos corrupta, un proveedor que mete la pata, un empleado que se lleva más de lo que debería, un sistema que cae en el peor momento posible. Y de repente, lo que parecía un problema menor revela algo mucho más profundo, porque deja al descubierto que aquello no era un incidente aislado, sino el síntoma de una enfermedad que llevaba años incubándose.
Es en ese momento cuando surgen las dos reacciones más habituales, y ambas, conviene decirlo, igual de poco útiles. La primera es la negación prolongada, esa especie de cabezonería castiza que lleva a pensar que esto ha sido mala suerte, que no volverá a pasar, que bastante tenemos con sacar el trabajo adelante como para meternos ahora en líos de seguridad y gobernanza. La segunda es el pánico organizado, que suele traducirse en compras precipitadas, en consultorías exprés, en herramientas que prometen milagros y en una actividad frenética que da la sensación de que se está haciendo mucho cuando en realidad no se está haciendo lo que toca.
Entre esos dos extremos, que son cómodos pero estériles, existe una tercera vía mucho más incómoda y mucho más eficaz, que consiste en asumir que el problema existe, mirarlo de frente y empezar a poner orden con criterio, sin prisa pero sin pausa, sin caer en la tentación de querer hacerlo todo en dos semanas ni en la de dejarlo para cuando haya tiempo, porque el tiempo, como ya se ha visto en demasiadas ocasiones, no suele jugar a favor del que improvisa.
El primer paso, aunque suene a obviedad, es precisamente ese, asumir que la gestión de la información no es un asunto menor ni una preocupación reservada a grandes organizaciones con departamentos enteros dedicados a ello, sino una responsabilidad inherente a cualquier entidad que maneje datos, que hoy en día son todas. Da igual que se trate de una pequeña empresa familiar, de una asociación o de un despacho profesional. Si hay datos de clientes, de proveedores, de empleados, de operaciones o de cualquier otro tipo, hay riesgo, y donde hay riesgo debería haber gestión.
A partir de ahí, el siguiente movimiento lógico es hacer algo que suele provocar más incomodidad de la que debería, que es mirarse al espejo sin maquillaje y hacerse unas cuantas preguntas incómodas. Quién tiene acceso a qué, dónde están realmente los datos, qué sistemas son críticos, qué ocurriría si mañana no pudiéramos acceder a ellos, cuántos usuarios mantienen accesos que ya no deberían tener, qué herramientas externas se están utilizando sin control, qué copias de seguridad existen de verdad y cuáles existen solo en la imaginación de quien las dio por hechas.
No hace falta un informe de cientos de páginas ni una auditoría con lenguaje críptico para responder a estas cuestiones, basta con honestidad y un mínimo de voluntad de entender cómo funcionan las cosas en realidad, no como deberían funcionar sobre el papel. Esa fotografía, aunque sea imperfecta, es infinitamente más valiosa que cualquier documento impecable que no refleje la situación real.
Y es aquí donde aparece uno de los errores más habituales, que consiste en lanzarse a comprar tecnología como si eso fuese a solucionar de manera automática los problemas detectados. Es una reacción comprensible, porque la tecnología ofrece la ilusión de control rápido, de solución inmediata, de progreso visible. Pero en la mayoría de los casos es un espejismo, porque lo que falla no es la herramienta, sino el uso que se hace de ella o la ausencia de criterios claros sobre cómo debe utilizarse.
Antes de gastar un euro en soluciones sofisticadas conviene hacer algo mucho más sencillo y, paradójicamente, mucho más eficaz, que es poner orden en lo básico. Definir quién debe acceder a cada cosa y quién no, eliminar accesos innecesarios, revisar usuarios antiguos que siguen activos como fantasmas en el sistema, asignar responsables claros a los datos más relevantes, documentar de manera sencilla cómo se hacen las cosas y por qué se hacen así. Todo esto no requiere grandes inversiones ni tecnologías punteras, requiere disciplina y sentido común, dos recursos que suelen ser más escasos de lo que se reconoce en público.
Una vez que ese orden mínimo empieza a existir, es el momento de introducir los controles técnicos básicos, no como una solución mágica, sino como un refuerzo necesario. Las copias de seguridad dejan de ser un concepto abstracto y pasan a ser una práctica real que se ejecuta, se revisa y se prueba, porque de nada sirve tener un respaldo que no se sabe restaurar. La autenticación deja de depender exclusivamente de contraseñas que circulan alegremente por correos y mensajes y se refuerza con mecanismos adicionales que dificultan accesos indebidos. Los sistemas se actualizan con cierta regularidad, no por capricho, sino porque cada actualización corrige vulnerabilidades que alguien, en algún lugar, ya está intentando explotar.
Al mismo tiempo, los dispositivos que se conectan a la organización dejan de ser una feria libre donde cada cual utiliza lo que tiene a mano y pasan a estar mínimamente controlados, no con ánimo de fiscalizar, sino de proteger. El cifrado, que durante años se percibió como algo complejo y lejano, se convierte en una medida lógica para evitar que la pérdida o el robo de un equipo suponga una fuga de información. Y la monitorización, aunque sea básica, empieza a ofrecer una cierta visibilidad sobre lo que ocurre en los sistemas, porque gestionar a ciegas nunca ha sido una buena estrategia.
Pero todo esto, siendo necesario, se queda corto si no se aborda una cuestión que suele ser la gran olvidada, que es el gobierno del dato. Porque no basta con proteger sistemas si la información que contienen es errónea, incompleta o inconsistente. Identificar qué datos son realmente importantes, quién responde de ellos, cómo se mantienen, cómo se actualizan y cómo se depuran es una tarea menos vistosa que instalar una herramienta nueva, pero infinitamente más rentable a medio plazo.
Es en este punto donde muchas organizaciones tropiezan, porque descubren que su problema no era solo de seguridad, sino de calidad de la información, y eso requiere un esfuerzo adicional que no siempre estaban dispuestas a asumir. Eliminar duplicidades, corregir errores, definir criterios comunes, revisar periódicamente el estado de los datos no es una tarea que se haga una vez y se archive, es un trabajo continuo que exige constancia, algo que choca frontalmente con la cultura de la urgencia permanente.
Y entonces, como no podía ser de otra manera en estos tiempos, aparece la inteligencia artificial, envuelta en promesas de automatización, eficiencia y ventaja competitiva, como si fuese la solución definitiva a todos los problemas anteriores. Y aquí conviene hacer una pausa y recordar algo que ya debería haber quedado claro en los artículos anteriores, pero que nunca está de más repetir, porque la tentación es fuerte y el marketing aprieta.
La inteligencia artificial no es un punto de partida, es una consecuencia. No arregla datos malos, no corrige desorden organizativo, no sustituye la falta de criterio. Lo único que hace es amplificar lo que ya existe, para bien o para mal. Si una organización está desordenada, la IA automatizará ese desorden. Si los datos son deficientes, la IA producirá resultados deficientes con una rapidez y una apariencia de sofisticación que pueden resultar incluso más peligrosas.
Por eso, antes de lanzarse a implantar soluciones basadas en inteligencia artificial, conviene definir con claridad qué datos se van a utilizar, con qué finalidad, bajo qué controles y con qué supervisión humana. Porque delegar decisiones en sistemas que no se entienden completamente y que operan sobre información mal gobernada es una forma muy eficaz de perder el control sin darse cuenta.
Todo este recorrido, que puede parecer largo cuando se describe, no tiene por qué serlo si se aborda con un mínimo de orden y realismo. No se trata de transformar la organización de la noche a la mañana, sino de iniciar un proceso que, paso a paso, vaya reduciendo riesgos y mejorando la forma en que se gestiona la información. No se trata de alcanzar la perfección, que además de inalcanzable suele ser paralizante, sino de salir de la improvisación permanente y entrar en una dinámica de mejora continua.
Porque ese es, en el fondo, el verdadero cambio que se propone, pasar de una organización que reacciona cuando ocurre algo a una organización que anticipa, previene y corrige antes de que el problema escale. Y eso no se consigue con una herramienta ni con un documento, se consigue con una forma distinta de entender la gestión.
Conviene también desterrar una idea que ha hecho mucho daño en este ámbito, que es la de asociar la gobernanza de datos y la seguridad exclusivamente con el cumplimiento normativo. Cumplir es necesario, por supuesto, pero quedarse ahí es quedarse corto. Esto no va de tener papeles en regla, va de que la organización funcione mejor, de que los datos sean fiables, de que las decisiones se apoyen en información sólida y de que los riesgos estén, al menos, bajo control.
La diferencia entre una organización que hace esto por obligación y otra que lo hace por convicción se nota, y se nota mucho, sobre todo cuando llegan los problemas, porque en un caso se responde con método y en el otro con improvisación.
Y llegados a este punto, cuando uno ha asumido el problema, ha hecho un diagnóstico honesto, ha puesto orden en lo básico, ha implantado controles técnicos mínimos, ha empezado a gobernar sus datos y ha puesto freno a la tentación de automatizar sin criterio, queda quizá lo más importante, que es mantener lo conseguido y no dejar que el sistema vuelva a degradarse con el paso del tiempo.
Porque todo esto, conviene insistir, no es un proyecto con fecha de inicio y fin, es un proceso que requiere revisión, ajuste y mejora constante. Los accesos cambian, los sistemas evolucionan, los datos se modifican, las personas entran y salen, las amenazas se transforman. Pensar que basta con hacer una vez las cosas bien para olvidarse de ellas es tan ingenuo como pensar que una casa se mantiene sola después de limpiarla.
Por eso, la recomendación final no tiene nada de épica y mucho de sentido común, empezar, aunque sea de forma imperfecta, y no detenerse. No esperar al momento ideal, porque ese momento no llega nunca, no dejarse paralizar por la magnitud aparente del problema, porque cuando se descompone en pasos asumibles deja de ser inabordable.
Ordenar primero, proteger después, gobernar a continuación y automatizar solo cuando lo anterior está razonablemente bajo control. Esa es la secuencia. Todo lo que se salga de ahí suele acabar en frustración, en gasto innecesario o en problemas evitables.
Conclusión
Si algo debería quedar claro después de este recorrido es que la gobernanza de datos y la seguridad de la información no son un lujo, ni una moda pasajera, ni un requisito impuesto desde fuera por reguladores con exceso de celo. Son, simple y llanamente, una condición necesaria para que cualquier organización funcione con un mínimo de rigor en un entorno donde la información lo es casi todo.
Pero también debería quedar claro algo igual de importante, que no hace falta ser una gran corporación para hacer las cosas razonablemente bien, ni disponer de presupuestos desorbitados, ni contratar ejércitos de consultores. Hace falta, sobre todo, voluntad de dejar de improvisar, disciplina para mantener lo que se implanta y criterio para no caer en la trampa de las soluciones milagro.
Entre el caos cotidiano y la perfección inalcanzable existe un espacio perfectamente habitable donde operan las organizaciones que, sin hacer ruido ni colgarse medallas, gestionan su información con cabeza, reducen sus riesgos y toman decisiones con datos en los que pueden confiar.
Y en ese terreno, como en casi todos los que merecen la pena, la diferencia no la marca quien sabe más, sino quien hace lo que debe cuando toca.
