SEGURIDAD: dependencia de la función

Con la que está cayendo, bien merece que en esta entrega nos detengamos en el magmático asunto de la seguridad en las corporaciones, amplísimo concepto vinculado tan estrechamente con los de la seguridad de la información y la seguridad de las TIC, que sin estos segundos no sería pensable hablar del primero. En consecuencia, una entidad que no se preocupe activamente por la seguridad de su información ni por la de sus TIC (a efectos organizativos y técnicos), ampliamente entendidas ambas, desconocerá sus riesgos, no podrá desplegar las funciones de control y de auditoría y, en suma, estará en la orilla opuesta del buen gobierno, que es cosa poco recomendable siempre y hoy en especial.
JOSÉ DE LA PEÑA SÁNCHEZ
Auditor Censor Jurado de Cuentas
y Licenciado en Informática
info@codasic.com
No me resisto en este punto a tirar de citas. Por ejemplo, ésta de Ariño, no tiene desperdicio a la hora de contextualizar. Dice así: “El sistema capitalista se basa en la confianza y empieza por dar, arriesgar y crear. El mercado se basa en la lealtad, en la igualdad de información, en la garantía de veracidad. Y es función esencial del Estado asegurar este ejercicio correcto de la ibertad, bajo el control de tribunales independientes”.
Vayamos ahora con otra, en este caso de Roosevelt, quien años ha dijo aquello de que “Se puede engañar a una persona durante todo el tiempo; se puede engañar a todo el mundo durante un rato; pero no se puede engañar a todo el mundo durante todo el tiempo”.
La epidemia (casi endemia) Enron (caso cero) ha afectado a las bolsas de todo el mundo; el ciclo económico no explica lo que está sucediendo, la bolsa baja, el oro sube... Las sociedades mercantiles multinacionales cotizadas (con más poder que muchos estados) son realmente propiedad de muchos pequeños accionistas (o inversores), directamente o a través de inversores institucionales (fondos de pensiones, ...), que continúan observando sobresaltados la olimpiada de acontecimientos desencadenados por un fallo generalizado del corruptómetro.
Bien puede decirse que la atmósfera de desconfianza en la “nomenklatura” (aristocracia devenida en oligarquía) ha malogrado las expectativas –al menos a corto y medio plazo– del capitalismo popular occidental. Además, la reacción, digamos que el freno al descontrol, está llegando pelín tarde y mal, acarreando el elevado riesgo de sobrerregulación. Visto lo visto, no es mal momento el que se nos presenta para fijar y dar esplendor a los entes reguladores y supervisores.
Guste o no guste, se vea o no relación, este y no otro es el escenario actual en el que se desarrolla y crece la función de seguridad en el contexto de las empresas. Pero antes de entrar a estimar su posible ubicación óptima, tanto en la corporación como en el resto del grupo (en cada caso concreto conviene estudiar el perímetro de consolidación), y teniendo en cuenta –a fin de evitar conflictos de intereses y la pseudo-coordinación de funciones– la existencia y atribuciones de la Comisión de Auditoría y de la Auditoría Interna, me van a permitir algunas reflexiones.
La función básica de seguridad en una empresa debe depender directamente de su Consejero Delegado
Resulta evidente que la legislación (normativa, en sentido amplio) mercantil está bastante obsoleta, por lo que no se adapta a las necesidades presentes y futuras. Prueba de ello es la polémica Ley 34/2002, de 11 de julio, de Servicios de Sociedad de la Información y del Comercio Electrónico, tanto en términos generales como en particular en lo tocante a la modificación que acarrea su entrada en vigor en los Códigos Civil y de Comercio al modificarse el consentimiento para la existencia de contratos.
De otra parte, las normas blandas (informe Olivencia, por ejemplo) no se han mostrado eficientes, por lo que parece que habrá que profundizar por la vía de las normas duras, esto es, Dura Lex, Sed Lex.

ESTRUCTURA SUPERIOR Y SEGURIDAD
En los tiempos que corren, el garantismo se ha llevado a límites con efectos perversos, olvidándose de las víctimas, lo que podría llevar a colapsar (o casi) al sistema socio-económico. Quizá este fenómeno pueda definirse como Entropía Organizativa, o sea, “... La tendencia de cualquier organización a deteriorarse por la gradual decadencia que de forma natural se opera entre las fuerzas que la cohesionan”. Tamames dixit.
Creo que la estructura superior de la sociedad podría orientarse, si se confirman las actuales tendencias, a separar en el nivel superior las misiones de supervisión y control, esto es, el Consejo de Administración, de las misiones de gestión y dirección, que serían propias del Ejecutivo, esto es, del Consejero Delegado y del Equipo de Dirección. En consecuencia, la conexión entre el Consejo de Administración y el Equipo de Dirección sería el Consejero Delegado, que forma parte de ambos.
El vocablo independiente, según la RAE (edición 22/2001) significa “que no tiene dependencia, que no depende de otro”, por lo que entre el informe Olivencia y la realidad más radical de la vida procede correr un tupido velo sobre lo que significa consejero independiente, separación de poderes, comisiones delegadas del consejo de administración...
Llegados a este punto, y sin hacer distingos en esta entrega entre seguridad de la información, seguridad TIC y otras “seguridades”, conviene que el autor se moje dando su opinión acerca de la ubicación de la función básica de seguridad, que no es otra que aquella que nos lleva –siguiendo a Fayol– a hacerla depender directamente del Consejero Delegado, como una de las cinco funciones básicas restantes, cumpliendo el óptimo empírico de siete que debe comprender el Ejecutivo, formado por el Consejero Delegado (nivel 1) y los seis Directores Generales (nivel 2).
Por aquello de la división del trabajo y la separación de funciones, la Comisión Delegada del Consejo de Administración para la Auditoría y Cumplimiento, supervisaría la Auditoría Interna y coordinaría las relaciones con la Auditoría Externa.
Además, es importante tener en cuenta en lo que atañe a la Dirección General de Seguridad, en evitación de conflictos de intereses, recordar, entre otros, los riesgos que entrañan para la empresa la información privilegiada acerca de los secretos corporativos, la endogamia, la rotación y los cambios de empresa, el personal externo, e incluso la cooptación de consultores, asesores o auditores externos.
Algunos de estos puntos, por no decir todos, conciernen muy especialmente al sistema de información, a saber: personas, actividades, soporte tecnológico, medios de comunicación y datos, según la tendencia marcada por Rincón/Plágaro.
Para concluir, conviene recordar que todo lo dicho tiene carácter general, y que, a los efectos actuales, el de la dependencia de la función básica de seguridad es el asunto más apasionante. Pero quedan otros; por ejemplo, el de la definición (o redefinición) de la función en sus distintos frentes o, digamos, apellidos: seguridad de la información, investigación, seguridad TIC (desarrollo, gestión y administración)..., o el del dibujo del perfil profesional que demanda la función de seguridad. Interesante, ¿verdad?.

Documento en PDF
 

<volver