UN PASO ADELANTE EN LA INVERSIÓN EN CALIDAD Y SEGURIDAD


Poco a poco las medianas y grandes empresas van tomando conciencia de que hemos pasado de la era del capital a la era de la información, y de que, dónde antes ponían esfuerzo en proteger el capital, ahora deben esforzarse en proteger también la información, pues este es uno de sus activos más importantes.

José Miguel Rubio Varas
Responsable de Seguridad Informática
Uni2

También, poco a poco, el responsable de seguridad está dejando de ser el chico de los virus, de los cortafuegos, de los hackers; está dejando de ser el bombero que actúa reactivamente ante los incidentes. El responsable de seguridad se va constituyendo en un gestor del riesgo. Incluso poco a poco, las empresas se plantean implantar sistemas de gestión de la seguridad de la información (SGSI), tras quizás experiencias positivas con sistemas tipo ISO 9000 o ISO 14000.
Para la implantación de un SGSI, el responsable de seguridad se encontrará sin duda con dificultades sobre cómo realizar un buen análisis de riesgos, un inventario de activos, y cómo construir y mantener un cuadro de mando de seguridad. Pero, sea como fuere, llegará a tener una visión de los puntos donde el negocio que debe proteger tiene mayores riesgos de seguridad de la información y de dónde debe implantar una serie de controles.
Una vez implantado el SGSI, el responsable de seguridad se encontrará con que ya tiene una visión de la situación de la seguridad en su empresa, y de que, además, podrá escalarla a la dirección. Verá, asimismo, que puede manejar mejor la externalización de SI, controlar todo lo relativo a la LOPD, etc...; puede permitirse ser proactivo, aprender de los incidentes, hacer planes de acción con una supuesta proyección medible en la mejora de la seguridad.
Pero, en realidad, llegado a ese punto, el responsable de seguridad se encontrará con un modelo de conformidad con el SGSI: ¿cuántos de los controles necesarios tengo implantados?, ¿cuántos me faltan? ¿Pero es eso suficiente? ¿Puedo estar ya seguro cuando los implante? La respuesta es claramente no.
Hay consenso en considerar a la seguridad como un proceso, y este modelo de conformidad -que es incluso certificable -, debe evolucionar hacia un modelo de nivel de desempeño, un modelo, digamos, de performance.
La cuestión no es tanto si el control es necesario y está implantado o no, sino que va más allá, a la optimización del control y su integración en el día a día de la compañía. No es tanto el conocer la situación actual de la seguridad en una empresa sino cómo de bien se gestiona en ella la seguridad a lo largo del tiempo.
Por ejemplo, es importante que exista un mecanismo de control de acceso, pero también lo es que esté documentado, que exista un procedimiento de cambio del control, un procedimiento de formación a un nuevo administrador, etc.
Al final, el modelo se debe acercar a aspectos ya conocidos en el área de la calidad. Estoy seguro de que en lo próximos años encontraremos en las empresas direcciones ejecutivas de Calidad y Seguridad con la misión de asegurar que estos dos aspectos estén integrados en el devenir del negocio de forma intrínseca.

En los próximos años encontraremos en las empresas direcciones ejecutivas de Calidad y Seguridad con la misión de asegurar que estos dos aspectos estén integrados en el devenir del negocio de forma intrínseca.
Pero si ha costado mucho el acercamiento al modelo de conformidad con los controles ISO 17799, desarrollar normas certificables, ver el interés para el negocio de las mismas, a pesar del 11S y el 11M, incidentes varios, tormentas de correos y virus, etc., etc. Parece imposible conseguir concienciar a la Dirección de las empresa para que pongan sobre la mesa los recursos necesarios para llegar a tener un modelo de nivel de desempeño, un modelo de performance, que alinee la seguridad y la calidad con el negocio en los aspectos clave del mismo.
Pues bien, el argumento que podría utilizarse para dar el paso adelante en la inversión en Calidad y Seguridad puede encontrarse e, incluso, puede ser expresado en el idioma que manejan los directivos. Las mejores empresas del mundo son las que más invierten en calidad y seguridad. Organizaciones como 3M, Ikea, Wallmart, General Electric, Inditex, son empresas que incluso viéndolas desde fuera, como cliente final, se puede afirmar que tienen la calidad y la seguridad integradas en el devenir de sus negocios.
En este sentido, lo que hay que preguntarse es si han llegado a la posición dominante que tienen porque invirtieron mucho dinero en calidad y seguridad, o si invierten mucho en estos dos aspectos porque, dada su posición, disponen de enormes recursos.
La respuesta es quizás mitad y mitad, pero una cosa está clara: una empresa logra una posición dominante en un mercado por innovación, por precio, o por la calidad de sus productos o servicios. Si esa empresa quiere sostener esa posición en el tiempo ha de invertir y mucho en calidad y seguridad; si no lo hace, en poco tiempo aparecerá otra empresa que hará lo mismo pero siendo más competitiva, desbancando a la primera de su posición dominante del mercado.
Desde el otro lado, una organización que quiera ganar posición en un mercado debe intentar poner en el mercado productos y servicios mejores que los de la competencia, es decir, ser más competitiva (más rápido, más barato, más fiable...). Si invierte en calidad y seguridad podrá conseguirlo de manera sostenida en el tiempo; si no lo hace, será probablemente flor de un día.
Por tanto, dar un paso más en la inversión en la seguridad, evolucionar a un modelo de madurez, no es una opción, es un deber, si la dirección quiere asegurar la continuidad del negocio en el tiempo. Hay que cambiar la lente, dejar de ver la seguridad como un mal necesario del negocio, y verla como un motor, un posibilitador más del negocio.

Documento en PDF
 

<volver