También,
poco a poco, el responsable de seguridad está dejando de ser el
chico de los virus, de los cortafuegos, de los hackers; está
dejando de ser el bombero que actúa reactivamente ante los incidentes.
El responsable de seguridad se va constituyendo en un gestor del riesgo.
Incluso poco a poco, las empresas se plantean implantar sistemas de gestión
de la seguridad de la información (SGSI), tras quizás experiencias
positivas con sistemas tipo ISO 9000 o ISO 14000.
Para la implantación de un SGSI, el responsable de seguridad se
encontrará sin duda con dificultades sobre cómo realizar
un buen análisis de riesgos, un inventario de activos, y cómo
construir y mantener un cuadro de mando de seguridad. Pero, sea como fuere,
llegará a tener una visión de los puntos donde el negocio
que debe proteger tiene mayores riesgos de seguridad de la información
y de dónde debe implantar una serie de controles.
Una vez implantado el SGSI, el responsable de seguridad se encontrará
con que ya tiene una visión de la situación de la seguridad
en su empresa, y de que, además, podrá escalarla a la dirección.
Verá, asimismo, que puede manejar mejor la externalización
de SI, controlar todo lo relativo a la LOPD, etc...; puede permitirse
ser proactivo, aprender de los incidentes, hacer planes de acción
con una supuesta proyección medible en la mejora de la seguridad.
Pero, en realidad, llegado a ese punto, el responsable de seguridad se
encontrará con un modelo de conformidad con el SGSI: ¿cuántos
de los controles necesarios tengo implantados?, ¿cuántos
me faltan? ¿Pero es eso suficiente? ¿Puedo estar ya seguro
cuando los implante? La respuesta es claramente no.
Hay consenso en considerar a la seguridad como un proceso, y este modelo
de conformidad -que es incluso certificable -, debe evolucionar hacia
un modelo de nivel de desempeño, un modelo, digamos, de performance.
La cuestión no es tanto si el control es necesario y está
implantado o no, sino que va más allá, a la optimización
del control y su integración en el día a día de la
compañía. No es tanto el conocer la situación actual
de la seguridad en una empresa sino cómo de bien se gestiona en
ella la seguridad a lo largo del tiempo.
Por ejemplo, es importante que exista un mecanismo de control de acceso,
pero también lo es que esté documentado, que exista un procedimiento
de cambio del control, un procedimiento de formación a un nuevo
administrador, etc.
Al final, el modelo se debe acercar a aspectos ya conocidos en el área
de la calidad. Estoy seguro de que en lo próximos años encontraremos
en las empresas direcciones ejecutivas de Calidad y Seguridad con la misión
de asegurar que estos dos aspectos estén integrados en el devenir
del negocio de forma intrínseca.
|
Pero
si ha costado mucho el acercamiento al modelo de conformidad con los controles
ISO 17799, desarrollar normas certificables, ver el interés para
el negocio de las mismas, a pesar del 11S y el 11M, incidentes varios, tormentas
de correos y virus, etc., etc. Parece imposible conseguir concienciar a
la Dirección de las empresa para que pongan sobre la mesa los recursos
necesarios para llegar a tener un modelo de nivel de desempeño, un
modelo de performance, que alinee la seguridad y la calidad con el negocio
en los aspectos clave del mismo.
Pues bien, el argumento que podría utilizarse para dar el paso adelante
en la inversión en Calidad y Seguridad puede encontrarse e, incluso,
puede ser expresado en el idioma que manejan los directivos. Las mejores
empresas del mundo son las que más invierten en calidad y seguridad.
Organizaciones como 3M, Ikea, Wallmart, General Electric, Inditex, son empresas
que incluso viéndolas desde fuera, como cliente final, se puede afirmar
que tienen la calidad y la seguridad integradas en el devenir de sus negocios.
En este sentido, lo que hay que preguntarse es si han llegado a la posición
dominante que tienen porque invirtieron mucho dinero en calidad y seguridad,
o si invierten mucho en estos dos aspectos porque, dada su posición,
disponen de enormes recursos.
La respuesta es quizás mitad y mitad, pero una cosa está clara:
una empresa logra una posición dominante en un mercado por innovación,
por precio, o por la calidad de sus productos o servicios. Si esa empresa
quiere sostener esa posición en el tiempo ha de invertir y mucho
en calidad y seguridad; si no lo hace, en poco tiempo aparecerá otra
empresa que hará lo mismo pero siendo más competitiva, desbancando
a la primera de su posición dominante del mercado.
Desde el otro lado, una organización que quiera ganar posición
en un mercado debe intentar poner en el mercado productos y servicios mejores
que los de la competencia, es decir, ser más competitiva (más
rápido, más barato, más fiable...). Si invierte en
calidad y seguridad podrá conseguirlo de manera sostenida en el tiempo;
si no lo hace, será probablemente flor de un día.
Por tanto, dar un paso más en la inversión en la seguridad,
evolucionar a un modelo de madurez, no es una opción, es un deber,
si la dirección quiere asegurar la continuidad del negocio en el
tiempo. Hay que cambiar la lente, dejar de ver la seguridad como un mal
necesario del negocio, y verla como un motor, un posibilitador más
del negocio. |