En principio, creo que la lege ferenda, por decirlo en fino, sobre el futuro Reglamento de Protección de Datos de Carácter Personal, y asuntos conexos de la LOPD, que podría aparecer en el BOE durante la primavera del próximo año, debería afectar consecuentemente a los presupuestos de inversiones y/o gastos del citado 2006; incluso con la incógnita de sus modificaciones finales y fechas de entrada en vigor, dicha modificación reglamentaria en curso es un asunto de extrema importancia, por su impacto, para todas las organizaciones, y muy concretamente para las áreas TIC y de seguridad TIC.
Pero hecha esta salvedad, resulta oportuno precisar en alguna medida, lo que se entiende como el Presupuesto, con mayúscula –anual, claro–, dentro de cada corporación, esto es, un documento que guiará el proceso de creación de valor de la entidad durante el próximo ejercicio, y que se presenta como la mejor estimación cuantificada en unidades monetarias, euros en España, de inversiones, gastos e ingresos.
También procede recordar que la historia corporativa enseña que a efectos presupuestarios “la solución de considerar el futuro como una mera continuación del pasado o del presente parece demasiado simple y ha sido en múltiples casos, la razón de fracaso”. La burbuja punto como nos lo confirma.
|
Aunque la inversión en TIC / Seguridad TIC, se realiza tanto en Activos Tangibles como en Activos Intangibles, los procesos de creación de valor están basados cada vez más en estos últimos. Y esto requiere una atención especial, por cuanto –dígase lo que se diga–, en materia de gestión de riesgos de información, la filosofía subyacente siempre es, en última instancia, intangible.
Merece la pena señalar la instrumentación conceptual, tanto del Balance de Situación y Cuenta de Resultados, en sus dos versiones más características a estos efectos, para saber qué se pretende y qué se ha conseguido, esto es, que si se refiere al Presupuesto ambos documentos son previsionales, y si se corresponde al resultado del ejercicio son reales. Esto último actúa como una especie de control de cumplimiento, ya que permite saber si se ha hecho lo previsto.
Indudablemente, algo tan evidente señala que el ejercicio anual es la medida de duración habitual y convencional utilizada, y artificial, que para bien o para mal la realidad ha rebasado, apareciendo dos submúltiplos: el mensual y el trimestral a efectos de la rendición de cuentas, tanto interna como externa. Y claro, hay que mencionar que el quarterly report tiene yuyu. Todo ello, bien entendido que la realidad, parcial o total, de los proyectos de inversión suelen ser plurianuales (planes directores...), ya que al afectar a varios ejercicios, presentan compromisos adquiridos anteriormente que inciden tanto en los ejercicios venideros como en el actual.
En mi opinión, si las corporaciones no son ONG´s, conviene reiterar que el incremento de resultados corporativos tienen dos componentes: uno, reducción de gastos y, otro, incremento de ingresos.
Pues bien, ha llegado el día H+1, ha llegado la hora de la verdad, puesto que a estas alturas el Responsable de Seguridad TIC ya debería conocer el trozo de la “tarta” presupuestaria que corresponde a su área.
En mi opinión, primero, deberá evaluar la situación para determinar el nivel de cobertura de objetivos, y después, consensuar con sus clientes internos (propietarios y usuarios, en argot TIC) la parte realizable.
|
Tras esto, conviene potenciar el registro de fallos y su valoración económica –incluyendo el lucro cesante–, y del daño emergente, temas conflictivos como es sabido.
Y algo esencial, estimular la valoración de activos a efectos de la gestión del riesgo, recordando, entre otras normas: la UNE 71501 3:2001, la UNE ISO/IEC 17799:2002 (mientras esperamos la adopción por Aenor como norma UNE de la ISO/IEC 17799:2005) y las NIC/NIIF, en implantación.
Por último, quizá convenga hacer hincapié en que hay que mantenerse al día en lo concerniente a los Intangibles, asunto vidrioso y en continua evolución, en sus tres aspectos: capital humano, capital estructural (organizativo y tecnológico), y capital relacional (de negocio y social), pues el tema está claro, ya que la contabilidad actual como el NIC/NIIF, son sistemas de medida manifiestamente mejorables; no obstante las entidades tienen y deben continuar en funcionamiento, incluso actualizando su plan de supervivencia. Una buena noticia es que tanto AECA como el Instituto de Análisis de Intangibles continúan su labor de búsqueda de propuestas y soluciones. |