¿Todo lo que no son cuentas son cuentos?

II Jornada internacional organizada por ISMS Forum
Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa

Hace tiempo una persona de confianza me propuso dar una conferencia sobre sistemas de gestión relacionados con la Responsabilidad Social Corporativa. Corrían los tiempos en los que empezábamos a hablar del Sistema de Gestión de Seguridad de la Información en serio. Eran tiempos en los que S2 Grupo acababa, con mucho esfuerzo y apuesta personal, de conseguir que Carlos Manuel Fernández en nombre de AENOR, como Auditor Jefe, certificase en base a la recién nacida UNE 71502 el Sistema de Gestión de Seguridad de la Información de Francisco Ros Casares, la primera certificación de este sistema en España. La verdad es que en aquel momento me pareció una idea interesante. Me pareció que teníamos algo que decir, que teníamos que hablar de los nuevos sistemas de gestión (el de seguridad) y su relación con la Responsabilidad Social Corporativa (RSC).

¡¡Estaba totalmente equivocado!! El resultado se lo pueden ustedes imaginar…

Los asistentes al evento eran técnicos y directivos de grandes empresas, de la administración pública y de consultoras especializadas y, en mi opinión, de lo que hablaban y lo que querían escuchar eran cosas completamente distintas. Hablaban de gestión medioambiental, de recursos humanos o gestión del personal, de gestión financiera, de trasparencia, del código Conte, del número de mujeres que debían participar en los consejos de administración,… y ni una sola mención a la seguridad, a la monitorización de procesos —incluido el de gestión de la seguridad— ni a la gestión en tiempo real. ¡¡¡Vaya chasco!!! Estaba como pez fuera del agua, y el caso es que seguía convencido con el hecho que teníamos mucho que decir en ese contexto, pero la percepción es que estaba hablando en un idioma que ni podían ni querían entender. Un fallo de preparación, sin duda, y la Seguridad una grandísima ausente.

La vida sigue. La experiencia no fue positiva, pero de esto también se aprende. Creí por un momento que la convicción profunda que tenía sobre el hecho de que la RSC no podía relegar a un ámbito técnico o tecnológico los asuntos relacionados con la seguridad, con la gestión en tiempo real, con la monitorización de procesos, estaba infundada. En definitiva que el leit-motiv de nuestro proyecto empresarial, el de S2 Grupo, no convergería nunca con algo en lo que creía profundamente: “Las obligación que tienen las empresas de desarrollar su negocio de forma sostenible, cuidando la conciliación de la vida familiar y profesional, cuidando de su entorno y de la sociedad en la que viven, cuidando de la confianza que se deposita sobre ella, cuidando sus cuentas, cuidando de la información: la de carácter personal y la que no lo es, cuidando de sus resultados, de sus activos, de … TODO. Es una OBLIGACIÓN, no una opción».

Una conversación con mi socio y amigo al respecto volvió a darme la confianza perdida por unas horas y el trabajo duro siguió.

Hace unas semanas me llegó la invitación del ISMS Forum, asociación española para el fomento de la seguridad de la información, de la que, como no podía ser de otra forma, S2 Grupo es miembro, a la II jornada internacional organizada en colaboración con INTECO y con el título: “Seguridad de la Información: Una cuestión de Responsabilidad Social Corporativa».

No se pueden imaginar ustedes la alegría que me lleve. Los tiempos han cambiado un poco. Las entidades con su SGSI certificado son ya muchas. Solo AENOR tiene ya más de 80 organizaciones certificadas según dato aportado por D. Avelino Brito en su intervención en la jornada, entre ellas S2 Grupo como la primera en la Comunidad Valenciana con la ISO 27001.

Me gustó el planteamiento inicial de la jornada y me ha gustado, en líneas generales, el contenido de la misma.

A pesar de que el plato fuerte de la jornada era, a priori, la intervención en directo de Bruce Schneier que como era de esperar estuvo francamente bien, yo quiero destacar el panel de expertos en el que un grupo de personas, no técnicas de la seguridad informática, disertaron durante un buen rato sobre las relaciones entre la Responsabilidad Social Corporativa —o como D. Javier López-Galiacho decía Responsabilidad Corporativa— y la Seguridad de la Información. Estuvo francamente bien.

D. Javier López-Galiacho, Director de Responsabilidad Corporativa de FCC, hizo una exposición brillante en mi opinión sobre los conceptos básicos de la Responsabilidad Corporativa, ya que según defiende esta responsabilidad no sólo es social, y le hizo los guiños justos a la Seguridad de la Información cuando pasó por encima del Buen Gobierno.

Y es que no puedo estar más de acuerdo con lo que dijeron los miembros del panel en este sentido. Sí, señores, ¿acaso no forma parte del buen gobierno gestionar, controlar y monitorizar que los accesos de nuestros sistemas de información son los que deben ser y no otros? ¿acaso no es un asunto de buen gobierno garantizar que la información de nuestros empleados está a buen recaudo y no en manos de un desaprensivo que quiera usarla para fines no lícitos? ¿acaso no es un asunto de buen gobierno gestionar correctamente los soportes con información confidencial y secreta que de nuestra organización circula por el mundo? Yo creo que sí y ayer se habló públicamente de esto. ¡¡Sí señor!! La Responsabilidad Social Corporativa debe tener en cuenta, en el lugar que le corresponde, la necesidad de gestionar la seguridad de la información, debe escuchar cuanto tenemos que decir los profesionales que nos dedicamos a esto.

Mientras las empresas que cotizan en la bolsa americana sudan la gota gorda para cumplir la SOX y en particular su sección 404 que habla de seguridad y de gestión en tiempo real entre otras cosas, nuestra sociedad, a este lado del atlántico, discute airadamente sobre el porcentaje de mujeres que debe haber en un consejo de administración de una empresa o si el código Conte es un código demasiado intrusivo o si debe o no debe el estado regular determinado tipo de situaciones. ¿No estará en el término medio la virtud?

En fin, como conclusión diré que 350 personas nos hemos sentado en torno a una mesa (¡¡enorme!!) para hablar de Seguridad y Responsabilidad Social Corporativa. ¡¡Será por algo!! Varias veces se dijo en tono irónico “todo lo que no son cuentas son cuentos» Pues no señores, hay muchas cosas que no son cuentas que tampoco son cuentos…

En definitiva, ¡¡enhorabuena a Gianluca y al resto de la junta por el éxito del evento!!