Seguridad, ¿cuándo dar el salto?

Las organizaciones cambian constantemente; es posible que algunas cambien por capricho pero la gran mayoría cambian para subsistir. El origen de los cambios es diverso: algunos tienen que ver con iniciativas internas de la empresa, otros están condicionados por la relación con terceras partes (clientes, proveedores, socios, etc.) y, por supuesto, hay cambios que vienen forzados por el entorno. Por ejemplo, un cambio en el marco legislativo puede forzar a la organización a modificar sus procesos a fin de cumplir los nuevos requisitos regulatorios.

Todos tenemos claro que los cambios, sea cual sea su origen u objetivo, tienen lugar y por lo tanto, se deben gestionar adecuadamente para evitar que éstos repercutan negativamente en la seguridad de la organización.

En el escenario descrito, donde las organizaciones cambian y evolucionan, ¿qué papel juega la seguridad?, ¿es una carga?, ¿es un factor facilitador o por el contrario es un factor que añade complejidad innecesaria? En la presente entrada vamos a analizar algunas cuestiones relacionadas con la seguridad a lo largo del “ciclo de vida” de una organización.

Etapa 1: Nacimiento.
En un escenario ideal, una organización recorrería su camino acompañada en todo momento de la “Seguridad”. En primer lugar, cuando la organización se está creando o se creó recientemente, hay pocos “activos” que proteger pero a su vez, es muy importante que éstos se protejan adecuadamente. Sin duda depende mucho del tipo de organización pero pongamos por caso una pequeña empresa que tiene una buena idea (o una gran idea). En este caso, mantener esa idea bien protegida es fundamental. Si la idea llega a otra organización, ésta puede adelantarse y, como ya sabemos, en muchos ámbitos ser el primero en ofrecer “algo” nuevo es crucial para el éxito.

Etapa 2: Primeros pasos.
Una vez se han desarrollado los primeros proyectos, la organización sale del rodaje. No es de extrañar que se hayan tenido que apagar algunos fuegos debido a que no se habían tomado las medidas adecuadas para prevenir o mitigar algunos riesgos. En esta etapa tomar acciones para mantener unos niveles de seguridad adecuados permitirá que la organización evolucione dando pasos firmes. Pongamos por caso una pyme que propicia una fuga de información relacionada con uno de sus clientes. Esto es negativo sea cual sea el grado de madurez de la organización pero resulta especialmente negativo en los primeros pasos ya que la reputación de la misma puede verse afectada. En función de la magnitud del incidente, algunos clientes podrían decidir prescindir de los servicios. Además, los clientes potenciales rara vez adquirirán productos o solicitarán servicios de una organización de la que desconfían.

Etapa 3: Madurez.
Siguiendo un orden cronológico de las etapas por las que pasa una organización, llegamos a la madurez. En esta etapa, la organización está asentada en el mercado. Dispone de cierta estabilidad y de un conjunto amplio de clientes. Aunque las mejores prácticas en temas de seguridad se pueden aplicar a todas las organizaciones, con independencia de su tamaño, suelen ser las organizaciones maduras las que mejor pueden adaptar sus procesos e incorporar una gestión eficaz de la seguridad. Ahora no entraremos en detalle sobre la importancia y beneficios que tiene la seguridad para las organizaciones que han alcanzado este grado de madurez, en el presente blog podemos encontrar múltiples ejemplos en los que nos pronunciamos al respecto.

Etapa 4: Cierre.
Finalmente, la última etapa correspondería con el cierre de la organización. Incluso en esta fase final, es importante no descuidar la seguridad porque finalizar la provisión de servicios de una forma planificada y ordenada deja la puerta abierta a que en un futuro, se pueda volver a contar con los mismos clientes. Es cierto que generalmente se tiene una visión negativa de las empresas que cierran. Es poco habitual ver la gestión empresarial como un campo más en el que se aprende de los errores. Posiblemente la gente involucrada en la organización habrá aprendido mucho de esta “dura” experiencia, pero experiencia al fin y al cabo.

Llegado a este punto habría que plantearse ¿porqué hay organizaciones que descuidan su seguridad? En mi opinión, esto se debe principalmente a dos motivos: El primero es el “desconocimiento”. El hecho de que el personal no sea consciente de hasta qué punto está “expuesto” a las amenazas y del riesgo que la organización corre. Esto propicia que se descuiden los temas relacionados con la seguridad.

El segundo motivo es sencillamente porque la organización espera el momento adecuado para “dar el salto” y abordar de forma adecuada la gestión de la seguridad. Típicamente solemos encontrarnos con comentarios del estilo de “No tenemos suficientes recursos”, “estamos muy liados con los proyectos”, “ahora no es el mejor momento”, etc. ¿Estos comentarios son argumentos o excusas? Posiblemente sean excusas pero debemos admitir que en el día a día de las organizaciones resolver la carga de trabajo es lo primordial y no es tarea sencilla abordar otras cuestiones como la gestión de la seguridad. Aún así, creo que no es adecuado hacer un planteamiento como si de una dieta se trata “empiezo el lunes”, “empezaré la semana siguiente”, “en las fechas en las que estamos, me espero y empiezo con el nuevo mes”, “me pongo a dieta después de navidades”…

¿Cuándo se debería dar el salto?
Ya, lo antes posible. Ahora bien, si resulta complicado abordar la gestión de la seguridad como un proyecto independiente, un buen método puede consistir en abordar dicha gestión de forma progresiva a medida que se desarrollan otros proyectos. Dicho de otra manera hacer que los cambios de la organización sean los “catalizadores” que contribuyen a mejorar la seguridad.

Creo que una forma adecuada de asimilar la gestión de la seguridad como una parte más de la organización es ir incluyéndola progresivamente junto con otros proyectos. Dicho de otra manera, aprovechar los cambios de la organización para introducir mejoras en la seguridad. Por ejemplo, si una organización lleva a cabo un proyecto de adecuación a la LOPD y RDLOPD, puede tratar de ir más allá de lo estrictamente exigido por la ley y ampliar el alcance para que cubra otros aspectos que no estén directamente relacionados con los datos de carácter personal. Si una organización requiere más espacio de almacenamiento, sería conveniente que antes de realizar la ampliación se tuviera en consideración cómo se realizará el backup de esos datos (en caso de que sea necesario). Este puede ser un buen momento para plantear mejoras en la política de copias de seguridad o directamente, para plantear hacer backup de los datos críticos porque, aunque parezca mentira, puntualmente seguimos encontrándonos con casos en los que organizaciones relativamente maduras siguen sin tener un backup en condiciones, etc.

Antes de despedirnos, me gustaría recalcar que la situación expuesta en el “ciclo de vida de la organización” es un tanto utópica y somos conscientes de que en la práctica, aún existen muchas organizaciones (cada vez menos) que evolucionan sin prestar atención a las cuestiones relacionadas con la seguridad. No obstante, incluso analizando con un ejemplo tan simple como el descrito, observamos que es necesario gestionar la seguridad durante todo el “ciclo de vida” de la organización. Creo que puede resultar positivo para nuestros lectores hacer una pequeña reflexión sobre cómo se gestiona la seguridad en sus respectivas organizaciones y, en caso de encontrarse en situación de “dar el salto”, les animamos a dar el primer paso, con la estrategia que mejor se adapte a su organización y con una propuesta realista que aporte valor a la organización.

Espero que la entrada os haya resultado interesante. No dudéis en compartir con nosotros aquellas experiencias que han contribuido a mejorar la gestión de la seguridad en vuestras organizaciones. ¡Hasta la próxima!