No es momento de ir cada uno por su lado. Nunca lo es dentro de una empresa, y ahora mucho menos. La seguridad no puede ahogar al negocio, y éste no puede avanzar dejando atrás unos riesgos que podrían lastrarlo o dar al traste con sus aspiraciones en cualquier momento. Ambos deben ir juntos y alineados.
Al hilo del cierre de presupuestos de 2008, comentábamos la importancia que los gastos en seguridad global podrían tener respecto al previsible aumento de los riesgos derivados de la tan cacareada crisis que, a la postre, parece estar resultando más dura de lo que preveíamos. Al final, llegábamos a la conclusión -quod erat demonstrandum- que no eran simples gastos sino, poco menos, que la seguridad generaba riqueza; el Retorno de la Inversión en Seguridad (Rosi) era la panacea que tanto habíamos buscado para convencer a los CEO y a sus implacables departamentos financieros de no ser unos parásitos merecedores del mayor recorte en estos tiempos de no muy pingües beneficios.
¿Es esto posible? ¿Intentamos engañar a alguien o a nosotros mismos, o tal vez es que los departamentos de seguridad de las empresas van ‘por libre’? La verdad es que puede llegar a convertirse en un arma de doble filo con resultados nefastos si no somos capaces de comprender y alinear los verdaderos objetivos del negocio con los gastos necesarios para sustentarlos.
No es tan difícil, bastaría con un poco de coherencia y de sentido común, sin dejarnos atar por viejas fórmulas individualistas, para irnos acercando a un modelo integrador, sinérgico y, muy importante en estos tiempos, reductor de gastos. Todos los departamentos de una empresa deben trabajar integrados como un todo y sin conformarse con una mera coordinación de acciones individuales. Bien está la coordinación cuando no se puede aspirar a más, pero suele ser claramente insuficiente en sistemas tan complejos como lo son las modernas y sofisticadas empresas de hoy día. Tampoco podemos creer que un departamento atomizado y descoordinado en su interior, pueda contribuir de forma eficaz a alcanzar los objetivos globales de su empresa.
La convergencia de intereses nos lleva a pensar en la convergencia de disciplinas dentro de cualquier departamento y del de seguridad en particular. No puede la seguridad alinearse con el negocio si no es capaz de alinearse consigo misma.
Uno de los problemas es que nos encontramos ante diferentes niveles de desarrollo de los sistemas de gestión de seguridad. Mientras que la rama lógica -ventajas de su relativa bisoñez- ha avanzado sustancialmente en la estandarización de sus procesos de gestión, utilizando las mismas herramientas y con la misma mentalidad que las otras ramas del negocio, la seguridad física tradicional -y sus derivadas laboral y medioambiental entre otras- se ha ido quedando un poco atrás, anclada en viejos procesos, aunque hasta ahora razonablemente eficaces, que le permiten afrontar el día a día de la gestión de ‘sus’ riesgos, aunque abocada a un aislamiento del negocio cada vez más patente. No es cuestión de que los gestores de la seguridad física modernicen sus sistemas detectores de intrusos, incendios o cualquier otro de los que con gran profusión y sofisticación tecnológica nos oferta el mercado actual; es más bien una cuestión de redefinición de objetivos, modernización de sus sistemas de gestión, búsqueda de sinergias y, en definitiva, reencontrarse con el negocio al que sirve y del que forma parte intrínsecamente.
En este aún demasiado atomizado mundo de la seguridad corporativa, no nos podemos permitir el lujo de seguir buscando metas, a mi juicio obsoletas, que nos lleven a perseguir una mera ‘coordinación’, sin el ánimo puesto en avanzar un poco más y tratar de alcanzar la ‘integración’, que es el camino para conseguir la eficacia que se nos demanda desde las miras del negocio.
Los actuales Sistemas de Gestión de la Seguridad de la Información (SGSI) están estandarizados de alguna forma por normativas internacionales, como las ISO 27000 entre otras, y aunque no se circunscriben sólo a los aspectos de la seguridad lógica y por tanto no deben de ser confundidos con ella como a veces pasa, tratan de caminar en busca de esa perseguida integración que creo que se queda corta al circunscribirla casi en exclusividad a la parte lógica de la seguridad y con muy pequeños guiños, en parte interesados, hacia la parte física o seguridad tradicional. Esto ha podido ser una forma de empezar a resolver el problema, pero ya es tiempo de dar el salto e incluir, con las mismas perspectivas de estandarización, al resto de las disciplinas hasta obtener un global y convergente Sistema de Gestión de la Seguridad Corporativa (SGSC).
En algunas empresas hemos dado ya ese paso y con resultados, en principio, muy satisfactorios. Tengo pocas dudas de que la base del sistema debe ser el ya bien testado SGSI, al que debemos añadir los elementos que le faltan para abarcar la globalidad del factor seguridad. Es cuestión de diseñar y adaptar unos nuevos sistemas de gestión de las disciplinas que faltan, con el ánimo de que conformen un todo único en el que lleguen a confundirse la práctica totalidad de sus elementos. Así, podremos ofrecer al negocio una solución global a un problema global y cada día más acuciante.
No debemos olvidar tampoco la importancia que la Responsabilidad Social Corporativa está significando para el negocio. Inversión responsable es también cuestión de minimizar riesgos, y estos abarcan un muy amplio espectro en el que no solo se debe hacer hincapié en los riesgos financieros, sino también en las posibles amenazas que pueden dar al traste con los esperados beneficios e, incluso, poner en peligro la supervivencia misma de la empresa. Cuando se consigue que la seguridad se alinee con el negocio, se está dando un importante paso para aumentar el nivel de la Responsabilidad Social Corporativa.
El camino es arduo pero urge recorrerlo. Las empresas no pueden seguir esperando eternamente viendo como pequeñas discrepancias entre diferentes departamentos que tratan con temas de seguridad, la mantienen en un permanente nivel de riesgo claramente inaceptable. Tal vez, alguna organización certificadora como Aenor, SGS u otras similares, podrían aceptar el reto e impulsar el estudio y desarrollo de una normativa del Sistema de Gestión de la Seguridad Corporativa que sea verdaderamente integradora del amplio espectro de la seguridad.
Converger todos los aspectos de la seguridad y alinearla con el negocio, son las claves para asegurar la eficacia de la primera y la supervivencia del segundo.
Socio fundador de Global Technology