Normalmente, una de las principales dificultades a la hora de implementar cualquier tipo de gestión de la seguridad suele ser la delimitación de responsabilidades. A todos los niveles, aunque con distintas implicaciones.
A nivel interno, la disputa suele venir dada por la disociación entre responsabilidad y ejecución. Los jefes tratan de delegar cada vez más tareas en sus subordinados, y mientras los subordinados intentan que sean sus jefes los que asuman la responsabilidad de las decisiones. ¿Cuándo termina la disputa? En la práctica, nunca. Como mal menor, un buen reparto de funciones, una buena gestión de perfiles corporativos y un sólido procedimiento de autorizaciones y aceptaciones puede ayudar a suavizar bastante las tiranteces.
A nivel externo, la situación no es tan delicada, aunque también tiene su miga. Aquí entran en juego las relaciones entre clientes y proveedores, y juega un papel decisivo la cadena de negocio. La solución pasa por el desarrollo de SLAs, pero entendidos en toda su magnitud. Hoy en día todos escuchamos ese término para referirse a indicadores y objetivos a cumplir... y nos quedamos contentos. Pero un SLA no sólo tiene que definir el compromiso, también tiene que contemplar cómo se resuelten las situaciones en las que no se alcanzan los objetivos, las condiciones que permiten su incumplimiento, los procedimientos de resolución de conflictos... Es decir, que un SLA tiene que ser un ACUERDO entre ambas partes, de forma que ate a ambos por igual. No me sirve que mi proveedor me prometa el 99% de disponibilidad del servicio, si una indisponibilidad superior al 2% me hace perder millones y su respuesta es que ese mes no pague la cuota correspondiente.
Y no nos olvidemos que a nivel de "sociedad" también existen responsabilidades. En este caso, son las leyes las que las regulan, y la forma de afrontarlas es sencilla. Tenemos la obligación de cumplirlas. El problema es... ¿Cómo de bien las cumplo? ¿Cumplirlas hoy me garantiza cumplirlas mañana? Y desde el otro lado... ¿Qué responsabilidades tiene la sociedad con la empresa? ¿Y con los individuos? Es un tema complejo, pero que no debemos olvidar. Sobre todo, porque el impacto que puede tener en nuestro negocio puede ser crucial. Y si no, basta con mirar a AllOfMP3 o a la misma asociación de internautas. Y hay que estar atentos, porque en este campo, las responsabilidades y su delimitación pueden cambiar, tal y como expone Enrique Dans en uno de sus artículos.
En definitiva, la delimitación de responsabilidades es uno de los aspectos cruciales a la hora de gestionar la seguridad. Y no sólo vale trabajar en ello a todos los niveles (personal propio, clientes, proveedores y sociedad), sino que hay que mantener actualizada continuamente dicha definición, porque como es sabido, todo cambia. Menos mal que los SGSIs ya incorporan el ciclo PDCA y esta obligación de seguimiento continuo...
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario