25 octubre 2008

Seguridad, parte de la excelencia empresarial

En el último post mencionaba las modas de la gestión y sus múltiples variantes. Hoy, sin embargo, quiero volver a enarbolar la bandera de la seguridad y a reivindicar una posición privilegiada para ella entre esas modas, dado que en muchos casos podemos ver que es una de las más olvidadas.


La iniciativa no es nueva. Ya en el ISMS Forum Spain se hablaba de ello hace cosa de un año en su II Jornada Internacional, orientada a ver la seguridad de la información como parte de la responsabilidad social corporativa, y se volvía a mencionar el pasado verano en la III Jornada Internacional al hablar del Buen Gobierno Corporativo. No obstante, si buscamos referencias al respecto más allá de los límites del sector probablemente nos encontraremos con que la seguridad brilla por su ausencia a la hora de buscar referencias sobre la tan deseada excelencia empresarial.

Si nos vamos al modelo de excelencia empresarial por antonomasia, el modelo EFQM, quizás podamos encontrar algunas de las causas de esta ausencia. La verdad es que, si revisamos el modelo, seguro que encontramos sitios en los que encajaría perfectamente la seguridad: un apartado de política y estrategia, uno referido al personal, otro referente a los recursos, uno más referido a los procesos... Si profundizamos un poco más, vemos que incluso la filosofía REDER (Enfoque - Despliegue - Evaluación y Revisión - Resultados - y vuelta a empezar) encaja a la perfección con la filosofía PDCA que subyace en los SGSIs. ¿Si todo parece encajar, por qué no aparece mencionado?

Desde mi punto de vista creo que el problema está en la filosofía con la que se desarrolla el modelo. Bajo el riesgo de que los defensores acérrimos del modelo EFQM se me echen encima, tengo que decir que el modelo EFQM es un modelo muuuuy optimista. Está desarrollado desde el punto de vista de la empresa perfecta, del entorno ideal. Es un modelo que anima a desarrollar al máximo tu potencialidad, pero creo que pierde de vista la realidad empresarial. El mercado, la competencia o la rentabilidad son aspectos que creo que no se tienen suficientemente en cuenta en el modelo. El término riesgo prácticamente se obvia en el modelo, y es precisamente en torno a ese término cuando aparece la seguridad. Por tanto, aunque las bases del modelo puedan ser coherentes es la propia filosofía del mismo la que prácticamente imposibilita la aparición de la seguridad, ya que es un aspecto que sólo cobra importancia en un entorno más realista (o pesimista?), en el que existen factores negativos con los que lidiar.

Esta reflexión creo que puede ser extensible a otras estrategias "positivistas" del management, en las que mientras no se contemple el lado "pesimista" de la actividad nunca se podrá integrar la seguridad como parte constitutiva de la estrategia corporativa. Y lo más llamativo de todo esto es que podría llegar a darse el caso de que una organización calificada como "excelente" (muchos puntos en el modelo EFQM, innovadora, con buena gestión del talento, etc.) sufriera fugas de información o incumplimientos de la LOPD, por poner un par de ejemplos, sin que esa "excelencia" se viese prácticamente afectada (meto el prácticamente ya que quizás sí podría verse afectada, aunque de forma indirecta y a medio plazo, a través de los criterios de resultados en los clientes y/o en la sociedad). ¿No os parece llamativo que existan modelos capaces de denominar excelente a una empresa en la que la seguridad pueda ser un tema totalmente residual?

20 octubre 2008

Más allá

Ver cómo van evolucionando las modas del management empresarial es un ejercicio muy interesante para darnos cuenta de la relatividad de todas ellas. La calidad, la innovación, la responsabilidad social, el I+D, la gestión del talento, la seguridad (sí, también la seguridad)... Y a la hora de la verdad, cuando nos dicen que vienen malos tiempos y toca apretarse el cinturón, cuáles son las recetas más escuchadas? Plegar velas, apretarse el cinturón, recortes de personal... Un panorama muy distinto al inicial. ¿No es un poco incoherente? ¿Por qué las recetas del éxito no son las recetas de la lucha contra las dificultades?



Una de las respuestas que se me ocurre es que las empresas tienen su propia pirámide de Maslow corporativa, y que no son comparables las modas del management, ubicadas en las capas superiores, con las soluciones para tiempos difíciles, que se atajan en las inferiores. De este modo, sería lógico y evidente que, si peligran las capas inferiores, queden a un lado las soluciones destinadas al reconocimiento y autorrealización corporativos y las organizaciones se centren en los problemas de más bajo nivel.



Sin embargo, si pensamos en el proceso que lleva a una persona (o en este caso, a una organización) a satisfacer esos niveles altos de la pirámide, nos daremos cuenta de que algo falla. Se supone que sólo pensamos en satisfacer las necesidades superiores cuando las inferiores están cubiertas. Sin embargo, la situación que vivimos parece que está impactando directamente en los niveles inferiores de la pirámide sin afectar, curiosamente, a los niveles superiores. ¿Cuál es el problema?



Desde mi punto de vista creo que ha llegado un momento en el que las modas del management han pegado tan fuerte entre algunos directivos que han llegado a confundir las consecuencias con los objetivos. Hay empresas que han tratado de saltarse los pasos intermedios y que han querido llegar a unos niveles de excelencia empresarial al alcance sólo de unos pocos a costa de erigir ese modelo de management sobre unos cimientos insuficientemente sólidos, cuando menos. En una burda caricatura empresarial de aquél anuncio del Peugeot 206, ha habido empresas del tipo "Seat 600" que han pensado que era suficiente con poner una carrocería "Ferrari" para poder ser un super-deportivo. Y claro, cuando ha tocado apretar el acelerador resulta que ni el motor, ni el chasis, ni los frenos funcionan tan bien como los de aquellos a los que han querido emular...

Al refinamiento en la gestión se debería llegar una vez alcanzado el refinamiento en la producción, por decirlo de algún modo. La evolución lógica es que, cuando has alcanzado un gran nivel en los productos o servicios que proporcionas, la forma de seguir mejorando ya no puede ser a través de la mejora del propio producto o servicio, ya que está tan optimizado que no sería rentable, sino que hay que buscarla en la mejora de la propia gestión. Y es en este escenario donde todas esas modas del management tienen sentido, ya que lo que se busca es mejorar el segundo o tercer decimal, no el valor entero.

En definitiva, una empresa que haya alcanzado el refinamiento en la gestión de forma natural no debería tener excesivos problemas en afrontar tiempos difíciles, ya que parte de una base sólida y probablemente sólo precise dedicar a gestionar las dificultades económicas los esfuerzos dedicados a este refinamiento en la gestión. ¿Y el resto? Les quedan dos opciones: o rentabilizar recursos y sacrificar premios a cambio de negocio real, o mantener los galones impecables y ser el capitán que se aferra a lo alto del mástil cruzando los dedos para que el barco, aunque haga aguas, no se hunda.

14 octubre 2008

Seguridad: motor o freno?

Los estudios no se ponen de acuerdo sobre si la seguridad es un motor o un freno para el negocio de las organizaciones. Hace algún tiempo veíamos cómo el riesgo puede ser un motor para la empresa, y ahora nos dicen que la seguridad puede ser un freno para el negocio. ¿En qué quedamos?

Si seguimos leyendo el segundo de los enlaces encontraremos la solución: la clave está en la famosa alineación entre la seguridad y el negocio. En el fondo, es lo de siempre: si la seguridad no está alineada con el negocio sólo es un obstáculo, y entendamos o no la innovación como parte del negocio, el obstáculo sigue siendo el mismo. Sólo que en este caso quizás esté agravado, ya que la innovación supone cambio y la seguridad muchas veces no se lleva nada bien con los cambios.

Lo que me encanta del artículo es la solución que proponen: dar un nuevo enfoque a la gestión del riesgo. Simple y efectiva, desde mi punto de vista (no puedo negar que me he sentido bastante identificado al leer el artículo):
  • Cambiar el enfoque de "gestión de la seguridad" por uno que busque la "gestión del riesgo" es la clave, ya que supone cambiar un enfoque defensivo (que encima trata de defender algo cuya plenitud es inalcanzable) y pesimista por otro proactivo en el que implícitamente suele contar la variable "negocio".
  • Hablar de "tolerancia al riesgo" posiblemente sea una forma sencilla de que todo el mundo entienda ese concepto de aceptación del riesgo que a veces resulta tan difícil de matizar.
  • Definir claramente las responsabilidades en relación a las decisiones sobre gestión del riesgo es la solución a los problemas de indefinición que suelen aparecer, ya que muchas veces nadie quiere ponerle el cascabel al gato.
  • Usar una metodología estandarizada, repetible, sistemática y objetiva de análisis de riesgos que tenga en cuenta el balance coste / beneficio supone disponer de la herramienta que permite llevar a cabo este cambio de enfoque.

En definitiva, cuatro pequeñas líneas de actuación que, bien desarrolladas, pueden hacer realidad el famoso santo grial de la seguridad. Es sólo cuestión de matices, pero incluso en estos temas de la seguridad la teoría del caos también se cumple...

13 octubre 2008

Caracterizar un servicio

Intentar definir conceptos suele ser algo más difícil de lo que parece a priori. Algo tan obvio como definir qué es un servicio TI puede ser un importante reto incluso dentro del sector TI. Así que no es de extrañar que, si intentamos ir un poco más allá, las aparentemente pequeñas dificultades puedan crecer exponencialmente cuando nos enfrentamos a ellas en la práctica.

Uno de estos retos es, precisamente, caracterizar un servicio TI. ¿Qué parámetros tiene un servicio TI? ¿Cuál es el conjunto mínimo de parámetros que deberíamos utilizar para poder modelizar un servicio TI? La pregunta no es trivial si lo que queremos obtener es una caracterización general de los servicios TI, que nos sirva de patrón de referencia para cualquier tipo de servicio. El objetivo no es tratar de comparar servicios distintos, sino utilizar los mismos patrones mentales para distintos servicios, con el fin de que podamos lidiar con ellos de forma más sencilla.

Para hacer este ejercicio no tenemos que pensar en un servicio concreto, sino que tenemos que ser capaces de abstraernos y pensar en el propio concepto de servicio. Y de todos los parámetros que se nos puedan ocurrir tratar de separar entre los que nos parecen primarios y los que pueden ser secundarios, es decir, los descriptivos del propio servicio y los que reflejan otros "valores añadidos" a dicho servicio.

No es un ejercicio fácil, y probablemente los resultados a los que llegaréis cada uno sean distintos. A mí se me ha ocurrido que un servicio podría quedar caracterizado en base a estos 3 parámetros:
  • Rendimiento: Podríamos entenderlo como la "velocidad" del servicio, la facultad del servicio de proporcionar los resultados esperados.
  • Capacidad: Hace referencia a la facilidad que tiene el servicio de atender simultáneamente distintas peticiones de servicio.
  • Inteligencia: Trata de caracterizar el grado de funcionalidad del servicio, de reflejar el nivel de resultados que puede llegar a ofrecer.

Esta tripleta no tiene por qué ser necesaria en todos los casos, es posible que en muchos sólo sea necesario utilizar uno o dos de los parámetros, pero el objetivo es que cualquier tipo de servicio se pueda caracterizar, en líneas generales, utilizando exclusivamente estos tres. ¿Qué os parece la propuesta? ¿Coincidiría con la vuestra, o creeis que falta o sobra algún parámetro? Estoy deseando leer vuestras aportaciones

01 octubre 2008

Sistemas de Gestion

A veces resulta difícil transmitir qué es un sistema de gestión. Así, a secas, sin ningún añadido por detrás. Porque si cosas aparentemente tan distintas como un sistema de gestión de la calidad, un sistema de gestión de la seguridad de la información, un sistema de gestión de la continuidad del negocio o un sistema de gestión de los servicios IT tienen dos de sus términos en común, en algo tendrán que parecerse, no?

Lo primero que se me ocurre es ir al diccionario y buscar el significado de esos dos términos:
  • Sistema: Conjunto de reglas o principios sobre una materia racionalmente enlazados entre sí.
  • Gestión: Acción y efecto de hacer diligencias conducentes al logro de un negocio o de un deseo cualquiera.

Es decir, que por su significado un Sistema de Gestión sería un conjunto de reglas y principios interrelacionados cuya intención es el lograr el éxito en un asunto concreto. ¿Y Cuál es ese asunto? Sencillamente, el término que venga detrás: calidad, seguridad, ...

Vale, el significado está claro, pero... ¿Qué supone eso en la práctica? ¿Cuáles son esas reglas y principios interrelacionados? La verdad es que en este caso la simple definición no da ninguna pista. ¿Solución? Analizar los distintos sistemas de gestión normalizados existentes y buscar sus elementos comunes. ¿Cuáles son? Yo diría que los siguientes:

  • Compromiso de la dirección: Para cualquier sistema de gestión normalizado es imprescindible que la dirección de la organización se comprometa formalmente con el asunto en concreto, y que ese compromiso se traduzca en la práctica en la asignación de los recursos necesarios.
  • Ciclo PDCA: Todo sistema de gestión normalizado debe estar estructurado en forma de proceso de mejora continua, de modo que se garantice la filosofía de que primero se piensa, luego se actúa, después se revisa la actuación y finalmente se corrige y optimiza, volviendo a empezar.
  • Formación: Otro de los elementos imprescindibles de un sistema de gestión normalizado es que se garantice la capacitación y concienciación de todos los implicados en el asunto en cuestión.
  • Gestión documental: Una de las exigencias de todo sistema de gestión normalizado es garantizar una adecuada gestión documental, tanto en lo referente a la propia documentación "descriptiva" del sistema de gestión (esas reglas y principios que lo determinan) como a los registros que se generan durante su aplicación práctica.
  • Auditoría interna: Uno de los aspectos más importantes es garantizar que el sistema de gestión normalizado se evalúa de forma independiente y objetiva, por lo que las auditorías son imprescindibles, y por lo tanto las internas son obligatorias.
  • Revisión por la dirección: Todo sistema de gestión normalizado debe garantizar su continuidad en el tiempo, y eso supone que no basta con la asignación inicial de recursos y la puesta en marcha de las prácticas que correspondan. La garantía de esa validez contínua supone que la propia dirección sea la que revisa los objetivos y resultados globales del sistema de gestión y sus principales parámetros de funcionamiento, con el fin de conocer de primera mano los principales aspectos del sistema de gestión y poder ir adaptándolo a las necesidades cambiantes de la organización.
  • Mejora continua: Por último, todo sistema de gestión normalizado deberá garantizar su continua evolución y mejora. Por ello, no sólo deberá estar estructruado en forma de ciclo PDCA; sino que se deberá llevar a cabo un seguimiento de todas las desviaciones que pueda sufrir y establecer las acciones correctivas y preventivas necesarias para cumplir con ese precepto.

No tenemos que perder de vista que estas son las características de todo sistema de gestión normalizado. Esto no quiere decir que un conjunto de reglas y principios interrelacionados que carezca de alguna de estas características no pueda ser un sistema de gestión, sino que no cumplirá los preceptos de uno estandarizado (o estandarizable) en forma de norma de gestión.

Por último, sólo recordar que el sistema de gestión es sencillamente el marco en el que hay que encajar todas las reglas y principios encaminados a lograr ese determinado asunto. Y que esas reglas y principios no tienen por qué ser similares, ni siquiera tienen por qué estar establecidas de la misma forma. Algunas de esas reglas y principios pueden estar establecidas en forma de políticas, otras en forma de controles, otras en forma de procesos... Y obviamente cada una de ellas podrá hablar de un asunto totalmente distinto.