25 octubre 2008

Seguridad, parte de la excelencia empresarial

En el último post mencionaba las modas de la gestión y sus múltiples variantes. Hoy, sin embargo, quiero volver a enarbolar la bandera de la seguridad y a reivindicar una posición privilegiada para ella entre esas modas, dado que en muchos casos podemos ver que es una de las más olvidadas.


La iniciativa no es nueva. Ya en el ISMS Forum Spain se hablaba de ello hace cosa de un año en su II Jornada Internacional, orientada a ver la seguridad de la información como parte de la responsabilidad social corporativa, y se volvía a mencionar el pasado verano en la III Jornada Internacional al hablar del Buen Gobierno Corporativo. No obstante, si buscamos referencias al respecto más allá de los límites del sector probablemente nos encontraremos con que la seguridad brilla por su ausencia a la hora de buscar referencias sobre la tan deseada excelencia empresarial.

Si nos vamos al modelo de excelencia empresarial por antonomasia, el modelo EFQM, quizás podamos encontrar algunas de las causas de esta ausencia. La verdad es que, si revisamos el modelo, seguro que encontramos sitios en los que encajaría perfectamente la seguridad: un apartado de política y estrategia, uno referido al personal, otro referente a los recursos, uno más referido a los procesos... Si profundizamos un poco más, vemos que incluso la filosofía REDER (Enfoque - Despliegue - Evaluación y Revisión - Resultados - y vuelta a empezar) encaja a la perfección con la filosofía PDCA que subyace en los SGSIs. ¿Si todo parece encajar, por qué no aparece mencionado?

Desde mi punto de vista creo que el problema está en la filosofía con la que se desarrolla el modelo. Bajo el riesgo de que los defensores acérrimos del modelo EFQM se me echen encima, tengo que decir que el modelo EFQM es un modelo muuuuy optimista. Está desarrollado desde el punto de vista de la empresa perfecta, del entorno ideal. Es un modelo que anima a desarrollar al máximo tu potencialidad, pero creo que pierde de vista la realidad empresarial. El mercado, la competencia o la rentabilidad son aspectos que creo que no se tienen suficientemente en cuenta en el modelo. El término riesgo prácticamente se obvia en el modelo, y es precisamente en torno a ese término cuando aparece la seguridad. Por tanto, aunque las bases del modelo puedan ser coherentes es la propia filosofía del mismo la que prácticamente imposibilita la aparición de la seguridad, ya que es un aspecto que sólo cobra importancia en un entorno más realista (o pesimista?), en el que existen factores negativos con los que lidiar.

Esta reflexión creo que puede ser extensible a otras estrategias "positivistas" del management, en las que mientras no se contemple el lado "pesimista" de la actividad nunca se podrá integrar la seguridad como parte constitutiva de la estrategia corporativa. Y lo más llamativo de todo esto es que podría llegar a darse el caso de que una organización calificada como "excelente" (muchos puntos en el modelo EFQM, innovadora, con buena gestión del talento, etc.) sufriera fugas de información o incumplimientos de la LOPD, por poner un par de ejemplos, sin que esa "excelencia" se viese prácticamente afectada (meto el prácticamente ya que quizás sí podría verse afectada, aunque de forma indirecta y a medio plazo, a través de los criterios de resultados en los clientes y/o en la sociedad). ¿No os parece llamativo que existan modelos capaces de denominar excelente a una empresa en la que la seguridad pueda ser un tema totalmente residual?

4 comentarios:

deincognito dijo...

Joseba,

Tan sólo porque hoy en día las empresas y AAPP deben cumplir con la LOPD, y por tanto están obligadas a proteger los datos personales con medidas organizativas y técnicas de seguridad debería bastar para incluir ésta en un concepto amplio de calidad.

Ello sumado al hecho de que la confianza tanto de clientes como también de AAPP, proveedores y empleados es básica.

Salu2

Anónimo dijo...

Muy buenas,

No es que me considere una defensora acérrima del modelo EFQM, pero en mi modesta opinión considero que tiene más virtudes que defectos.

Lo primero que hay que destacar es que el modelo EFQM es un modelo abierto y no prescriptivo, adaptable a todo tipo de Organizaciones, lo cual tiene sus ventajas y desventajas. La principal ventaja está clara, con un solo modelo todos nos entendemos y hablamos el mismo idioma (hospitales, colegios, industria, etc…). Y la principal desventaja también, el modelo debe ser interpretado por cada Organización en relación a su entorno, negocio, cultura empresarial, etc. (no existen recetas mágicas).
Y aquí es donde vienen los problemas…, no todas las Organizaciones cuentan con personal especializado en GESTIÓN (con mayúsculas) y muchas, las que por marketing, subvenciones, política, etc. se aventuran en el mundillo de la EFQM, lo cual no me parece en absoluto negativo, todo lo contrario, como se suele decir: más vale tener un mal plan que no tener plan.

Pero al tema, que me voy por las ramas… El modelo contempla el conocimiento de las necesidades y expectativas de los grupos de interés (clientes, personal, accionistas, etc.) y “recomienda” equilibrarlas adecuadamente. Esto es, el Equipo de Dirección o a quién le competa, debe buscar la manera de conocer dichas necesidades y expectativas, analizarlas y buscar la manera de satisfacerlas de una manera equilibrada (vamos, que nadie se sienta pisoteado).
Si las fuentes de información de una Organización son las que tienen que ser (y no las que hemos podido maquillar para que parezca que son y nos den la Q), lo más probable es que en determinados empresas (no veo, por ejemplo, a Chocolates Zahor con una ISO 27001 o con ITIL) se detecte que a los clientes y accionistas les interesa (y mucho) asegurar la integridad, disponibilidad y veracidad de la información, claro que, también se detectará, que el personal no quiere sentirse “expiado” durante sus horas de trabajo.

Y con el dilema encima de la mesa, toca ponerse a pensar en cómo se va a enfocar la solución, cómo se va a llevar a cabo y cómo se van a evaluar los resultados y se va a revisar la solución adoptada, esto es, si ha sido la correcta o no, si hay que mejorarla, etc.

Por lo que considero que el modelo EFQM da perfectamente cabida a la seguridad y a la gestión de riesgos, a la que se hace mención expresa (criterio 2, ref.3 evaluar riesgos e identificar el modo de abordarlos), claro que entendiendo que no todas las empresas necesitan una 27001 o similar.

Ah!, se me olvidaba…, respecto al mercado, la competencia y la rentabilidad son los aspectos que más valoración reciben en el modelo EFQM (criterio 9: Resultados clave), si bien no aparecen explicitados por ser un modelo abierto (lo mismo vale para una S.A. que para una ONG) pero a ningún evaluador por poco avispado que sea se le escapa que esos indicadores (en una Organización con ánimo de lucro) deben aparecer en el criterio 9, y si no aparecen o los resultados son malos, poco hay que hacer…

Saludos,

Joseba Enjuto dijo...

Me gusta, me gusta... El primer objetivo del post está conseguido: crear algo de polémica. Vamos a los comentarios...

Estoy de acuedo en que, aunque sólo sea desde el punto de vista del cumplimiento legal, la seguridad es parte de la calidad. Creo recordar que la ISO 9001 ya obliga al cumplimiento legal...

Es cierto que la crítica que he hecho al modelo EFQM es intencionadamente incompleta y parcial. Y estoy totalmente de acuerdo en que la ISO 27001 o ITIL no tienen por qué ser prioridades para ciertas empresas. Pero creo que esa innecesidad de ser prioridad es idéntica a la necesidad o prioridad de seguir el modelo EFQM. Me explico.

Mi crítica al modelo es simple: me parece bueno, pero incompleto. Lo cual no sería en absoluto ningún problema (ITIL o ISO 27001 también son modelos incompletos) salvo por un hecho: hay muchas empresas y muchas personas que son defensoras a ultranza del modelo EFQM, que lo consideran el summun, la verdad absoluta en términos de gestión empresarial. Y precisamente ese creo que es el error: utilizar el modelo EFQM como única referencia pensando que es un modelo integral.

No me voy a meter a fondo en el tema, pero hay que tener en cuenta que el modelo EFQM no es un modelo de gestión, sino un modelo de gestión de la calidad (de ahí la Q y la M). Y creo que ahí está la clave: analizar cuál es el concepto de calidad utilizado en dicho modelo y ver qué aspectos se han quedado fuera.

Por último, sólo un comentario. Decir que la ISO 27001 o ITIL no tiene por qué ser importante para ciertas empresas no es en absoluto lo mismo que decir que la seguridad o la gestión IT no lo sea. No sé si a Chocolates Zahor le interesan o no esas referencias, pero estoy seguro de que tendrán buenas medidas de seguridad para las recetas de cada tipo de chocolate o para proteger los contratos en los que se especifican los precios que han acordado con sus proveedores de cacao. Por no decir que estoy seguro de que la gestión de los ordenadores que controlan las máquinas de fabricación de los chocolates se llevará a cabo con bastante precaución a la hora de aplicar un cambio, por ejemplo. Lo que quiero decir es que tanto la seguridad como la gestión TI deben ser prioridades para las empresas en la medida en que lo necesiten, valorando esa prioridad desde el punto de vista del negocio. Y no creo que esa prioridad deba desmerecer la de la utilización de un sistema de producción por procesos, por poner un ejemplo.

Joseba Enjuto dijo...

Solo por incidir en el interés o no de ciertas empresas en un SGSI certificado, parece que hay bodegas a las que también les interesa la seguridad. ¿Por qué no le va a interesar a Zahor?