Seguridad en tiempos de crisis

En estos meses, en los que la crisis (o la desaceleración) planea sobre nuestras cabezas, y a diario vemos cómo empresas de todos los sectores realizan ajustes de plantilla, abren expedientes de regulación de empleo, o incluso echan el cierre, la seguridad juega un papel fundamental para garantizar que el negocio -o lo que quede de él- sobrevive a las vacas flacas… IMHO, la seguridad debe ser una de las cosas en las que el presupuesto de una organización no se reduzca, o se reduzca lo mínimo posible, para garantizar la protección del negocio; de todos es sabido que cuando las cosas van mal, la delincuencia aumenta, y por tanto debemos protegernos mejor. La probabilidad de que en esta época que corremos tengamos un empleado que nos roba información, a la competencia viéndonos como un enemigo a eliminar -en el sentido figurado-, o a una mafia tratando de hacernos un phishing, es muy alta, con lo cual no podemos descuidar nuestra seguridad; es más, yo trataría de incrementarla.

No obstante, cuando una empresa tiene que ajustar al máximo su presupuesto global, la partida destinada a seguridad tiende a reducirse a una mínima expresión. ¿Y qué es esa mínima expresión? Como siempre, depende… Volviendo al post de la Pirámide de Maslow de la Seguridad, la mínima expresión de la seguridad consistirá, posiblemente, en mantenerse en el nivel en el que nos encontrábamos con anterioridad. Nada de mejorar, nada de incrementar nuestros niveles… supervivencia pura y dura. Es más, en muchas ocasiones, si no retrocedemos en el nivel que teníamos, ya podemos estar contentos… Pero, ¿qué es preferible en estos tiempos, tratar de avanzar, o reforzar lo que hemos conseguido? Creo que depende de muchos factores, y en el equilibrio está la virtud… Bajo mi punto de vista, no tiene sentido tratar de avanzar si no podemos reforzar lo que vamos consiguiendo; así, la seguridad sería una especie de galería minera: mucho más importante que alargar el túnel es apuntalar lo que ya hemos avanzado, para evitar un derrumbe. Ojo, con esto no quiero decir -sigan leyendo- que no tratemos de mejorar permanentemente nuestra seguridad con la excusa de la crisis; simplemente que lo hagamos con cabeza (más de la habitual), sabiendo dónde invertimos nuestros recursos, y por supuesto -ahora más que nunca- sin dejar de mirar para atrás, garantizando que la galería está bien apuntalada. Innovemos y busquemos soluciones creativas a nuestros problemas.

Bajo mi punto de vista, uno de los principales errores que en tiempos de crisis todos tendemos a cometer, es limitarnos a aguantar el chaparrón… Si las cosas van mal, es posible que nuestro presupuesto -estemos o no de acuerdo- se reduzca, como el del resto de departamentos de la organización. Pero ese no suele ser el problema: en seguridad hay soluciones para casi todo, y es una obligación del Director de Seguridad obtener la mayor protección posible con el presupuesto del que dispone, innovando cuanto sea necesario, buscando siempre nuevas soluciones, incluso a los problemas de siempre, e identificando correctamente los riesgos asumidos. Hay un proverbio que viene a decir que cuando soplan huracanes, unos construyen refugios y otros construyen molinos. Apliquémoslo a la seguridad, y pensemos qué construimos ante la crisis… quizás nos demos cuenta que, con un presupuesto X en el bolsillo, tomamos unos caminos determinados (mejores o peores) simplemente porque son los habituales o los esperados por todos, sin llegar a plantearnos una alternativa. Para mí, esto es construir refugios, aguantar el chaparrón, y en este mundo si nos limitamos a eso, antes o después fracasaremos.

Finalmente, un apunte: si en nuestra organización estamos notando la crisis… ¿no es un riesgo que deberíamos haber considerado en nuestro último análisis? Llegar a una situación como la actual no es algo que suceda de la noche a la mañana, de forma imprevista, sino que es la consecuencia de múltiples factores económicos, sociales, organizativos…¿Teníamos esta posibilidad contemplada? ¿Teníamos planificado cómo actuar, o en estos momentos nos guiamos por intuición -y presupuesto-? Tengámoslo en cuenta, si no lo hemos hecho ya, para la próxima ocasión (y no duden que la habrá).

Comments

  1. Buenas Toni,

    Esta vez discrepo contigo, un análisis de riesgos tiene muchos cristales, uno de ellos es el de la Seguridad Informatica, nuestra obligación pasa por centrarnos en aquellos riesgos relacionados con los Sistemas de Información que dan soporte a nuestros procesos de negocio. Una óptica distinta se descubre si hacemos un análisis de riesgos desde un punto de vista financiero, ¿que ROI tendrá esta inversión?, ¿qué riesgos nos encontramos al abordar este mercado?, etc. etc. etc.

    Si estamos realizando un análisis de riesgos conjunto con otras areas (marketing, legal, financiero, informática, etc.) sin duda la posibilidad de la “crisis” debe ser contemplada, si el foco se concentra a menor nivel veo “extralimitarse” el contemplar ese tipo de riesgos, ¿no crees?

    Con respecto al incremento de la creatividad con el mismo o menor presupuesto, ahí si que te tengo que dar la razón, qué remedio :)

    Un saludo.

  2. Antonio Villalon says

    Holas Giga,

    Evidentemente, si nuestro análisis es únicamente de seguridad informática, no tendría sentido entrar a debatir sobre el riesgo de crisis mundial; centrémonos en virus, gusanos, hackers, disponibilidad… si empezamos a hablar de análisis de riesgos desde el punto de vista de seguridad, ya estamos ante algo más global, y evidentemente si hablamos de protección del negocio ya tenemos la globalidad total. Creo que cada vez más, el análisis de riesgos debe realizarse para garantizar la protección del negocio en su totalidad, y que un análisis de riesgos focalizado en una parte del mismo (informática, legal…) y no en el todo, no aporta un excesivo valor (ojo, mejor que nada sí que es).

    Si realizamos un AR que nos hable de protección del negocio a nivel global, y deberíamos hacerlo junto a otras áreas, como comentas, sí que debemos contemplar la crisis; a fin de cuentas, nos impacta directamente en el negocio, igual que nos impacta (en mayor o menor medida) un robo de información, una pandemia por la famosa gripe A, o una bomba…

    Saludos
    Toni