No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.
Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.
No podemos trabajar en Buen Gobierno y no analizar en profundidad las evidentes implicaciones que tienen los sistemas de información y la información misma en las decisiones que toman los equipos directivos de las grandes compañías. No podemos hablar de un proyecto sostenible de una empresa y no tener en cuenta la evaluación continua de riesgos, riesgos que pueden afectar a la cuenta de resultados de la empresa de forma impredecible, tanto a través de un problema de la imagen de marca como de una sanción de la LOPD.
Dicen que en cuestión de protección de datos de carácter personal en España tenemos el régimen sancionador más duro de Europa; y tal vez sea muy duro para una PYME que no puede transferir un riesgo. O quizá lo sea para una PYME que por falta de conocimiento se enfrenta a sanciones por parte de la administración que llevan al empresario a la quiebra y a la ruina personal. Pero más allá de la PYME, no creo que sea tan duro para grandes organizaciones que se dedican a aprovisionar fondos en su cuenta de resultados porque prefieren pagar las multas a perder negocio, o que transfieren y comparten los riesgos a través de primas específicas de seguros. En estos casos no se puede alegar desconocimiento; grandes despachos de abogados se encargan de forma continua de pleitear para minimizar el impacto.
España no es el país con un régimen sancionador de protección de datos más duro para todos, sino en realidad, sólo para unos pocos, o muchos, según se mire, pero menos poderosos. En otros lugares de Europa, como Suiza o Alemania, además de tener sanciones económicas, aunque sean de menor importe, los administradores o infractores se pueden enfrentar a penas de cárcel. Interviene por tanto el Código Penal y eso, señores, sí que lo entiendemos los equipos directivos de compañías porque, independientemente de que la empresa pague la correspondiente multa, los directivos pagamos con nuestra libertad, nuestro prestigio y nuestra carrera.
¿Por qué entonces hablamos de Buen Gobierno en España? ¿Por qué olvidamos cuestiones tan importantes en el Gobierno de las sociedades? Por supuesto que el cuidado del entorno es importantísimo en los tiempos que corren y no es algo que cabe poner en duda, pero simplemente lo dejo en un comentario de Juan Alfaro, Secretario del Club de Excelencia en Sostenibilidad, al que en más de una ocasión le he oído una reflexión en voz alta que me parece de lo más apropiada: ¿conciencia o conveniencia?
Para acabar, no quiero con esto decir, ni mucho menos, que los temas tratados en los códigos de Buen Gobierno escritos en España no sean importantes. Por supuesto que lo son, pero no están ni mucho menos todos los que son, y esta situación debería cambiar para poder empezar a hablar de una forma seria de Buen Gobierno en España.
Un excelente artículo. En el barómetro del CIS de febrero un 80% de los encuestados se mostraron bastante preocupados con lo que se hace con sus datos personales, es decir un 80% de los clientes de cada uno. Es por ahí donde una empresa ha de encontrar la motivación de cumplir la protección de datos, entendiendo efectivamente que tiene mucho más que ver con el Buen Gobierno que con la legislación vigente.
Qué razón tienes. Nos gusta mucho llenar powerpoints y poco practicar con el ejemplo. Las grandes palabras que justifiquen grandes presupuestos, pero una vez que se implanta un control, se da por hecho que la medida funcionará cuando sea necesario, obviando las tareas necesarias de supervisión, mantenimiento y, sobre todo, la medición de la efectividad sobre la amenaza mitigada para detectar si es o no suficiente la acción tomada. Es así como se hace cierta una de las máximas de seguridad de Schneier, “el control será confundido irremediablemente con seguridad”. Son estos los casos donde la “sensación de seguridad” se confunde con la “seguridad efectiva” que realmente se tiene y lo que da lugar a las indeseables sorpresas que hacen cierta otra de las máximas de seguridad: “la mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, justo lo contrario de lo que sugiere una aproximación razonable”.
Fuente: https://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/Articulo_y_comentarios?postAction=getDetail&blogID=1000077536&articleID=1000160698
PD: En mi empresa diseñamos una metodología que lograba definir “los procesos de gestión” necesarios para cubrir aspectos organizativos y legales de la LOPD además de los propios de aplicar las medidas de seguridad. Intentabamos poder acreditar “diligencia” y todo ello dentro de un marco de actividades formal, basado en ISO 9000 y apoyado en la mejora continua. Un paso inicial antes de pensar en un SGSI para lo que sería la parte tecnica del cumplimiento LOPD. Si no hay clausulas correctas o se atienden los derechos, no se ha solucionado el problema LOPD. Sin embargo, el mercado no estaba maduro para este tipo de enfoque (y sigue sin estarlo). Más info en http://www.firma-e.com/productosyservicios/tic.htm