27 marzo 2007

¿Hacemos un Plan Director? (I)

La verdad es que está de moda.

Y eso debería hacernos sentir más felices: Vendemos más, tenemos trabajo asegurado y cumplimos las cifras esas de las que hablábamos antes. Pero como soy un apasionado de lo que hago, resulta que, aún así, no estoy feliz. ¿Por qué? Muy sencillo, porque la mitad de los Planes Directores de Seguridad que se hacen (siendo generoso) no sirven para nada. Y de esa mitad que no sirven para nada, la mitad es porque el que lo hace no aporta nada y la otra mitad es porque el cliente no está preparado.

Hoy nos centraremos en uno de estos casos: Aquellos en que se hacen por alguien que no aporta (no aportamos) nada. En estos casos nos encontramos con un escenario en el que, con independencia de que la organización estuviera preparada o no (eso ya hemos quedado que lo veremos otro día), se ha seguido el enfoque "académico". Ese enfoque dicta que para hacer un Plan Director de Seguridad hay que hacer un análisis de riesgos, para evaluar la seguridad cogemos un estándar (siempre el mismo, la UNE-ISO/IEC 17799:2005) que reuna todo lo que se puede hacer en seguridad (?), definimos una estrategia de gestión del riesgo y para acabar, metemos todo eso en la coctelera, y preparamos el Plan de Proyectos. Todo esto ha sido muy resumido y sin florituras, cuando se hacen ofertas, todo se adorna bastante más.

Y yo me pregunto, ¿quién ha dicho que esto se hace así? Pues muy sencillo, porque esto está en línea con las directrices de un Sistema de Gestión de la Seguridad de la Información (SGSI para los amigos) conforme a otro estándar (ISO/IEC 27001:2005) y como todos en el mundo de la Consultoría nos dedicamos a copiarnos (excepto alguno que piensa de vez en cuando), pues resulta que acabamos todos con el mismo mensaje y como corderitos, todos por la misma senda.

Y, ¿cuál es la realidad de todo esto? Pues que el que lo hace, en lo que está realmente interesado es en quedarse con la "implantación" de las medidas de seguridad que se obtienen como resultado del Plan y entonces, está como loco por incrementar el número de proyectos de forma descarada sin importarle ni la situación de la organización ni sus planes, ni nada de nada. Vamos, que como dice una buena colega, casi podíamos empezar por el final, por el plan de proyectos e ir construyendo hacia atrás, hasta el análisis de riesgos.

Lo malo de todo esto es que cuando hemos acabado, nos damos cuenta de que hemos consumido un buen montón de recursos (y aquí el presupuesto es lo que menos cuenta... importa más el tiempo de las personas), que hemos generado un montón de expectativas en la organización y que no vemos que realmente ese plan refleje nuestra realidad, ni nuestra cultura ni nuestros planes de futuro. Y cuando decimos tiempo, es un MONTÓN de tiempo: 4, 5, 6 meses... En fin, todo un despilfarro.


Por eso creo que tenemos que darle la vuelta, tenemos que innovar, tenemos que satisfacer las verdaderas necesidades de nuestro cliente. Y para eso, es necesario que cambiemos radicalmente el enfoque: La seguridad es un proceso que (normalmente) da soporte a la organización en el cumplimiento de sus objetivos de negocio y, ahí, es dónde hay que poner el énfasis. Para hacer un buen Plan Director, que yo llamaría estratégico hay que tener en cuenta otras cosas:
  • Hay que tener clara la estrategia de la organización: Sus puntos fuertes, sus puntos débiles, sus planes de futuro... Aquí Mario tendría mucho que decir sobre cómo están definidas las estrategias de las organizaciones.
  • Hay que contar con el grado de interlocución necesario. Normalmente los que poseen esta información están muy arriba en los organigramas.
  • Hay que manejar conceptos de gestión y dirección de empresas (de management) que, a los expertos en seguridad normalmente se nos escapan... (tendremos que fichar MBAs en nuestras organizaciones??)

Vamos, que hay que cambiar la metodología de arriba abajo... Bueno, hay está la gracia, el reto...

¿Alguién se anima? Voy a dar una pista... A mi me gusta TOC...

No hay comentarios: