Tras la lectura de "Velocidad" que comentamos la semana pasada, me hice la pregunta de si podrían aplicarse estos principios al mundo de la seguridad.
Y desde luego, hay una lectura que creo que puede ser de mucha utilidad para los profesionales de la seguridad. Derivado del principio de TOC de que lo que importa es la maximización del rendimiento del sistema en su totalidad y no los óptimos locales [y que, precisamente, es la causa principal del fracaso de Lean en la mencionada novela], los profesionales de la seguridad deberíamos preguntarnos si las medidas que estamos proponiendo contribuyen a un mayor rendimiento del sistema global (es decir, la organización en todo su conjunto) o si, por el contrario, nos estamos limitando a generar óptimos locales.
Es decir, tendríamos que centrarnos en la organización en su conjunto, identificar la limitación del sistema y:
- trabajar para que dicha limitación siempre esté operativa. Es decir, implantar los mecanismos preventivos para que dicha limitación no sufra percances, pero también medidas detectivas para identificar la materialización de incidentes y, finalmente, medidas reactivas para que el impacto sea el menor posible. Lo que en terminología TOC se denominaría subordinarse a la limitación.
- valorar las nuevas medidas en función de si contribuyen a un mayor rendimiento o a menores costes operativos o inventarios. Estas son las tres principales medidas utilizadas por TOC para la contabilidad y que, en el fondo, afectan a todas las decisiones empresariales.
En este contexto, habría que considerar que:
- Posiblemente, la limitación no estará aislada y puede ser que se vea afectada por un fallo de seguridad de algo que, no siendo propiamente la limitación, esté conectado a ella. Por ejemplo, si la limitación fuera nuestra página web, quizás podamos tener una intrusión no directamente sobre el servidor web, sino cualquier otro sistema en la misma DMZ (por ejemplo). Por tanto, tendremos que analizar vías para reducir los elementos que pueden afectar al correcto funcionamiento de la limitación del sistema.
- Existirá legislación que tengamos que cumplir y que, como condición necesaria para operar en un mercado haya que cumplir, con independencia de su relación con la limitación.
Por otra parte, es interesante como los principios de lean hablan de minimizar el despilfarro, como la "eliminación de todas las actividades que no son de valor añadido y redes de seguridad", es decir, que por aligerar los procesos no debemos hacerlos inseguros...
Finalmente, se pueden aplicar todos los principios lean a los procesos de seguridad que diseñemos, eliminando todo tipo de desperdicio: movimiento, sobreproducción, espera, transporte, procesado extra, corrección, inventario y el conocimiento desconectado. Pero sin olvidar que todo lo hacemos subordinados a la limitación del sistema...
¿Qué os parece el planteamiento? ¿Arriesgado?
No hay comentarios:
Publicar un comentario