Los que llevamos tantos años en el mundo de la seguridad y privacidad, hemos podido observar cómo ha ido evolucionando la importancia que se la dado a este concepto. Y no estoy hablando únicamente desde el punto de vista empresarial, sino humano. En sus inicios la legislación en privacidad podía contarse con los dedos de una mano, así como las soluciones tecnológicas de seguridad y el lugar que ocupaban en las estrategias empresariales. Sigue costando, pero vemos cambios en todo ello. Creo que un ejemplo será lo mejor para explicarlo: hace unos años un cliente nuestro nos preguntó qué política de privacidad y qué era necesario para asegurar una nueva aplicación web que, además, debía salir al mercado en unas semanas. En mi cabeza es como si fuera un ingeniero de seguridad de coches y me presentan un prototipo terminado de berlina, me preguntan dónde instalar los cinturones de seguridad y si considero aportar mejoras de seguridad a un chasis terminado. Poco puedo hacer, la verdad…
¿Qué ha cambiado ahora?. Bien, un mayor número de departamentos de las empresas comienzan a tener la privacidad y la seguridad como elemento esencial en su trabajo, proyectos y procesos. Los departamentos de desarrollo de aplicaciones ya contemplan durante el ciclo de vida del desarrollo la seguridad, aunque sea de forma reactiva. De esta forma, ya nos encontramos cada vez menos con productos terminados que necesitan una capa de seguridad imposible de incorporar, a menos que empieces de nuevo todo el proceso.
La seguridad es un proceso no un proyecto, y por ello se debe tener en cuenta en todos los ámbitos de la empresa, ya sea recursos humanos, desarrollo, compras o atención al cliente. Y estamos tan convencidos de ello que hemos cambiado la forma de realizar consultoría de seguridad a empresas, transformándola en algo más humano, más tangible, incorporándose en el ADN de la empresa.
El liderazgo correcto
Quizá el primero de los errores que se han cometido hasta hace poco, era atribuir la implantación de RGPD, ISO 27001, etc. al departamento de IT. Si nos fijamos en el fundamento de cualquiera de las normas que he mencionado, se trata de formas de gestionar la privacidad, la seguridad de la información, no un decálogo de tareas a realizar o proyectos estancos. Por eso partimos desde el punto equivocado si el impulso para implantar las normas se lleva a cabo desde IT; no por incapacidad o falta de liderazgo, al contrario. Los proyectos estratégicos deben ser impulsados por la dirección de la empresa, asesorados y apoyados por distintas áreas como IT, legal, financiero, comercial, etc. ¿Por qué? Precisamente porque la seguridad se encuentra en todos y cada uno de los procesos empresariales. Por tanto, debemos tener presencia de personas de cada proceso o alguien que entienda muchos de ellos.
No debemos olvidar, en cualquier caso, que las normas como el RGPD o el Esquema Nacional de Seguridad son eso, normas. Por tanto, son objeto de interpretaciones e implicaciones legales. Solamente una perspectiva tecnológica es insuficiente para su correcta asimilación dentro de la empresa. Y viceversa, por supuesto.
Siempre que tengamos el conocimiento, respaldo e impulso de la dirección, en su más amplio sentido, la implantación de la seguridad en la empresa tendrá un altísimo porcentaje de éxito.
Hablemos claro
BinauraMonlex decidió hace años que su forma de hacer la consultoría debía estar encaminada hacia la humanización de la seguridad. Al final, ¿quién pulsa el botón en el correo fraudulento? ¿De qué sirve tener cien riesgos identificados por un software si no les vemos sentido? ¿Compramos productos de ciberseguridad según nos parezcan vanguardistas o realmente porque son necesarios para nuestra estrategia?
Apostando por el diálogo entre los distintos departamentos y haciendo de “traductores” hemos observado una mejor implantación de las normas de privacidad, e incluso algunas tan complejas de seguridad como la ISO 27001. Por eso tenemos un equipo de distintas disciplinas que actúa en el momento adecuado, con las personas adecuadas. Hasta que no comprendemos completamente quién es nuestro cliente, cuáles son sus objetivos, sus deseos, no nos ponemos a desarrollar la implantación de leyes y normas de seguridad. Nos encantaría que las implantaciones salieran pulsando un botón en un software, pero eso no es posible si queremos hacerlo con éxito.
BinauraMonlex implanta y audita normativas como el Reglamento General de Protección de Datos, ISO 27001, Esquema Nacional de Seguridad o Plan de Recuperación de Negocios desde la eficiencia, aprovechando las sinergias entre ellas para permitir crecer a la empresa sobre una base sólida. Cada año surgen nuevas regulaciones y requerimientos normativos tanto a nivel nacional como internacional, y sobre esa base es muchísimo más sencillo adaptarse a ello.
Xavier Ferretjans
Responsable de Nuevas Tecnologías
BINAURAMONLEX
