miércoles, 6 de septiembre de 2017

Seguridad: gasto o inversiòn ?


Enrique Polanco (Director de Seguridad de Grupo Prisa)
En estos momentos de crisis, donde se preconiza hasta límites hace un año insospechados la contención del gasto, la seguridad es un concepto que cobra su máxima actualidad, habida cuenta que su fin último es asegurar los resultados del negocio.
En el último trimestre del año, en el que se suceden los estudios y reuniones para ir preparando los presupuestos del próximo ejercicio, no se habla casi de otra cosa que de contención del gasto, recortes y eliminación de todo lo que no sea estrictamente necesario para incrementar los beneficios o, como mínimo, reducir las pérdidas.
Todos los departamentos de la empresa luchan  por demostrar su solidaridad a la hora de apretarse el cinturón, pero tratando de convencer a todos de la crucial importancia de su gestión y evitar que el inevitable mordisco presupuestario se cebe en sus ya de por sí mermados presupuestos. Todos temen que cualquier recorte reste eficacia a su gestión y acabe repercutiendo negativa e irremisiblemente en su cuenta de resultados.
Pero hay que buscar una solución y la tentación es fuerte.
En estos momentos de crisis financiera cobran poca importancia los cálculos de probabilidades, las pérdidas que acaecieron a terceros o la importancia de los riesgos asumidos. 
Lo intangible, lo que no se puede asegurar que pase, no tiene por qué pasar. Se hace necesario recortar gastos y, en temas de seguridad, tenemos una cantera propicia para ello. Proyectos, mejoras, renovaciones o, incluso, seguros pueden esperar a un mejor momento. Como siempre, entran en colisión las ideas de considerar gasto o inversión a determinadas partidas que no son siempre bien entendidas.
Bruce Schneier, un verdadero y reconocido internacionalmente gurú de la seguridad informática, no escatima palabras cuando continuamente trata de imbuir a la alta dirección de las empresas de la importancia que la seguridad, y en especial la seguridad de la información, tiene para el negocio y que, en definitiva, debe ser integrada como un elemento más del mismo que se alinea, como otros departamentos, para tratar de mejorar la cuenta de resultados.
La crisis afecta a todos, a los particulares, a las empresas y también, por qué no, a nuestros competidores. En este punto, surgen dos preocupantes ideas: la posibilidad de un incremento del riesgo de ataques y la disminución de la capacidad de recuperación propia.
Respecto a la primera, la reacción ante el sombrío panorama se torna obvia: la crisis crispa todo lo que la rodea. El descenso en la pirámide de Maslow se antoja indiscutible. Aplicando la pirámide a los negocios, la defensa de lo propio se torna fundamental y las necesidades de seguridad y supervivencia ensombrecen a conceptos superiores, otrora capaces de eclipsar los de niveles más bajos. El miedo y el dolor de aquellos que vislumbran grandes pérdidas, si no el cese de las actividades del negocio, agudiza el ingenio, enardece a los débiles e, incluso, relaja la moral haciendo que la ética de las buenas prácticas entre en colisión con otras ideas que pueden traspasar los bordes de la honestidad y la ley.
En tiempos de crisis, el riesgo de ser víctima de todo tipo de ataques aumenta en relación directa con la crispación y el desaliento y, en consecuencia, aumenta en la misma proporción la necesidad de asegurar los procesos y activos propios.
Respecto a la segunda idea, la disminución de la capacidad de recuperación, es una consecuencia lógica de la disminución de recursos y del trabajo al límite de beneficios. Las reservas propias van desapareciendo en unos momentos en que cada vez es más difícil conseguir recursos y financiación ajenos. Cualquier pérdida adquiere tintes dramáticos para quien no está en condiciones de reponerla. Los seguros, de los que a veces también se cae en la tentación de suprimir, no son suficientes para cubrir muchos de los activos no materiales que sin embargo son esenciales para la continuidad del negocio. Quien no sea lo suficientemente fuerte para asumir pérdidas no puede permitirse el lujo de incrementar los riesgos de que estas se produzcan. En este aspecto, no sólo hay que tener en cuenta el aumento del riesgo de sufrir acciones malintencionadas, sino las propias de accidentes, incendios, desastres o cualquier otra que necesite de elementos de seguridad para prevenir o paliar sus efectos y que, en tiempos de desánimo y crispación, parece ser que son estadísticamente más proclives a producirse.
No es éste el medio ni el momento de dar soluciones o consejos generales. Cada problema puntual debe tener su estudio y ponderación.
Es muy común que las empresas tengan en cuenta en sus valoraciones el llamado retorno de la inversión (ROI), pero sin embargo, es bastante más difícil consensuar unas fórmulas que nos den un valor aproximado del no tan conocido retorno de la inversión en seguridad (ROSI), y éste es el acuciante momento en que tenemos que tenerlo en cuenta y llevarlo, con cierta urgencia, a todas aquellas mesas donde los decision makers están tratando de salvar las cuentas de resultados de este ejercicio y previendo cómo afrontar el siguiente, que no se antoja precisamente muy halagüeño.
Una empresa responsable debe tomar conciencia de los resultados a corto plazo pero, también, del aseguramiento de que esos resultados se van a poder mantener en el futuro y van a ser preservados de actos, malintencionados o no, que puedan ponerlos en peligro.
Obviamente, el gasto es necesario, pero no nos engañemos, el incremento de la Seguridad no se consigue a fuerza de incrementar los gastos ni tratando de blindarse de una forma indiscriminada. Se consigue con una buena organización, con auditorías que abarquen zonas completas y nos hagan conscientes de nuestras vulnerabilidades reales al margen de los que prefieren jugar al avestruz y, sobre todo, aumentando el conocimiento y la cultura en materias de seguridad, tanto de los directivos como del resto del personal a todos los niveles. 
La crisis, a la larga, a quien afecta es a las personas y son éstas las que conseguirán paliar sus efectos o acrecentarlos, debiendo ser por tanto el objeto preferente de nuestra atención.
No debe olvidarse también la seguridad de la información que cobra especial relevancia en estos momentos y de la que debe preservarse a ultranza su disponibilidad, su integridad y su confidencialidad, ya que son la base para tomar las decisiones adecuadas en los momentos de mayor vulnerabilidad. 
La seguridad, controlada, equilibrada e inteligente, no es un gasto sino una inversión.

---