Seguritecnia 490

/ Octubre 2021 22 Seguridad Corporativa gestor de conocimiento pasando por el responsable de recursos humanos en solo 20/30 años. El cumplimiento nor- mativo y los cuadros de mando avanza- dos aportan a la seguridad corporativa buenas herramientas similares a las de prevención de riesgos laborales y a las de seguridad lógica. Punto de inflexión La crisis del SARS-CoV-2 ofrece un nue- vo punto de inflexión y una oportunidad para la seguridad corporativa por su dimensión, impacto y consecuencias residuales. Pero también por la nece- sidad de un enfoque integral. Ira Som- merson, CPP, escribió en 1995, mucho antes incluso de que los sistemas de información adquirieran su trascenden- cia actual, que “para sobrevivir en los próximos 20 años, los departamentos de Seguridad deberán absorber otras pe- por diferentes razones. Para Weisman, el puesto de CSO ( Chief Security Officer ), en especial en su vertiente de seguridad de la información o CISO, podría ser el tra- bajo del futuro que nadie quisiera por las cada día mayores responsabilidades asu- midas, la falta de concienciación real de las empresas y la carencia de asignación de los recursos necesarios. Y es que, durante años, la seguridad corporativa fue un asunto puramente operativo muy alejado de los niveles de decisión estratégica. Los máximos nive- les de las organizaciones no entendían en realidad su utilidad, salvo en aquella vertiente que ofrecía una puerta de ac- ceso falsa: la seguridad personal. Pero este enfoque está cambiando desde hace un tiempo, aunque despacio y no por igual en todos los países. Tomemos como referencia el pro- ceso de cambio de jefe de personal al tante o más que el conocimiento técnico específico en seguridad. Creatividad Cada organización es diferente. Por ello, es muy importante ser creativo a la hora de qué métricas elegir que reflejen más adecuadamente el trabajo del depar- tamento de Seguridad en beneficio de las operaciones de la organización. Es imprescindible cuantificar nuestra contri- bución a la cuenta de resultados y al ba- lance de situación. Es lo que se llama el valor añadido y su demostración. Y esta puede proceder de muy diferentes fuen- tes y encuadrarse en alguno de los cuatro grupos que mencionaré a continuación, pero deben ser breves y concisas. No en vano, a la hora de interactuar no podemos olvidar que los directores más senior están muy ocupados y están acostumbrados a desarrollar percepcio- nes muy rápido; y por lo tanto, deberían ser capaces de tomar decisiones a la misma velocidad. El primer grupo son las acciones direc- tamente relacionadas con el tratamiento de los riesgos de seguridad; el segundo, los rendimientos de la función; el ter- cero, las acciones concretas de valor añadido; y el cuarto y último, aunque no menos importante, las acciones de influencia. De ellos pueden derivarse los KPI. La construcción de un adecuado e impactante cuadro de mando es hoy en día un componente fundamental de la gestión de la seguridad corporativa. Responsabilidad Un entorno extraordinariamente comple- jo en términos de riesgo puede provocar reacciones complejas. Algunos entornos relacionados con los responsables de se- guridad de la información adelantan que esta puede ser una responsabilidad del futuro que nadie quiera asumir. Es una posición crítica, pero altamente inestable El conocimiento del negocio y de todo lo que le rodea es tan importante o más que el conocimiento técnico específico en seguridad