Los estándares de seguridad tienen como fin último que se mejore la seguridad de las organizaciones implantando un conjunto de buenas prácticas.

El problema es que suelen publicar textos complejos que incluyen controles a diferentes niveles y que están muy enfocados a auditoría, más que a implantación.

Muchas organizaciones se pelean por cumplir determinados requisitos de estos estándares sin adaptarlos adecuadamente a su situación por aquello de pasar la auditoría. Y se confunden los objetivos: en vez de mejorar la seguridad se busca convencer al auditor (como si eso sirviera para algo) o malinterpretar los textos.

El otro día se me vino a la mente la idea de ¿qué es realmente esencial en los sistemas de gestión que proponen los estándares de seguridad?

Creo que, en el fondo, todo se reduce a estos dos puntos:

  • Preguntarse por qué (hasta llegar a la causa raíz) de incidentes, vulnerabilidades, ausencia de control, necesidades, riesgos o cualquier otro evento o situación que afecte de algún modo a la seguridad
  • Proveer de los medios para evitar que vuelva a ocurrir (o, más bien, que la probabilidad o impacto se reduzcan)

La ventaja de esta forma de pensar es que reduces estática mental y te concentras en lo principal, el resto ya llegará.

Si en tu búsquedas del porqué llegas a la conclusión de que necesitas apoyo de la Dirección, pues lo pides. Si llegas a la conclusión de que hace falta implantar un plan de contingencia pues buscas apoyo y recursos y, si lo consigues, lo implantas. Si necesitas realizar auditorías externas para comprobar si la cosa va bien, lo justificas y las contratas.

Lo importante es que cada acción está justificada mediante un simple proceso y corresponde a una necesidad ‘real’ en vez de que la necesidad sea ‘porque lo dice tal estándar’. Si usas la última justificación siempre te pueden decir aquello de ‘el estándar me lo paso por…’.

No sé si me he explicado del todo bien. En un próximo post entraré algo más en detalle en el análisis de causas.