¿Por dónde empiezo? suele ser la pregunta más frecuente entre todas las personas que han decidido cambiar para adaptarse a su entorno. En este punto es fundamental entender que somos las personas y las organizaciones las que nos adaptamos al entorno que nos rodea, nunca pasará al revés, así que cuanto antes entendamos este punto, antes nos pondremos en marcha.
Hay muchas organizaciones que creen que la solución a sus problemas es tal o cual herramienta, pero muchas veces tendemos a confundir las herramientas con el objetivo. Las herramientas sirven para ayudar a una empresa a llegar a sus objetivos, y los objetivos deben estar claramente definidos en las políticas. Pero para que toda esta maquinaria comience a trabajar debe de existir una organización que permita poder alcanzar dichos objetivos.
Yo siempre digo que la política es el escudo que tienen los responsables de seguridad, mientras que el modelo Organizativo es la espada que les permite desempeñar su trabajo por mandato de la Dirección. Cuando se disponen de estos dos principios básicos, se necesitarán las herramientas que sean necesarias, en forma de aplicaciones, recursos, servicios internos o externos, formación, tecnología, seguridad física, etc. Pero como los recursos son finitos y las necesidades infinitas, antes de gastar ni una moneda, es necesario realizar un Análisis de Riesgos, para saber por dónde he de empezar a trabajar.
Al igual que en una orquesta, hace falta un Director de orquesta que dirija y ponga el ritmo que deben de seguir todos, y unas partituras que expliquen qué hay que tocar en cada instrumento. Son siempre los músicos los que con sus herramientas musicales (instrumentos) producen el sonido que en su conjunto hace la música de la partitura.
Es el plan de acción, o plan de tratamiento de riesgos, o cualquier otro nombre que las empresas le dan, el que por medio del análisis de riesgos, comienza a trabajar en la resolución de los problemas de la empresa, adquiriendo las herramientas oportunas a ese efecto.
Lo mejor para empezar a caminar es basarse en estándares internacionales que sirvan de guía:
- ISO 27001 para el sistema de gestión. El motor que hará que cualquier implantación de un control perdure en el tiempo.
- ISO 27002 para los controles. Los mecanismos de control y las salvaguardas necesarias para proteger cada uno de los activos de una organización.
- ISO 31000 para la gestión de riesgos. Normas para disponer de un criterio a la hora de comenzar a priorizar unos controles sobre otros.
A partir de ahí, habrá multitud de normas a tener en cuenta de forma más específica en cada ámbito de actuación concreto.