Cumplimiento o Cumplo y miento

(29/Jun/2021 – web) por Rogelio Nova, QSA leader GM Select. CISM, ISO/IEC 27001 Lead Auditor, QSA.- En estos días tuve oportunidad de leer un artículo interesante refiriendo que los estándares o marcos de seguridad hacen daños a las empresas, la postura es interesante y un tanto debatible, pero ese análisis me llevo a pensar y a escribir este artículo, ¿de verdad hace daño un marco de gobierno o estándar a una empresa? Yo creo que es cuestión cultural.

En mi experiencia como promotor y revisor de una de las normas mas importantes a nivel mundial, me he encontrado con diferentes posturas y puntos de vistas sobre el cumplimiento de un estándar. Y es que existen diversos problemas que son comunes en una empresa al momento de adoptar una norma de seguridad.

Lo primero es la interpretación, argumentos o criterios que podrían no ser del todo claros al momento de aterrizarlos en el día a día en una operación dentro de una empresa, ¿Cómo aterrizar o llevar acabo lo que la norma dice o exige como control mínimo a una operación de negocio? Es una de las preguntas y problemas que la mayoría enfrenta, y es que la tarea no es fácil, por un lado se requiere experiencia y manejo de la norma, y por otro lado conocer el negocio, es una combinación que no suele darse fácilmente.

El segundo problema; asumamos que contamos con la experiencia suficiente y el conocimiento del negocio, ¿cómo estamos en el presupuesto?, implementar un estándar que para poder implementar esos controles mínimos, que menciona los estándares y marcos de seguridad, requieres algún tipo de inversión; y siempre desde la dirección general será cuestionado si realmente se requiere ese tipo de inversiones. (esto ya parece “lo que callamos los CISOs”).

Tercer problema, sí los dos puntos anteriores no fueron problemas, viene un tercero, “tiempo”, este es un factor que siempre, siempre, se presenta, y es que rara vez una empresa adopta un marco de gobierno y un estándar de seguridad por iniciativa, las empresas que adoptan uno de estos “estándares” es por que hay una regulación o entidad externa que se lo exige o por una oportunidad de negocio y esto conlleva a que el tiempo de implementación y adopción sean cortos, es aquí en donde yo en particular cuestiono, ¿por qué esperar a que me lo exijan? Cuando de antemano se que la información que maneja la empresa es importante y requiere protección.

Entonces el problema no es el estándar, es cultural, porque ningún marco de gobierno y estándar de seguridad nos exige tiempos de implementación o adopción, el tiempo lo establecemos nosotros mismos dependiendo de la “urgencia” con la que tengamos que cumplir. Debido a esta urgencia las empresas optan por implementar lo mínimo necesario y dejar para “después” “lo de más”, pero… ¿qué es “lo de más” ?, sí tomamos en cuenta que estamos implementando lo mínimo necesario. La Implementación requiere tiempo, no solo es implementar el control, debes monitorearlo y verificar que realmente funcione y cumple el objetivo, pero esto solo lo puedes confirmar a través del tiempo, y esto te puede tomar de 1 a 3 meses, tiempo que rara vez se tiene.

Cuando realizas una revisión y observas que el control no lleva funcionando ni un mes o apenas recién cumple el mes, ¿qué garantía tienes de que realmente sea efectivo?, ¿estamos cumpliendo realmente? O ¿estamos tratando de cumplir para después mentir que como empresa estamos apegados a un marco o estándar de seguridad?

Vía Analic MMedia