Con independencia de la dimensión de una organización, de si ejerce su actividad en un sector u otro o de su complejidad jerárquica, está comúnmente aceptado que es la Dirección quien asume la responsabilidad en la definición, seguimiento y consecución de los objetivos estratégicos del negocio.
Al igual que la cúpula directiva de cualquier organización tiene un control directo de los aspectos relacionados con las finanzas, alianzas estratégicas o planes de desarrollo del negocio, ¿por qué no suele ocurrir lo mismo cuando se trata de la calidad de la prestación de los servicios, la fiabilidad y continuidad de los sistemas de información o el impacto que tiene la externalización de un proceso o servicio a un tercero?
Como es evidente, esto no responde a un desinterés por parte de la Dirección, ya que la prestación de un servicio o realización de un producto no satisfactorio tiene una repercusión inmediata en la facturación, cuota de mercado o reconocimiento comercial. La respuesta a esta situación puede estar en:
- La segregación de funciones en divisiones, departamentos y secciones con sus correspondientes responsables jerárquicos.
- La falta de alineamiento de los objetivos estratégicos del negocio con los procesos operativos realizados.
Ya que sería inviable que todas y cada una de las áreas de la organización estuviesen centralizadas en el Director,
la delegación se hace necesaria. Pero cuidado, es un arma de doble filo si no se aplica por igual.
El compromiso como requisito
Sólo cuando se asumen como propios los requisitos de un sistema de gestión estaremos en el único punto de partida válido. Si el Sistema de Gestión de Seguridad de la Información (SGSI) no cuenta con la Dirección como principal valedor, cualquier iniciativa enfocada a gestionar la seguridad en sintonía con los objetivos globales del negocio será la crónica de una muerte anunciada.
La Dirección deberá dotarse de herramientas organizativas de control, seguimiento y revisión, ya sea a través de delegados de seguridad o indicadores de la evolución de la eficacia de los controles, por ejemplo.
Compartir y no delegar la responsabilidad
La corresponsabilidad de la delegación tutelada debe realizarse con la única intención de compartir y mejorar los principios y objetivos establecidos en los documentos troncales del SGSI, así como la toma de decisiones que pudiera derivarse. En caso contrario estaríamos ante lo que se conoce como Delegación Irresponsable, que, en líneas generales, presenta el siguiente ciclo de vida:
.jpg?1337281277)
