Una de las cosas más bonitas que tiene el trabajo del consultor de seguridad es que te permite visitar todo tipo de organizaciones y analizar modelos de negocio muy variados. A lo largo de los diferentes proyectos que me ha tocado ejecutar he podido ver sectores tan dispares como el hotelero o el militar, empresas de fabricación de productos alimenticios o de desarrollo software.
La presente entrada tiene que ver con reflexiones sobre la vital importancia que tiene hoy en día la gestión de información. Es obvio que todas las empresas se han planteado ya la incorporación de nuevas tecnologías a sus procesos de negocio. Sin embargo, desde la visión de un consultor externo se puede observar cómo en algunos casos el proceso de adaptación se ha quedado en la superficie en muchos casos y en otros cómo ha llegado a cambiar el modelo de negocio por completo.
En todo proyecto tanto de construcción de un sistema de gestión de la seguridad de la información como de protección de datos de carácter personal como de continuidad de negocio siempre el trabajo que toca hacer es el "modelado de la organización". Para ello, el habitual punto de partida suele ser emplear el modelo de la cadena de valor de Porter y tratar de identificar cuales son las actividades primarias y de soporte de esa organización. Cuando tienes suerte y la empresa ya está certificada bajo el esquema ISO 9001 gran parte del trabajo suele estar muy avanzado dado que ya se puede partir de un mapa de procesos que debe definir qué hace esa empresa y cómo logra satisfacer las necesidades de sus clientes. Sin embargo muchas veces ocurre que lo pintado por el manual de calidad dista bastante de la realidad operativa de la empresa. Por desgracia hay sistemas de gestión de la calidad que sólo sirven para ostentar una certificación pero para nada implantan la cultura de la mejora continua dentro de la organización.
En la fase de análisis de riesgos, de análisis de impacto en el negocio o de identificación de los tratamientos de datos de carácter personal el consultor debe analizar para cada empresa cuales son los flujos de entrada de información, los procesos de transformación y las salidas que se producen. En Ingeniería del software durante la carrera nos enseñaban que había que identificar en abstracto todos estos intercambios de información para poder definir el modelo de datos. Para ello empleábamos los diagramas de flujos de datos que son una manera normalizada de definir y diagramar todas estas relaciones entre elementos importantes del sistema de información.
En teoría, la incorporación de las tecnologías de la información en todas las organizaciones debería haber supuesto la elaboración de estos planos de identificación de los procesos de negocio y de las necesidades de información de cada uno de ellos para establecer la mejor manera de incorporar los nuevos canales y las nuevas capacidades operativas que optimizaran los procesos y lograran una mayor eficiencia. Eso hubiera sido "informatizar" la organización. Sin embargo, en muchos casos la incorporación de las tecnologías simplemente ha supuesto la incorporación del correo electrónico como mecanismo de intercambio de información, la creación de una Web para publicitar y anunciar los productos o servicios y la sustitución de máquinas de escribir por ordenadores que generan documentos ofimáticos que se almacenan en servidores de ficheros. Eso es lo que podemos denominar "digitalizar" la organización. Esta es la infraestructura más común que ves en empresas que dicen haberse adaptado al siglo XXI. No se puede negar que estos cambios suponen avances pero ello no implica en el día a día una mejora significativa del rendimiento y la productividad de la organización. En muchos casos, al aumentar el caudal de la información procesada, se ha incrementado la carga de trabajo y al no estar rediseñados los procesos de negocio, los canales telemáticos suponen un cuello de botella. Eso ocurre tradicionalmente con el correo electrónico. Otro de los grandes errores es la ausencia de criterio en la gestión electrónica de documentos, lo que hace del servidor de ficheros un gran repositorio de datos no indexados ni adecuadamente organizados que impide la gestión eficiente de la información en soporte electrónico. La búsqueda de documentos se convierte en una pesadilla porque hemos trasladado los criterios de gestión del papel basados en archivadores y carpetas a la gestión electrónica de documentos, no aprovechando la potencia que implica el uso de metadatos y la categorización de contenidos según cuadros de clasificación documental. Supongo que llegado este punto se puede entender cómo en muchos casos la incorporación de las tecnologías simplemente ha supuesto un cambio de formato respecto al contenido, un proceso de transformar en digital lo que se hacía en soporte papel de forma tradicional.
¿Qué habría sido informatizar la organización?
En primer lugar y tal como empezaba esta entrada, un ingeniero en informática lo que sabe hacer bien es identificar los flujos de información y los procesos de transformación de datos. Debe ser capaz de representar de forma visual el modelo de negocio e identificar los diferentes tipos de documentos, el tipo de datos que se manejan, los repositorios donde se almacenan, etc. Debe construir un modelo de gestión de la información que debe describir qué hace esa empresa y cómo se generan los productos o servicios que forman la cadena de valor de esa organización. Con esos planos, la segunda fase es el rediseño de procesos para adaptar la incorporación de los nuevos medios electrónicos y tratar de automatizar cuando sea posible la recogida y almacenamiento de información para su posterior procesado. Algo que forma parte de la columna vertebral del proceso de administración electrónica que debería estar cambiando el modelo de gestión de las Administraciones Públicas para mejorar en eficiencia y operatividad proporcionando un mejor servicio al ciudadano.
Muchas organizaciones grandes si han tenido que pasar por esta fase de revisar y adecuar sus actividades al uso de las tecnologías cuando han incorporado a su corazón de gestión las aplicaciones de ERP (Enterprise Resource Planning) como Navision, SAP, etc... En muchos casos estos productos ya vienen con un mapa estandar de procesos según el sector y la empresa realmente lo que hace es adecuarse al software en vez lo contrario pero ello en muchos casos se fundamenta en que el modelo de gestión propuesto por el software ya se encuentra muy consolidado y optimizado para ser la forma más eficiente de gestionar.
De identica forma, la informatización también debe identificar cómo gestionar la información en soporte electrónico siendo la gestión documental una pieza clave que permita la iteracción entre las aplicaciones de negocio y la gestión de documentos electrónicos, aprovechando las capacidades de este tipo de herramientas y utilizando su verdadero potencial cuando existe una gestión adecuada de los metadatos vinculados.
En este sentido y dentro de las tendencias de Gobierno TI, parece que empieza a cuajar lo que denominan "Enterprise Architecture" o Arquitectura empresarial que sería esos "planos de la organización" desde la visión de procesos de negocio, aplicaciones y artefactos o recursos informáticos que dan soporte a los sistemas de información. Esta forma de modelar organizaciones está pensada para que todas las capas de la misma puedan utilizar este tipo de planos para adecuar los sistemas de información a las necesidades de negocio.
Estos planos se establecen en capas y permiten desde cada una de ellas subir o bajar en detalle para conocer con exactitud a qué se da soporte o qué recursos necesita.
Formalmente se puede definir la "arquitectura empresarial como que es la lógica de la organización de los procesos de negocio y la infraestructura de TI que refleja los requisitos de integración y normalización del modelo de funcionamiento de la empresa. El modelo operativo es el estado deseado de la integración de procesos de negocio y la estandarización de procesos de negocio para la entrega de bienes y servicios a los clientes."
Esto que suena tan bonito se puede llegar a tangibilizar en esquemas como el siguiente y que permiten a todos los actores de una gran organización conocer exactamente que se hace y qué dependencias y recursos requiere la empresa para funcionar.
El resultado de una adecuada consultoría en seguridad o protección de datos a veces tiene como efecto positivo y colateral el suministrar este tipo de resultados y permitir a la organización identificar deficiencias operativas u oportunidades de mejora que pueden lograr una mejor eficiencia operativa o una mayor robustez de sus sistemas de información frente a los potenciales riesgos que pudieran plantearse. Como conclusión final quería comentar que efectivamente en muchos proyectos uno entra para diagnósticar situaciones y acaba proporcionando una visión completa de qué hace la organización que permite que la comunicación entre Dirección y el área de sistemas de información pueda ser mas fluida. Permite que tanto desde arriba (Top management) se puede visualizar la cantidad de recursos técnicos que son necesarios para soportar a los procesos de negocio como justificar o evidenciar la importancia de determinados recursos técnicos por su vital papel dentro de la posible cadena de fallo y de los impactos potenciales que pudieran ocasionarse en caso de incidentes sobre los procesos de negocio. Aunque los proyectos tienen como objetivo la seguridad, en muchas ocasiones se tienen como resultados colaterales una mejora de la eficiencia operativa o el diagnóstico de puntos de fallo que pueden comprometer la cadena de valor de Porter.