Al día de hoy, es difícil encontrar una organización que no haya abordado algún proyecto relativo a la seguridad de la información; algunas veces, ante la obligatoriedad de cumplir con la legislación vigente (protección de datos), y otras, para cubrir riesgos identificados por alguna contingencia grave acontecida en el pasado más reciente (continuidad de negocio, fuga de datos confidenciales…).

Desde el punto de vista organizativo, también podemos encontrar muchas empresas en las que ya existe una dirección de seguridad, cuya misión es identificar y gestionar los riesgos asociados a la seguridad de la información, para posteriormente proponer soluciones alineadas con la estrategia de negocio.

Hace un año, ésta era también la realidad de la entidad pública andorrana “Servei de Telecomunicacions d’Andorra (STA)”. Tenía una Dirección de Seguridad, y en colaboración con Ernst & Young, se han ido desarrollando una serie de acciones relativas a la seguridad de la información incluidas en su Plan Director de Seguridad.

Sin embargo, en muchas ocasiones, todo lo que se acaba de comentar, no es suficiente. La seguridad tiene que ser un tema de todos los empleados, nunca de unos pocos. Dejando a un lado, los departamentos de seguridad, la concienciación del resto de la organización, se mantiene viva durante su involucración en proyectos relativos a la seguridad; una vez finalizada su participación, esa concienciación desaparece en gran medida.

Por ello, la cuestión que nos planteamos en STA fue cómo podíamos hacer para que todos los empleados tuvieran una actitud pro-activa de cara a la seguridad, independientemente de su involucración en proyectos específicos de seguridad. La solución que planteamos, y que posteriormente se ha implantado, fue atacar directamente a los propios valores de la organización.

En el actual entorno empresarial, con cambios organizacionales, tecnológicos y económicos constantes, resulta fundamental establecer nuevos valores que guíen nuestra cultura corporativa de servicio. Y aunque estamos más familiarizados con valores como el trabajo en equipo o la orientación al cliente, desde nuestro punto de vista, la seguridad es uno de los que no puede faltar. Los valores de una organización son las bases de actuación de todos los empleados, y por ello es importante definirlos correctamente. Una vez definidos, se deben identificar conductas asociadas con ellos.

En STA se ha incorporado la seguridad como nuevo valor de la compañía, y se han definido unas conductas que corresponden con niveles de exigencia para todos los empleados - dependiendo del puesto de trabajo -. Los niveles inferiores han de establecer la base general para todos los empleados (por ejemplo, conocimiento de la política de seguridad corporativa). Los niveles medios están orientados a la evaluación de la pro-actividad (por ejemplo, propuestas de mejora o identificación de incidentes). Por último, los niveles superiores están encaminados a la estrategia de la seguridad (por ejemplo, participación en el comité de seguridad).

Como en cualquier otra empresa, el desarrollo profesional de cada empleado de STA, dependen, en menor o mayor medida, del cumplimiento de las conductas derivadas de los valores de la compañía, entre los que actualmente se encuentra, por supuesto, el valor seguridad.