PRODUCTO O SERVICIO
Esta es la primera pregunta que se hace todo gestor responsable a la hora de planificar cómo satisfacer una necesidad, porque sabe bien que pasarla por alto, sin un análisis siquiera preliminar de las alternativas, o peor aún, equivocarse, puede acarrear importantes costes de oportunidad y dolores de cabeza a toda la organización.
Manuel Carpio Cámara
Director de Seguridad de la
Información y Prevención de Fraude
Subdirección General
Seguridad Corporativa
TELEFONICA, S.A.

Lejos de mi ánimo llevar ahora el desasosiego a la mente del tecnólogo gestor que, solo o en compañía de sus consultores de cabecera de cama, ya tiene tomada la decisión de comprar o desarrollar, deslumbrado por las características y prestaciones de tal o cual producto o sistema, de entre los muchos que pueblan las páginas de esta magnífica revista, siguiendo, claro está, el plan que le aprobaron (con recortes) en el otoño pasado.
Desde un punto de vista meramente económico, sorprende lo extremadamente sencillo que resulta discernir si finalmente sería mejor invertir que externalizar. En la red hay ya profusa documentación al respecto (pasen y vean http://www.outsourcing-center.com/) y como anécdota diré que de entre los viejos libros de mi estantería acabo de recuperar un manual del Instituto de la Media y Pequeña Empresa Industrial, titulado “La decisión de invertir”. Ya en la portada, su índice acusador nos señala e inquieta: I) Las inversiones como oportunidades y amenazas. II) Cómo invertir bien: análisis y selección de inversiones. III) Conceptos y técnicas para la evaluación y IV) El calendario de la decisión.
Un momento, ...¿una inversión puede convertirse en una amenaza? Pues claro. Una inversión mal hecha, además de debilitar la posición financiera y suponer un coste de oportunidad para la organización, puede dar con los huesos del gestor en la calle, cuando sus jefes son gente capaz. Como evidentemente no está Vd. en la calle, querido lector, hemos de inferir que hasta ahora, sus decisiones inversoras han sido las correctas, dado que sus jefes son gente capaz...¿no?.
«Realmente, hoy, la forma de gestionar la seguridad de los sistemas de información... ¿genera ventaja competitiva? Lo que está claro es que una mala gestión de la seguridad generará, tarde o temprano, desventaja competitiva»

Toda inversión lleva aparejado un coste de propiedad embebido dentro de un concepto más amplio de rentabilidad caracterizado por su VAN, TIR, ROI, ICB, etc, calculados en base a un determinado horizonte temporal con amplitud inversamente proporcional al avance tecnológico. Traducción de lo anterior: anterior: los “tamagochis” (que me perdonen en la RAE) de seguridad son caros y envejecen rápido, y por si fuera poco el personal que los entiende cobra caro y no trabaja los fines de semana. Estadísticamente, el mayor número de ataques se produce durante los fines de semana, y la voz de alarma, también estadísticamente, se da (¿?) los lunes.
Vale, ya sé cuál es el precio/año (por usuario, por servidor, por oficina, por-lo-que-yo-quiera, etc) del servicio interno de seguridad, ese que presto utilizando el producto o el desarrollo que he comprado, ...pero ¿y la calidad? Tampoco es difícil de medir, si dispongo de buenos indicadores (objetivos o subjetivos) integrados o no en el ciclo de vida de desarrollo de los sistemas y los procesos de negocio que soportan. Y permítame el lector no abrir aquí el melón del sobredimensionado o infradimensionado (eficiencia) de la “producción” o “caja de operaciones” que la empresa nos ha encomendado, y demos por bueno que tengo perfectamente aquilatados los servicios de seguridad y su calidad a las necesidades reales de mi negocio.
Externalizaré si la calidad/precio del servicio ofertado externamente supera al calculado, según acabamos de ver. El proceso de externalizar, una vez tomada la decisión, puede hacerse de forma gradual, atravesando distintas modalidades de contratación de los servicios, según se vayan confirmando (o desmintiendo) las hipótesis iniciales sobre la relación calidad/precio de los servicios contratados.
La relación calidad/precio de los servicios a contratar dependerá, a su vez, de la madurez del mercado al que acudimos, que deberá ofrecer amplitud suficiente en cuanto a competidores con estabilidad financiera a medio y largo plazo, profundidad en la gama de servicios con especialización de personal y de plataformas, flexibilidad para la adaptación a necesidades emergentes de los clientes y transparencia en la gestión. Todos estamos convencidos de que algún día el mercado español de servicios de seguridad, reunirá todas estas características.
Pero si, no obstante, los números cantan y nos lo ponen feo, nos asaltará un miedo atávico: ¿A qué me dedicaré yo cuando externalice mis operaciones y mis máquinas? Aflorará rápidamente el otro gran conjunto de argumentos, aquellos llamados “estratégicos”, para justificar la inversión que se desea perpetrar. Convendremos que todo lo que se adereza con el epíteto “estratégico” desprende cierto tufo a “deficitario” o cuando menos, discutible. Con esta advertencia, querido lector, saldremos pues de las claridades de la matemática económica para introducirnos en las oscuridades de las razones estratégicas, como siempre, opinables.
Realmente, hoy, la forma de gestionar la seguridad de los sistemas de información,... ¿genera ventaja competitiva? Lo que está claro es que una mala gestión de la seguridad generará, tarde o temprano, desventaja competitiva. Pero en condiciones normales, bajo una gestión “razonable” (cumpliendo las regulaciones y recomendaciones de organismos oficiales y privados) todos terminamos comprando los mismos productos y haciendo desarrollos parecidos, con lo que nuestros ratios de gestión van a estar muy próximos. En otras palabras: el responsable de seguridad puede llegar a salvar a su empresa de un desastre, pero difícilmente le reconocerán como padre de sus éxitos.
Por otro lado, está el mito del “yo nunca pondré mis datos de negocio en manos de...”, (cuando me lo dicen, ya creo estar viendo esas manos chorreantes de sangre en la escena del crimen). Un amigo empresario me dijo una vez que prefería un buen SLA a una plantilla conflictiva. Por otra parte, resulta difícil controlar los flujos de información del negocio para garantizar taxativamente que en todo instante sólo acceden un grupo restringido y de personal propio. ¿Qué empresa no tiene ya personal subcontratado en tareas de desarrollo o explotación de sistemas? ¿Qué me dicen del personal de los fabricantes que trabaja codo con codo con nuestra gente en nuestros CPDs? ¿Con qué privilegios acceden a los sistemas?.
En resumen, ni los accionistas tienen por qué satisfacer los más bajos instintos de nuestro ego tecnológico, ni nosotros debemos convertirnos sólo en guardianes de SLAs. Invierta o externalice, en todo o en parte, pero por favor, medítelo antes.
Documento en PDF
  
<volver