¿Qué es el Planeamiento Estratégico? La etimología dice que estratega deriva del griego “strátegos”: quienes conocían los caminos “stratos”, y podían orientar a los viajeros en su travesía. Analizaban las circunstancias (escenarios) para anticiparse a las ‘oportunidades’ y ‘riesgos’, elegir el destino y la ruta.
Existen innumerables definiciones de estrategia y de planeamiento estratégico, pero personalmente me gusta una muy corta pero efectiva: “Dirección en la que una empresa necesita avanzar para cumplir con su misión.”
Cuando a los profesionales de seguridad nos hablan de planes estratégicos muchas veces nos preguntamos cómo diseñarlos y la realidad indica que aún no disponemos de metodologías sobre la definición de estrategias de Seguridad de la Información.
Partiendo de este escenario es que resulta una excelente opción basarse en determinados puntos del planeamiento estratégico clásico de los profesionales de Administración.
El primer paso es imaginar a la Gerencia de Seguridad de la Información como una empresa. Luego, recomiendo continuar con los siguientes pasos: definición de Misión, Visión, Análisis de Ambiente, Análisis FODA, definición de Objetivos Estratégicos y Plan Operativo.
La Misión es el motivo, propósito, fin o razón de ser de la existencia de la Gerencia de Seguridad de la Información.
La Visión es el horizonte al cual se dirige la Gerencia, es decir, en qué se va a convertir en un largo plazo.
El Análisis de Ambiente consiste simplemente en definir la situación actual del entorno, preguntarnos quiénes son nuestros actores internos (Ej. Usuarios) y externos (Ej. Auditoría) y cómo influyen en nuestra “empresa”.
El conocido Análisis FODA es quizás el punto que, a priori, es el más simple pero la realidad indica que es el más complejo y clave para el éxito de un plan estratégico. FODA corresponde a las iniciales de Fortalezas, Oportunidades, Debilidades y Amenazas. Las Fortalezas y Debilidades son inherentes a la organización y las Oportunidades y Amenazas pertenecen al entorno, por lo tanto, son variables que por lo general resulta muy difícil poder modificarlas.
Un ejemplo de cada una sería:
Fortaleza: “Recursos Humanos altamente capacitados en Seguridad”
Debilidad: “Presupuesto acotado”
Oportunidad: “Crecimiento del concepto de Seguridad de la Información en el mercado”
Amenaza: “Crecimiento de los delitos informáticos”
La definición de Objetivos Estratégicos surge de combinar nuestras fortalezas y debilidades versus las amenazas y oportunidades. Los objetivos estratégicos tienen un alto nivel de abstracción y permiten determinar qué logros se quieren alcanzar en un plazo determinado, siendo consistentes con la visión y la misión definidas.
A partir de la definición de los objetivos estratégicos estamos en condiciones de determinar nuestro Plan Operativo. Cada objetivo estratégico se desglosará en varias tareas detalladas que formarán parte de este plan. Un Plan Operativo no es ni más ni menos que un Project con la definición de plazos, recursos, esfuerzos, etc.
En términos sistémicos, al aplicar la trazabilidad a una tarea del plan operativo podremos llegar, por ejemplo, a una debilidad de nuestro FODA y viceversa. Esta sería nuestra ‘prueba de escritorio’.
Otro paso fundamental consiste en definir un plazo u horizonte estratégico. Normalmente este plazo es de 3 a 5 años, por lo tanto, y dado que nuestro plan debería cumplirse en los tiempos establecidos, será necesario definir un nuevo plan en el futuro.
Para concluir, podemos expresar que la planificación estratégica es sinónimo de proactividad y gestión moderna.
