sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

José Manuel García, Dir.Seguridad de la CA de Santander y Cantabria

De la seguridad vigilada a la seguridad gestionada

A menudo, en la seguridad bancaria nos miramos mucho al ombligo. Es muy frecuente que la realidad de esta especialidad sea analizada al amparo de su normativa reguladora o de sus actores principales, y muy poco frecuente que se analice desde un punto de vista genérico de gestión en general o de gestión de riesgos en particular.

La gestión de la calidad supuso un paso adelante importantísimo para las empresas que querían cumplir adecuadamente con su misión de satisfacer las necesidades y las demandas de los clientes. La alineación de todas las funciones o procesos internos con ese propósito finalista ha propiciado en estos años que todos los procesos operativos empresariales se hayan racionalizado y actualizado. Todas las funciones, o los procesos en aquellas empresas que hayan optado por la gestión de éstos, han debido optimizarse para la consecución del objetivo estratégico.

Sin embargo, en general, observamos que las empresas no han dispuesto su estructura interna para la gestión de circunstancias contingentes, la gestión de los riesgos de cualquier tipo, lo que alguna vez hemos llamado la gestión de “lo que puede ir mal”. No existe en nuestro país cultura de gestión del riesgo empresarial y las explicaciones pueden ser variadas. Creo que la causa principal es la falta de cultura de seguridad de la Alta Dirección, carencia que se traslada inmediatamente a la organización que no suele disponer de una función interna encargada de la gestión de los riesgos empresariales, o hacerlo porque una norma jurídica le obliga, con lo que ello supone de cumplimiento formal mínimo. Es muy frecuente que esa misma Alta Dirección esté ocupada exclusivamente en “lo que suele ir bien”, la producción, las finanzas, las ventas, los recursos, etc., y muy poco centrada en la gestión de lo contingente, es decir, en lo que “puede ir mal” en la organización.

Ello tiene mucho que ver con la percepción de los riesgos que tenga el empresario, la dificultad de cuantificar el retorno de la inversión de la no siniestralidad, o simplemente porque implantar algunas medidas o transferir a una compañía de seguros algunos riesgos le proporciona una sensación de seguridad que no tiene por qué corresponderse con la seguridad real.

402_Ca_santander

En cualquier caso, sabemos que psicológicamente resulta mucho más atractivo ocuparse de las actividades ordinarias de la empresa, de las cuestiones positivas, porque suelen tener retornos también positivos, que trabajar analizando escenarios de riesgo, de impactos para la actividad, de falta de continuidad de la empresa, etc., todos ellos de pronóstico negativo.

Alto riesgo

Lo cierto es que la continuidad del negocio puede ponerse en peligro tanto porque no funcionen los procesos productivos como porque se materialicen riesgos para los activos de la empresa que puedan acabar con ella o resulten generadores de pérdidas importantes. Y esta es la razón por la que ambos deben ser adecuadamente gestionados.

La escasa gestión de riesgos que se hace ha venido de la mano de lo impuesto por sucesivas normas legales que obligan a este empresario a gestionar determinados riesgos específicos. Este sería, por ejemplo, el caso de la gestión de los riesgos laborales de los trabajadores, impuesto por la Ley 31/1995 de Prevención de Riesgos Laborales. Mucho más difícil ha sido que los empresarios hayan decidido voluntaria y conscientemente gestionar determinados riesgos sin que una ley estuviera detrás obligándoles. No obstante, el temor a determinados escenarios de pérdidas o la imposición de terceras partes con quienes contratan ha sido suficiente, en algunos casos, para que fueran dando respuesta a otras “familias” de riesgo.

Este sería el caso de los riesgos para la información, activo determinante en cada vez más procesos productivos y, por ello, estratégico para el empresario, o la gestión de riesgos para el medio ambiente que puede verse alterado como consecuencia de la actividad empresarial. Otras familias de riesgo también surgen como consecuencia del cumplimiento normativo, generador a su vez del riesgo de cumplimiento, del miedo a la sanción, como la normativa de seguridad privada que afecta a sectores de la actividad como los bancos, que ha dado lugar a una seguridad supervisada desde la Seguridad Pública, que en ningún caso podemos llamar cultura de seguridad.

Más difícil resulta ver ejemplos de gestión de los riesgos que pueden influir en la continuidad del negocio o aquellos que puedan afectar a la responsabilidad social corporativa, a las expectativas de colectivos ajenos a la empresa, pero próximos a ella como stakeholders o partes interesadas en su actividad, cual es el caso de asociaciones, organismos públicos, etc.La gestión de todos estos riesgos que hemos citado, y cuya gestión puede ser obligada o voluntaria, tiene un denominador común: todos ellos pueden gestionarse con las mejores prácticas estandarizadas en normas técnicas, entre las que destacan las normas de la International Organization for Standarization (ISO), que encuentra su referente en nuestro país en AENOR (Asociación Española de Normalización y Certificación). Normas como UNE-ISO 27000, UNE-ISO 14000, ISO 26001, OHSAS 18001 o ISO 22301 son capaces de proporcionar a ese empresario la mejor calidad en la gestión de sus correspondientes riesgos.

Físico y lógico

Desgraciadamente, no existen normas técnicas en estos organismos que den respuesta a una familia de riesgos que nació sin apellidos, “seguridad”, y que hoy, para diferenciarla de otras “seguridades”, se la viene llamando “seguridad física”. Se trata de la respuesta, no normalizada, a determinados riesgos empresariales, muchos de ellos de carácter antisocial (robos, hurtos, infidelidades, falsificaciones, delitos contra la propiedad industrial o intelectual, etc.) e incluso relacionado con la seguridad personal del propio empresario, que se convierte así en un activo con riesgo de su propia empresa.

En el mundo anglosajón, cuando se están implantando con fuerza las tecnologías de la información y las comunicaciones (TIC) en entornos corporativos en los años setenta, se hace necesario diferenciar los riesgos que tiene la información contenida en ordenadores mainframe de aquellos otros asociados a los activos tangibles de la empresa. Es entonces cuando aparece el apellido. A la respuesta a los riesgos del software se le llama logical security y a la seguridad del resto de activos physical security, término que cuando es castellanizado tiene evidentes connotaciones de seguridad de elementos tangibles y que, por ello, a menudo se confunde con las propias medidas de seguridad. Expresiones como “llama a la seguridad” o “suelo de seguridad” se usan habitualmente en lugar de las más ortodoxas “llama al vigilante” o “suelo antideslizante”.

402_Ca Santander

 Hoy se llama seguridad física a todo lo que no puede encuadrarse en alguna de las numerosas especialidades de la seguridad, y eso produce error en los usuarios, error que suele traducirse en pérdidas –algo muy frecuente– o en riesgos que no se gestionan –mucho más frecuente aún–. Sin embargo, en la actualidad, la seguridad física está absolutamente asociada a las nuevas TIC. Resulta absolutamente impropio llamar seguridad física a los datos que se guardan en un servidor del centro de control, así como seguridad de la información cuando se alojan en el host; o a las comunicaciones perimetrales de ese mismo host frente a las comunicaciones que se gestionan en una central receptora de alarmas, a menudo soportadas en fibra óptica o vía satélite. En la realidad actual es prácticamente imposible encontrar servicios de seguridad que no estén soportados en esas nuevas tecnologías; las puertas en algunos casos ya no se abren con llaves sino con tarjetas de proximidad o con el iris de los ojos, etc. Por ello, resulta totalmente obsoleto que aquella seguridad originaria, como especialidad que es de la seguridad general, siga asociada a elementos físicos por el nombre que en su día le pusieron los anglosajones.

Nosotros preferimos –por lo dicho además de porque su ámbito de aplicación tiene como objetivo la prevención y protección de todo el entorno– denominarla seguridad patrimonial, ya que se trata de gestionar los riesgos para el patrimonio de la empresa.

Seguridad gestionada

Dicho esto, debemos referirnos a la regulación legal de esta modalidad de seguridad, que es inexistente con carácter general y que sólo alcanza a determinados sectores de la actividad que el legislador ha entendido como prioritarios en este sentido. Son estos sectores aquellos cuyo riesgo de cometerse delitos contra el patrimonio son más altos. Bancos, gasolineras, farmacias, joyerías, salas de exposiciones, etc. tienen obligación legal de adoptar determinadas medidas de seguridad creándose una especialidad denominada “seguridad privada”, para diferenciarla de la pública. Esto empieza a cambiar cuando en el año 2011 se aprueba en las Cortes Generales la Ley para la Protección de las Infraestructuras Críticas, Ley 8/2011. Está norma está dirigida a la prevención y protección de cualquier riesgo que se cierna sobre servicios que el legislador considera como esenciales para la comunidad.

Las estructuras empresariales que prestan estos servicios esenciales, ya sean públicas o privadas, pasan a denominarse infraestructuras críticas y el legislador les impone determinadas obligaciones en la gestión de sus riesgos, tratando de evitar la materialización de las amenazas o la minimización de sus consecuencias. En esta ley, y por primera vez en nuestro país, se obliga a estos empresarios, operadores críticos, a gestionar los riesgos de una forma sistémica, holística, que abarque tanto la seguridad lógica como la física (en expresión del propio texto legal), concepto próximo al de seguridad integral, tan prestigioso en la teoría y tan poco implantado en la práctica.

También el nuevo proyecto de Ley de Seguridad privada, actualmente en sede parlamentaria, incluye en su redacción la obligación de un enfoque integral, sistémico, de la seguridad en las empresas, postulado con el que estamos totalmente de acuerdo y que venimos defendiendo desde hace años. Esta línea legislativa, además del propio interés empresarial, va dibujando lo que será la gestión de la seguridad en los próximos años: seguridad gestionada o, lo que es lo mismo, seguridad organizativa. La etapa de la seguridad subjetiva, la seguridad disuasoria, y la posterior etapa de las medidas de seguridad van a ir dando paso a la denominada gestión de la seguridad.

Esta especialidad tan amplia de la seguridad deberá tener sus propios patrones de gestión, sus políticas, sus procedimientos; la seguridad dejará de ser una medida, un producto, e incluso un departamento, para convertirse en un proceso más de la empresa que habrá de ser implantado con criterios de gestión de la calidad. Si esto no es así, seguiremos equipados para vivir en un mundo que ya no existe.    

Volver