sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Alfonso Castaño García, Presidente del Capítulo Español de ASIS International

Seguridad corporativa o la seguridad de las corporaciones

Asistiendo hace unas fechas a una conferencia sobre Industria 4.0, uno de los ponentes, en un ejercicio de concreción, afirmaba. ”Para hablar de Industria 4.0 es imprescindible que hablemos de empresas que se desarrollan exclusivamente en la nube; si no, hablamos de otra cosa”.

En la seguridad corporativa sucede algo similar, para que se entienda como tal debe estar ejercida por un Departamento de Seguridad, dimensionado en función de la actividad y complejidad de la corporación, a cuya cabeza se encuentre un director de Seguridad competente en materia de organización de recursos y no necesariamente experto en todas y cada una de las áreas del mismo.

Esta dupla, lamentablemente, no es tan habitual como suponemos. Las más de las veces se da una doble asunción de funciones (director igual a Departamento de Seguridad) que nos distancia de ella y nos introduce en el mundo de la seguridad de las corporaciones, alejada por planteamiento y resultados, que no por responsabilidades y deberes.

Esta anomalía se cimenta en la falta de dotación presupuestaria, que provoca la asunción de cometidos directos sobre especialidades quizás no tan conocidas –por novedosas o complejas– por todos los directores de Seguridad. Esto se traduce en perfiles que buscan satisfacer mínimamente las demandas de la compañía sin entrar a fondo a conocer y proporcionar herramientas específicas necesarias, aunque mantengan las obligaciones y responsabilidades consecuentes a una decisión tomada sin un estudio profundo o un conocimiento más amplio de estos nuevos entornos.

Estos nuevos ecosistemas tienen nombre y apellidos: ciberseguridad, gestión de la protección de datos, gerencia de riesgos, inteligencia empresarial, deber de protección de expatriados (Duty of Care), elaboración de planes de seguridad que justifiquen el uso de tecnologías innovadoras (como drones o reconocimiento facial), analítica forense para el estudio de incidentes, etc.

Evidentemente, desde un punto de vista puramente empresarial, esta necesaria adopción de medidas conlleva un coste siempre difícil de casar con los intereses de las corporaciones, centradas en la reducción del gasto. Este aspecto, afortunadamente, se puede resolver desde dos ópticas distintas y complementarias, no excluyentes.

Óptica interna

Desde la óptica interna, si algo tienen las organizaciones es talento entre sus empleados. Es mucho más fácil formar a un buen informático en medidas de seguridad IT, que hacerlo con un director de Seguridad, que quizás no haya desarrollado su perfil más allá de ser un usuario avanzado de este o aquel programa. Además será también más factible cubrir las funciones del primero en su entorno laboral, que buscar remplazo al director de Seguridad mientras se forma.

Del mismo modo, para la gestión de la protección de datos es posible ser director de Seguridad y delegado de protección de datos a la vez, pero no es recomendable. Los departamentos jurídicos cuentan con licenciados en Derecho que pueden asumir ese papel con un conocimiento mucho más preciso de los deberes y obligaciones a los que se enfrentan y –aún más importante– de las implicaciones legales que conforman sus decisiones. 

La gerencia de riesgos suele estar bajo la Dirección Financiera, pero ¿porqué no trasladar el día a día de la gestión de incidentes con la aseguradora a alguien de ese departamento adscrito a Seguridad? No se trata de quitar funciones a nadie, sino de gestionar mejor. Si bien se entiende la participación directa del director de Seguridad en la delimitación de los riesgos a trasladar a la aseguradora, no es tan imprescindible que sea competencia de este la negociación con aquella, aunque sí parezca adecuado.

Centremos al director de Seguridad Corporativa en aquellos aspectos en los cuales su experiencia y competencia son clave, como son la inteligencia empresarial, tanto para obtener posiciones de privilegio para la organización frente a terceros como para minimizar cualquier desviación interna, o la gestión de expatriados, con sus múltiples aristas (coordinación, evacuación, asistencia médica y legal, apoyo a las familias, estudios de riesgo país, etc.).

Factores externos

Externamente, pueden buscarse apoyos puntuales, para eso existen las consultorías. Hay aspectos como la preparación del estudio de un plan de vuelo para drones en determinada actividad que necesariamente pasan por conocer reglamentaciones ajenas a la seguridad, cuyo desarrollo, por tiempo y adaptación, raramente puede hacerse desde un Departamento de Seguridad.

Qué decir de la implantación de una política de gestión de identidades por reconocimiento facial. Si ya es complicado hacerlo para consumo interno, esta dificultad se acrecienta cuando se pretende trabajar sobre perfiles sospechosos en base a criterios jurídicos de idoneidad y exclusión.

Si existe un concepto a explorar en el futuro de la gestión de un Departamento de Seguridad, este es el forense. Entendemos por este concepto a toda acción tomada con posterioridad a un incidente o accidente que permita al Departamento de Seguridad generar con sus propios sistemas una trazabilidad de la misma, un perfil del ataque o la causa, y generar modelos estadísticos que hagan posible gestionar más diligentemente en el futuro anomalías similares.

Los sistemas de seguridad generan multitud de datos que suelen pasar desapercibidos o que se pierden en una operativa diaria sin incidentes. Ejemplos de ellos son las puertas con sistemas de acceso que raramente se utilizan o cámaras que están ubicadas en sus posiciones originarias y que, tras remodelaciones de forma o uso, ya no cumplen su cometido.

Seguridad Corporativa

Los metadatos son aún más ignorados, a pesar de que aportan información como horas de ocupación y visionado, conteos, zonas calientes y frías, logs en los sistemas, etc.

Aquí los procesos de inteligencia artificial tienen mucho que aportar. Los procesos de aprendizaje profundo Deep Learning permiten extraer pautas y extrapolar resultados sobre multitud de variables, y además cada día que pasa aumenta la capacidad de computación y autoaprendizaje (lo hacen cada vez mejor).

Si en el mundo de la ciberseguridad las métricas de accesos denegados o ataques son la mayor expresión de su necesidad, ¿por qué no hacer partícipes a nuestras corporaciones de nuestra labor de un modo similar?

Otro dilema es la protección contra incendios, una materia que en muchas corporaciones se gestiona desde el Departamento de Riesgos Laborales, dando al director de Seguridad la falsa idea de que “eso no es de su negociado”. Sería bueno recuperar las funciones primigenias con las que escribimos la seguridad en los años sesenta, antes que buscar nuevas responsabilidades en 2020 adscribiendo sus responsables al Departamento de Seguridad Corporativa, ya sea de una manera directa o por medio de comités.

¿Y qué queda de la formación para los directores de Seguridad Corporativa? Sin duda es necesaria. Es más, yo diría que es imprescindible, y matizada con tres adverbios: continua, especifica y multidisciplinar. Sin embargo, hay que poner en la balanza que el tiempo dedicado a la misma se detrae del que ocupa el profesional realizando sus cometidos diarios. Por esta razón, usar una métrica de tiempos y su conversión a gasto puede ayudar a entender el porqué de potenciar este departamento con otros efectivos, pues de otra manera conciliar la vida laboral con la personal sería un reto imposible.

Habrá notado el lector que, a pesar del enfoque trasversal que he buscado en este artículo, no me he remitido a ninguno de los clichés establecidos actualmente en torno a de quién debe depender Seguridad Corporativa, cuál es la posición de su responsable dentro de la organización o si el director de Seguridad ha de ser un CIO, un CISO, un DPO o un Facility Manager.

Es potestad de cada compañía buscar el perfil más adecuado entre su capital humano o en el exterior. La adecuación y polivalencia de este vendrá más de su formación y determinación que de otras consideraciones.

Alto nivel

Desde ASIS siempre hemos mantenido que un director de Seguridad debe encontrase en una posición dentro de su corporación que le permita desarrollar su labor al más alto nivel; pero esto implica deberes, como tener una formación reglada acorde a la posición que va ocupar más allá de lo que su habilitación profesional diga, contar con una experiencia contrastada que avale el aprovechamiento exitoso de esa formación o ejercer unas habilidades de escucha activa de su entorno y de interpretación de las cambiantes realidades de la empresa que le hagan garante de la confianza de la dirección de la corporación.

El “director orquesta” que, solo o en organizaciones de un par de ayudantes, sostiene la seguridad desde todos los ámbitos de la protección de una corporación es más común de lo que creemos. Nuestro deber es abogar por que pueda pasar a desarrollar sus funciones con los medios necesarios en un Departamento de Seguridad.

Esta es una tarea de todos, asociaciones, Administración y empresas, y es una meta que desde ASIS-España nos hemos fijado. La Seguridad es siempre una inversión, necesaria pero inversión, y como tal hay que ser capaz de cuantificar el retorno de la misma

Si algún CEO de alguna corporación lee este artículo y cree sinceramente que su director de Seguridad aúnan todas y cada una de estas funciones y las lleva a la practica desde su singularidad, con presteza y diligencia, solo me queda felicitarle y darle un consejo: súbale el sueldo, que como decimos los castizos… ¡de esos ya no hay¡ 

Volver