Seguritecnia 465

24 SEGURITECNIA Junio 2019 Seguridad Corporativa de Seguridad. La primera de ellas es que la empresa fa- culte a esta área a operar trasversalmente con todos los escalones y resto de áreas de la compañía, y con la obliga- ción expresa de estos de reportar a seguridad de forma di- recta e inmediata cualquier alerta fraudulenta o indicia- riamente dañina. Es decir, seguridad debe ser el polo re- ceptor y evaluador de la compañía, global e inmediato, de toda amenaza o inicio de fraude con soporte o cobertura digital. La segunda condición es que la entidad dote y exija capa- cidad técnica en el mundo digital al Departamento de Segu- ridad para realizar investigaciones eficientes y aportar los in- formes forenses oportunos. De esta forma, esa área de inves- tigación facilitará y potenciará las evidencias de los ataques y de las reacciones del resto de departamentos con los datos oportunos sobre personas, conexiones, imputaciones y de- más circunstancias del caso. S Un segundo punto fundamental a la hora de implementar estas nuevas tecnologías son los riesgos asociados a las mis- mas. Las nuevas tecnologías traen excelentes oportunidades a las empresas, pero también nuevos riesgos. Si esas nuevas tecnologías son implementadas sin tener en cuenta la eva- luación de riesgos de Security estamos dejando de capturar nuevas amenazas. 2. Respecto a qué área del Departamento de Seguridad de- berá evolucionar más en los próximos años para adaptarse a las necesidades del negocio, esta pregunta es de las fáciles: análisis de la información e inteligencia estratégica. La tarea fundamental de la función de Security es identifi- car y valorar las amenazas que pueden afectar a la compañía ahora y en el futuro. Para hacer esta valoración debe tenerse en cuenta la geopolítica, que como ya he comentado en otras ocasiones es un concepto muy de moda, si bien, desde mi punto de vista, mal entendido. En Security entendemos la geopolítica no solo como el conjunto de relaciones interna- cionales, sino como todas esas variables, componentes, vec- tores y conectores de las fuerzas que interactúan en un en- torno operacional –es decir, la economía, historia, política, demografía, religión, sociedad, cultura, ejército, etc.–, y por supuesto la geografía, que condiciona radicalmente la polí- tica exterior de un país. Estas variables son las que supeditan departamentos de seguridad complejos en los próximos años si se pretenden afrontar los nuevos riesgos de la digitali- zación de la empresa. Estos riesgos no constituyen tipologías penales nuevas, sino las mismas históricas, pero realizadas con métodos y tec- nologías nuevas. Es decir, cualquier compañía que implanta operativas de gestión digitalizada va a sufrir amenazas, inten- tos de estafa, fraudes de todo tipo, ataques reputacionales, web o app fraudulentas, robos de información, etc. ¿Y qué es lo que cambia en la era digital para un Depar- tamento de Seguridad? Solo, y nada menos, que las nuevas técnicas de investigación y forenses para detectar y anular es- tos hechos, logrando acreditar pruebas de ellos y de los auto- res para ser capaces de impulsar y sustentar una acción judi- cial o administrativa. Sin embargo, lo anterior es muy difícil de abordar si no se reúnen dos condiciones por parte del Departamento 1. En primer lugar pondría en cuestión la premisa: ¿la seguridad corporativa está evolucionando o involucio- nando? Pero eso lo dejamos para otro día… La transfor- mación digital es, desde mi punto de vista, una herra- mienta, poderosa, nueva, mediática y costosa, pero una más. Mediante nuestros procesos de gestión identifica- mos y evaluamos riesgos. La tecnología, como una de tan- tas herramientas de las que disponemos, nos sirve para es- tructurar o mitigar esos riesgos. Creo que solemos sobreactuar a la hora de evaluar las ne- cesidades de nuestras organizaciones, y las tecnológicas no son una excepción. La identificación de nuestras necesidades y su cuantificación tiene que venir precedida de un exhaus- tivo trabajo, específico y preciso, de identificación y evalua- ción de las amenazas y de quien está detrás de cada una de ellas. Si no se hace ese ejercicio se llega a sobredimensionar los recursos, tanto humanos como técnicos. Por definición, la misión de la security es la protección de las personas, instalaciones, información y reputación de nuestras compañías frente a eventos intencionados. Por tanto, es imprescindible implantar modelos eficientes de gestión de riesgos que tengan en cuenta esta especifici- dad, la intencionalidad, y romper con los modelos tradi- cionales de evaluación de riesgos que no tienen en cuenta esta variable. Alberto Tovar Ropero Director de Seguridad Corporativa de Cepsa “Es imprescindible implantar modelos eficientes de gestión de riesgos que tengan en cuenta la intencionalidad”