Enrique Bilbao, Senior Manager De Risk Advisory y Responsable del Área de Seguridad Física de Deloitte
Enrique Bilbao Lázaro Senior Manager De Risk Advisory y Responsable del Área de Seguridad Física Deloitte

Nuevas normas ISO: buenas noticias para el sector

ISO Deloitte

Los responsables de seguridad física o corporativa están de enhorabuena este año. En 2021, han llegado por fin tres estándares ISO relacionados con la seguridad física: la ISO 33010 (gestión de riesgos de viajeros), la ISO 23234 (criterios y recomendaciones de seguridad para planificar la seguridad de edificios) y la ISO 22341 (CPTED, Diseño del Entorno para la Prevención del Crimen). La primera de las normas está pendiente de publicación, mientras las otras dos ya están disponibles para su consulta.

Estas normas se unen a la ya utilizada de manera habitual en nuestro sector: la ISO 31000. A pesar de su enfoque generalista, en esta norma cabían algunos aspectos de la gestión de riesgos de los departamentos de seguridad.

Para ser justo y poner en perspectiva el gran trabajo realizado hasta la fecha por muchos de estos departamentos, es importante recordar la importante contribución y el papel que algunos estándares como los generados por ASIS International han aportado a la normalización de estas áreas corporativas. Esta asociación internacional genera su propia normativa, que ha servido de referencia en muchas de nuestras grandes empresas y multinacionales. Al igual que las propias normas ISO, muchos de sus estándares «beben» de otros estándares nacionales o internacionales, así como de sus propias fuentes y expertos. Incorporan las mejores prácticas recogidas en las normativas de uso en distintos ámbitos, así como visiones propias, y plantean la realización de ejercicios de sistematización de ciertos procesos que han sido realmente útiles.

No obstante, la incorporación de una normativa ISO supone avanzar un paso más allá. Permitirá realizar la definición y formalidad de los departamentos de seguridad física y corporativa bajo un soporte aún más reconocido internacionalmente.

¿Implica esto que los ejercicios realizados previamente, basados en normativas europeas o en estándares de la industria, no hayan sido válidos? Absolutamente no. Lo que tenemos ante nosotros es una oportunidad de que esos esfuerzos puedan actualizarse y reciban un respaldo mayor, así como que puedan ser reconocidos dentro de las empresas junto a estándares habituales como 9001, 27001, 22301 u OHSAS.

Con estas nuevas herramientas a nuestro alcance, nos encontramos por primera vez con un conjunto de referencias internacionalmente reconocidas, aceptadas y consensuadas, para planificar y diseñar algunos de los aspectos más importantes de la seguridad corporativa.

Son muchos los profesionales que llevan años estirando el alcance de otras normativas existentes para poder aplicarlas a su responsabilidad. Por otro lado, muchos observan el excesivo enfoque legal de nuestro sector frente a otros próximos, cuyo apoyo en normativas les ha permitido una gran flexibilidad y también la posibilidad de desarrollar normativas internas válidas para todas las geografías y basadas en una referencia reconocida.

Probablemente, en poco tiempo podamos recorrer caminos que nuestros compañeros de ciberseguridad y de continuidad de negocio llevan años marcando. Esto les ha permitido un nivel de madurez en sus planteamientos en ocasiones envidiable; lo que, por otro lado, les ha proporcionado un gran rédito en sus empresas.

Creo que es una excelente noticia, por las posibilidades que este tipo de estándares pueden suponer en la evolución de un sector que se encuentra en una encrucijada. Por un lado, sufrimos un entorno de permanente cambio y tecnologías emergentes, que afecta a los sistemas de seguridad, pero también a la gestión de la operativa y a la capacidad de recopilar información e inteligencia de seguridad. Por el otro, se observa cómo la evolución de los riesgos hacia los activos de la información de las empresas está moviendo el foco de atención hacia la ciberseguridad de manera irreversible, afectando a los presupuestos, a los departamentos y a los organigramas.

Las nuevas normas ISO

La nueva normativa ISO puede ayudar a reforzar algunos aspectos que ya se realizaban de manera habitual en los departamentos de seguridad, así como suscitar algunos cambios o plantear nuevos enfoques que podrían ayudar a dichos departamentos.

ISO 22341:2021. Security and Resilience – Protective Security – Guidelines for crime prevention through environmental design. Esta norma quizás sea la que menos sorprenda, puesto que llevamos cierto tiempo disfrutando de la serie de normas europeas (y de su versión española) UNE-EN 14383-X. A su vez, estas se basan en una disciplina con varias décadas de recorrido y que, básicamente, nos permite mejorar la seguridad de entornos urbanísticos y edificios, incorporando el área de seguridad en la fase de diseño de los mismos cuando los arquitectos se plantean las necesidades de los edificios.

La implantación de sus principios y, de manera aún más importante, la involucración de las áreas de seguridad desde el inicio de los procesos de diseño de edificios, permitirá reducir costes en esta área en instalaciones que serán más sostenibles y más seguras. A la vez, facilitará la visibilidad de las áreas de seguridad dentro de la empresa y asegurará que la dotación económica adecuada para la protección de dicho edificio se ha tenido en consideración.

ISO 23234:2021. Buildings and civil engineering works Security Planning of security measures in the built environment. Esta norma también servirá de ayuda a aquellas áreas de seguridad involucradas en la implantación de medidas de protección en nuevos edificios. La norma define el proceso de diseño e implantación a seguir, los entregables a considerar y qué profesionales deben involucrarse.

La generalidad de esta norma permitirá, por un lado, adaptar el proceso a las tecnologías y buenas prácticas propias de cada empresa; pero, por el otro, permitirá reenfocar el proceso de planificación y diseño de las medidas de seguridad para que sea asimilable al de otras disciplinas de construcción y, por tanto, más fácilmente auditable y comprensible para las partes implicadas que pertenezcan a otros sectores.

ISO 31030. Travel Risk Management Guidance for Organizations. Esta norma, al no haberse aprobado aún, puede sufrir modificaciones. No obstante, su enfoque principal es servir como apoyo a los encargados de gestionar los riesgos asociados a las personas de una empresa que deben desplazarse. Propone, para ello, un proceso exhaustivo que se asemeja en su propuesta de gestión de riesgos al proceso de la ISO 31000, pero centrándolo en los riesgos asociados al personal desplazado.

En general, esta norma permitirá generar un programa de protección de desplazados a aquellas áreas de seguridad que no dispongan del mismo, o bien actualizar programas actuales. El enfoque práctico y exhaustivo de la norma sirve de guía para realizar estas labores. Su planteamiento, puramente relacionado con la gestión de riesgos, seguramente sea útil para aquellas áreas de seguridad que hayan tenido dificultad para justificar que la responsabilidad de gestionar estos riesgos esté recogida dentro de su alcance.

Un gran paso hacia adelante

La aplicación de este tipo de normativas es un avance destacado en la uniformidad de criterios, pero también en la mejora de los niveles de calidad, seguridad, fiabilidad, interoperabilidad y eficiencia del sector. Todo ello conlleva un trabajo importante en el corto plazo: revisar nuestros propios estándares y frameworks para adaptarlos a esta nueva referencia, que seguro contribuirá al avance de la seguridad física de las organizaciones.