En los últimos tiempos, todos hablamos de ciberseguridad como si fuera un complemento a nuestra respiración diaria que nos hace vivir. Pero más allá de opinar, reflexionar e intentar aplicar unos correctos hábitos en el debido uso y control de la tecnología, habrá que tener en cuenta que los ámbitos más tradicionales que velan por la correcta gestión de los riesgos físicos deben evolucionar y adaptarse a la cultura de la ciberseguridad y a su modo de gestión.
Exponíamos en el último SICUR que la digitalización del sector de la seguridad privada es la antesala de la correcta convergencia entre la seguridad física y la seguridad lógica, como instrumento de integración estratégica de los recursos de seguridad de las compañías.
A grandes rasgos, se entiende por digitalización la adaptación de los procesos convencionales a un modelo puramente automatizado y basado en el uso de herramientas tecnológicas, que se integran dentro de una misma plataforma digital e interconectada con todos los activos, para una correcta gestión de la información que manejan, consiguiendo de esta manera la posibilidad de analizar dicha información en tiempo real y generar una acertada toma de decisiones, siempre bajo los objetivos y premisas marcados por nuestros clientes, así como la estrategia corporativa de nuestras compañías. Esto es, en definitiva, la gran evolución de la seguridad, con el importante salto cualitativo que ofrece la interconexión de los sistemas, tanto a nivel interno como con clientes y proveedores.
Dos nuevos retos
Llegados a este punto y debido a la digitalización, existe una nueva dependencia tecnológica que no había hasta el momento. Las empresas tendrán dos nuevos retos: por un lado, el desarrollo y despliegue de un modelo operativo de ciberseguridad para la protección de los sistemas tecnológicos, fruto de la digitalización, así como del uso interno de todas sus redes y conexiones; y, por otro lado, la ciberseguridad como modelo de negocio, con la oferta de servicios profesionales y competitivos para nuevos clientes.
Todos los días nos levantamos con infinidad de noticias sobre ataques informáticos, sistemas caídos e indisponibilidad sistemática de plataformas que reflejan las amplias vulnerabilidades tecnológicas del entorno donde ofrecen sus servicios. A este respecto, el sector de la seguridad privada no se encuentra ajeno a dichas amenazas. ¿Qué quiere decir esto? Que un primer objetivo es la incorporación de perfiles profesionales en el campo de la ciberseguridad dentro del sector de la seguridad privada, si queremos ir alineados con la evolución del resto de sectores. Este compromiso aportará valor tanto para proteger a su compañía, como para desarrollar otras vías de negocio.
Es condición para una correcta protección del entorno digital, al igual que ocurre con la seguridad física, que los profesionales de la ciberseguridad estén actualizados y capacitados para un uso correcto del software de protección y gestión de las vulnerabilidades.
En definitiva, lo anteriormente expuesto se refiere a la necesidad de incorporar perfiles profesionales competentes en materia de ciberseguridad, herramientas y procedimientos que ayuden a la compañía a protegerse. Es necesario hablar de un lenguaje de riesgo sin apellidos, ni de física ni de lógica, simplemente la gestión de riesgos bajo una seguridad global, con el reto de conseguir una percepción de control, seguridad y confiabilidad.
El factor humano, sin duda, seguirá siendo la piedra angular del sector de la seguridad privada, pero no es menos cierto que existe una demanda que requiere la prestación del servicio de una forma menos analógica y más digital. Por ende, la lucha contra los ciberataques estará gestionada por grandes profesionales que dirigirán los departamentos operativos de ciberseguridad, con la responsabilidad de proteger el día a día de la empresas en este mundo hiperconectado. Esto quiere decir que llega también un marco de oportunidades profesionales en este sector, que puede ayudar a la evolución personal de cada profesional que lo integra y, cómo no, de la especialización de muchos profesionales que quieran progresar y colmar sus expectativas profesionales.
Incrementar capacidades
Incrementar capacidadesSi extrapolamos las recomendaciones de la Estrategia de Seguridad Nacional al sector de la seguridad privada, deberemos cumplir igualmente con:
- Más anticipación: la Estrategia de Seguridad Nacional debe orientar la implantación de un sistema de alerta temprana y la preparación de planes de gestión de crisis.
- Más integración: la visión integral de la seguridad nacional requiere la coordinación del conjunto de las administraciones públicas y recursos del Estado, la colaboración público-privada y la implicación de la ciudadanía.
- Más resiliencia: para reducir la vulnerabilidad es tan necesario mitigar riesgos como robustecer la resiliencia; es decir, la capacidad de resistencia, transformación y recuperación ante una situación adversa.
La exposición al dato en la red marcará uno de nuestros principales objetivos a proteger. Si compartimos la idea de que la seguridad debe ser predictiva y preventiva, con la ayuda de la innovación tecnológica y el Big Data, podemos predecir riesgos y eventos de seguridad, y así ofrecer soluciones integrales y efectivas dentro de la gestión del ciberseguridad, sabiendo que los ataques pueden llevar aparejadas pérdidas irreparables que pondrán en cuestión la continuidad del negocio de las compañías. Una afectación por un riesgo lógico puede causar un efecto multiplicador en el mundo físico y viceversa.
Queda patente que la fase de prevención y detección deben ser uno de los hitos más importantes donde aplicar todos los esfuerzos en materia de seguridad.
Como hemos apuntado anteriormente, debemos de conseguir que los perfiles sean multidisciplinares, expertos en seguridad física y buenos gestores de la lógica, que se puedan apoyar en equipos especialistas en esta área. No obstante, la visión debe ser global y completa, sin fisuras, tratando todos los riesgos sin apellidos.
Formación para no técnicos
Desde la Alianza Española de Seguridad y Crisis, asociación con un objetivo principal de difusión de la cultura de seguridad integral, nos centramos en aportar al sector de la seguridad privada un conjunto de actividades con el objetivo de potenciar la cultura de la ciberseguridad para no técnicos. Hay que entender por «no técnicos» a los profesionales que no tienen una formación base en ingeniería de sistemas informáticos, pero que demandan formación especializada para que les ayude a seguir escalando profesionalmente, optando a puestos de gobierno y toma de decisiones, aun teniendo como base su trayectoria en seguridad física o tradicionalmente llamada integral.
Apostamos por una concienciación, sensibilización y formación en ciberseguridad que ha traspasado la barrera de la seguridad privada y donde se suman sectores como la comunicación, legal, proyectos, etcétera.
En definitiva, se trata de impulsar ese tipo de formación para «no técnicos» que ayude a todos en el ámbito profesional y personal a minimizar los riesgos que provienen del uso de las nuevas tecnologías, el uso de la red y su interconexión.
