Asistiendo hace unas fechas a una conferencia sobre Industria 4.0, uno de los ponentes, en un ejercicio de concreción, afirmaba. ”Para hablar de Industria 4.0 es imprescindible que hablemos de empresas que se desarrollan exclusivamente en la nube; si no, hablamos de otra cosa”.
En la seguridad corporativa sucede algo similar, para que se entienda como tal debe estar ejercida por un Departamento de Seguridad, dimensionado en función de la actividad y complejidad de la corporación, a cuya cabeza se encuentre un director de Seguridad competente en materia de organización de recursos y no necesariamente experto en todas y cada una de las áreas del mismo.
Esta dupla, lamentablemente, no es tan habitual como suponemos. Las más de las veces se da una doble asunción de funciones (director igual a Departamento de Seguridad) que nos distancia de ella y nos introduce en el mundo de la seguridad de las corporaciones, alejada por planteamiento y resultados, que no por responsabilidades y deberes.
Esta anomalía se cimenta en la falta de dotación presupuestaria, que provoca la asunción de cometidos directos sobre especialidades quizás no tan conocidas –por novedosas o complejas– por todos los directores de Seguridad. Esto se traduce en perfiles que buscan satisfacer mínimamente las demandas de la compañía sin entrar a fondo a conocer y proporcionar herramientas específicas necesarias, aunque mantengan las obligaciones y responsabilidades consecuentes a una decisión tomada sin un estudio profundo o un conocimiento más amplio de estos nuevos entornos.
Estos nuevos ecosistemas tienen nombre y apellidos: ciberseguridad, gestión de la protección de datos, gerencia de riesgos, inteligencia empresarial, deber de protección de expatriados (Duty of Care), elaboración de planes de seguridad que justifiquen el uso de tecnologías innovadoras (como drones o reconocimiento facial), analítica forense para el estudio de incidentes, etc.
Evidentemente, desde un punto de vista puramente empresarial, esta necesaria adopción de medidas conlleva un coste siempre difícil de casar con los intereses de las corporaciones, centradas en la reducción del gasto. Este aspecto, afortunadamente, se puede resolver desde dos ópticas distintas y complementarias, no excluyentes.
Óptica interna
Desde la óptica interna, si algo tienen las organizaciones es talento entre sus empleados. Es mucho más fácil formar a un buen informático en medidas de seguridad IT, que hacerlo con un director de Seguridad, que quizás no haya desarrollado su perfil más allá de ser un usuario avanzado de este o aquel programa. Además será también más factible cubrir las funciones del primero en su entorno laboral, que buscar remplazo al director de Seguridad mientras se forma.
Del mismo modo, para la gestión de la protección de datos es posible ser director de Seguridad y delegado de protección de datos a la vez, pero no es recomendable. Los departamentos jurídicos cuentan con licenciados en Derecho que pueden asumir ese papel con un conocimiento mucho más preciso de los deberes y obligaciones a los que se enfrentan y –aún más importante– de las implicaciones legales que conforman sus decisiones.
La gerencia de riesgos suele estar bajo la Dirección Financiera, pero ¿porqué no trasladar el día a día de la gestión de incidentes con la aseguradora a alguien de ese departamento adscrito a Seguridad? No se trata de quitar funciones a nadie, sino de gestionar mejor. Si bien se entiende la participación directa del director de Seguridad en la delimitación de los riesgos a trasladar a la aseguradora, no es tan imprescindible que sea competencia de este la negociación con aquella, aunque sí parezca adecuado.
Centremos al director de Seguridad Corporativa en aquellos aspectos en los cuales su experiencia y competencia son clave, como son la inteligencia empresarial, tanto para obtener posiciones de privilegio para la organización frente a terceros como para minimizar cualquier desviación interna, o la gestión de expatriados, con sus múltiples aristas (coordinación, evacuación, asistencia médica y legal, apoyo a las familias, estudios de riesgo país, etc.).
Factores externos
Externamente, pueden buscarse apoyos puntuales, para eso existen las consultorías. Hay aspectos como la preparación del estudio de un plan de vuelo para drones en determinada actividad que necesariamente pasan por conocer reglamentaciones ajenas a la seguridad, cuyo desarrollo, por tiempo y adaptación, raramente puede hacerse desde un Departamento de Seguridad.
Qué decir de la implantación de una política de gestión de identidades por reconocimiento facial. Si ya es complicado hacerlo para consumo interno, esta dificultad se acrecienta cuando se pretende trabajar sobre perfiles sospechosos en base a criterios jurídicos de idoneidad y exclusión.
Si existe un concepto a explorar en el futuro de la gestión de un Departamento de Seguridad, este es el forense. Entendemos por este concepto a toda acción tomada con posterioridad a un incidente o accidente que permita al Departamento de Seguridad generar con sus propios sistemas una trazabilidad de la misma, un perfil del ataque o la causa, y generar modelos estadísticos que hagan posible gestionar más diligentemente en el futuro anomalías similares.
Centremos al director de Seguridad en los aspectos cuya experiencia y competencia son clave, como la inteligencia empresarial o la gestión de expatriados
Los sistemas de seguridad generan multitud de datos que suelen pasar desapercibidos o que se pierden en una operativa diaria sin incidentes. Ejemplos de ellos son las puertas con sistemas de acceso que raramente se utilizan o cámaras que están ubicadas en sus posiciones originarias y que, tras remodelaciones de forma o uso, ya no cumplen su cometido.
Los metadatos son aún más ignorados, a pesar de que aportan información como horas de ocupación y visionado, conteos, zonas calientes y frías, logs en los sistemas, etc.
Aquí los procesos de inteligencia artificial tienen mucho que aportar. Los procesos de aprendizaje profundo Deep Learning permiten extraer pautas y extrapolar resultados sobre multitud de variables, y además cada día que pasa aumenta la capacidad de computación y autoaprendizaje (lo hacen cada vez mejor).
Si en el mundo de la ciberseguridad las métricas de accesos denegados o ataques son la mayor expresión de su necesidad, ¿por qué no hacer partícipes a nuestras corporaciones de nuestra labor de un modo similar?
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?
