Alfonso Bilbao, Presidente de la Comisión Delegada Técnica de ESYS participa en las charlas de ADSI

Noticias

12 de diciembre de 2012

(Fuente ADSI) El pasado día 27 de Noviembre Alfonso Bilbao, Director de Cueva valiente Ingenieros y Presidente de la Comisión Delegada Técnica de la Fundación ESYS participó en Bilbao en el ciclo de charlas un Martes con…”invitado por la asociación de Directores de Seguridad Integral (ADSI) con la ponencia  «La Convergencia entre la Seguridad Física y la Seguridad Informática». En su presentación hizo alusión a conclusiones y propuestas del “Estudio de la Seguridad Privada en España. Estado de la Cuestión, 2012” publicado en Marzo de este año.

El acto contó con la asistencia de más de ochenta personas, entre ellos, una  variada representación tanto de empresas como de usuarios de seguridad, así como responsables de los Cuerpos de Seguridad y especialmente de la Ertzaintza.

Alfonso Bilbao desarrolló su ponencia en tres apartados: ¿Por qué la convergencia?, Dificultades y principales obstáculos para la convergencia y Posibles caminos de solución.

1.-¿Por qué la convergencia?

La  Ley de  Seguridad Privada de  1992 y  su  Reglamento vienen a representar el primer hito importante en cuanto a regulación de las seguridad privada en España. Toda ella está  enfocada, no  obstante, a  la  seguridad física  y  muy especialmente de  las  entidades  de  crédito  y  los denominados establecimientos obligados. Blindajes y algo de seguridad que podríamos llamar electrónica.  Pulsadores de comunicación con la policía, de activación de cámaras, etc. En   definitiva, mucha  seguridad   física  y  escasa electrónica.

Con el tiempo, los avances tecnológicos nos han situado en escenarios radicalmente diferentes a aquel que se reguló en el año 1992. Un mundo globalizado con una delincuencia también globalizada ha hecho saltar por los aires el mapa de riesgos de las empresas.  Los riesgos relacionados con la seguridad física no es que hayan desaparecido, pero sí que han sido superados ampliamente  por unos de nuevos y a la vez  crecientes: ataques  a  los  sistemas  informáticos  de entidades financieras con  quebrantos económicos infinitamente superiores a los provocados por los“atracos”, ciberataques a las empresas provocando espionaje industrial o el robo de su propiedad industrial, robo masivo de contraseñas de usuarios,etc.  Por otra parte, con el tiempo transcurrido, ya no se habla solamente de seguridad física.

La  seguridad ha  adoptado nuevos y  variados “apellidos“. Laboral, industrial, informática-lógica.  Se puede afirmar, no obstante, que dos de estos apellidos están muy próximos entre sí: Seguridad física y lógica. Y ello porque  parte de los    riesgos a los que deben hacer frente son comunes.

No obstante, esta proximidad entre seguridad física e informática si se observa la estructura organizativa de las empresas se aprecia que, generalmente, la responsabilidad sobre la seguridad física y lógica recae sobre personas y departamentos diferentes, y quizás lo que es más grave, que normalmente se hallan muy alejados de la Alta Dirección con lo que su capacidad de incidencia en la organización es muy escasa.

¿Es éste el mejor escenario para salvaguardar la seguridad, llamémosle integral, de nuestras empresas?. Parece no ser el mas adecuado para una mayor eficiencia y optimización de resultados.

En el Estudio de Seguridad Privada en España, publicado en Febrero de este año por la Fundación ESYS (Empresa, Seguridad y Sociedad), en su conclusión 14 de las generales, se decía:  “Parece necesario un  cambio organizativo en las empresas de forma que, independientemente de cómo se organicen sus recursos de Seguridad, haya un único responsable ante la alta Dirección y Seguridad Pública, que dirija los esfuerzos de la Seguridad Física y la Seguridad Informática”.

Quizás avanzándose a ello, el artículo 34 del reglamento de Protección de Infraestructuras críticas establece la figura del responsable de Seguridad y Enlace, y en este sentido dice “El Responsable de Seguridad y Enlace representará al   operador crítico ante la Secretaría de Estado de Seguridad en todas las materias relativas a la seguridad de sus infraestructuras y los diferentes planes especificados en este reglamento, canalizando, en su caso, las necesidades  operativas e informativas que surjan al respecto”.

Previamente los artículos  22 y 25 hablan de la finalidad, elaboración y contenido de los Planes de Seguridad tanto generales como específicos los cuales deberán recogerlos criterios  de  aplicación  de  las  diferentes  medidas  de seguridad para hacer frente a las amenazas tanto físicas como lógicas.

Es por ello quizás la primera ocasión que una norma estatal establece un único responsable para la seguridad física e informática.  Faltaría que ello fuera trasladado a la normativa específica de seguridad privada y que lo recogiera la futura ley de Seguridad Privada de la que tanto se habla pero de la que bien poco se conoce.

2.-Dificultades y principales obstáculos para la convergencia.

Alfonso Bilbao fue desgranando de manera amena cuales eran estas dificultades y obstáculos para llegar una convergencia de ambas “seguridades”.  A su modo de ver serían:

  • Dos organizaciones de seguridad separadas dentro de la empresa y alejadas de la alta dirección de la que no siempre se tiene su compresión.
  • Dos culturas distantes.
  • Posible lucha por el poder.
  • Exigencias legales y normativas diferentes.
  • Miedos mutuos al cambio.

3.-Posibles caminos de solución.

Los riesgos a los que se ven sometidas las empresas deben llevar a una convergencia de ambas “seguridades” aún cuando sea por caminos intermedios como por ejemplo la creación de comisiones conjuntas de seguridad física-informática de coordinación o porque dependan ambas de un Director General común, no específico de seguridad, al que ambos departamentos reporten.

Para ello será fundamental avanzar en nuevos conceptos de la figura del Director de Seguridad Corporativa, del que se exigirá una gran capacidad de gestión, el conocimiento de la legislación y normativa aplicable a las diversas “seguridades” bajo su dirección, la alineación con el negocio y una gran capacidad de coordinación de equipos multidisciplinares.

Será clave también la formación que reciba este director: Especialización oficial del Ministerio de Educación (Grado 2ºciclo); orientado a la gestión; conocimientos básicos de ambas  “seguridades”  y  con  mecanismos  de  reciclado  y homologación de los Directores actuales.

Este Director estará al frente del nuevo Departamento de seguridad del cual:

  • Tendrá  bien  definida  su  misión  y  el  ámbito  de  su responsabilidad.
  • Como  mínimo  abarcará  la  seguridad  frente  a  los denominados riesgos “deliberados”.
  • Tendrá el apoyo de la alta dirección y estará firmemente integrado en el negocio.
  • Dispondrá de un modelo de gestión que permitirá la definición de objetivos medibles, la mejora continua y la auditabilidad externa.
  • Estará integrado en un equipo multidisciplinar.

Para   llegar   a esa   convergencia   será   necesaria   la convergencia legal,  esto  es  que  al  igual  que  existe  una amplia  legislación  de  seguridad  privada  sobre  seguridad física se haga lo mismo en cuanto a seguridadinformática.

La ley de Protección de Infraestructuras Críticas ha sido el primer paso pero no debe ser el último. En este sentido la nueva ley de Seguridad Privada es la gran oportunidad.

Acabó su disertación haciendo referencia a que el modelo de  gestión de este nuevo departamento sería común a la Seguridad Física y Lógica y que estaría basado en modelos ISO de mejora continua de los que sederivaría  un  modelo  SGSC  (Sistema  de  Gestión  Corporativa  de Seguridad).

Seguidamente se  entabló  un  coloquio  entre  los asistentes sobre lo allí expuesto sin que hubiera unanimidad en cuanto a las posibilidades reales que en un futuro,un Director  Corporativo de  Seguridad pudiera ser  el responsable único de seguridad física e informática.

(Puede acceder a la ponencia completa en la sección Documentos Propios)

También te puede interesar…