(Fuente ADSI) El pasado día 27 de Noviembre Alfonso Bilbao, Director de Cueva valiente Ingenieros y Presidente de la Comisión Delegada Técnica de la Fundación ESYS participó en Bilbao en el ciclo de charlas un “Martes con…”invitado por la asociación de Directores de Seguridad Integral (ADSI) con la ponencia «La Convergencia entre la Seguridad Física y la Seguridad Informática». En su presentación hizo alusión a conclusiones y propuestas del “Estudio de la Seguridad Privada en España. Estado de la Cuestión, 2012” publicado en Marzo de este año.
El acto contó con la asistencia de más de ochenta personas, entre ellos, una variada representación tanto de empresas como de usuarios de seguridad, así como responsables de los Cuerpos de Seguridad y especialmente de la Ertzaintza.
Alfonso Bilbao desarrolló su ponencia en tres apartados: ¿Por qué la convergencia?, Dificultades y principales obstáculos para la convergencia y Posibles caminos de solución.
1.-¿Por qué la convergencia?
La Ley de Seguridad Privada de 1992 y su Reglamento vienen a representar el primer hito importante en cuanto a regulación de las seguridad privada en España. Toda ella está enfocada, no obstante, a la seguridad física y muy especialmente de las entidades de crédito y los denominados establecimientos obligados. Blindajes y algo de seguridad que podríamos llamar electrónica. Pulsadores de comunicación con la policía, de activación de cámaras, etc. En definitiva, mucha seguridad física y escasa electrónica.
Con el tiempo, los avances tecnológicos nos han situado en escenarios radicalmente diferentes a aquel que se reguló en el año 1992. Un mundo globalizado con una delincuencia también globalizada ha hecho saltar por los aires el mapa de riesgos de las empresas. Los riesgos relacionados con la seguridad física no es que hayan desaparecido, pero sí que han sido superados ampliamente por unos de nuevos y a la vez crecientes: ataques a los sistemas informáticos de entidades financieras con quebrantos económicos infinitamente superiores a los provocados por los“atracos”, ciberataques a las empresas provocando espionaje industrial o el robo de su propiedad industrial, robo masivo de contraseñas de usuarios,etc. Por otra parte, con el tiempo transcurrido, ya no se habla solamente de seguridad física.
La seguridad ha adoptado nuevos y variados “apellidos“. Laboral, industrial, informática-lógica. Se puede afirmar, no obstante, que dos de estos apellidos están muy próximos entre sí: Seguridad física y lógica. Y ello porque parte de los riesgos a los que deben hacer frente son comunes.
No obstante, esta proximidad entre seguridad física e informática si se observa la estructura organizativa de las empresas se aprecia que, generalmente, la responsabilidad sobre la seguridad física y lógica recae sobre personas y departamentos diferentes, y quizás lo que es más grave, que normalmente se hallan muy alejados de la Alta Dirección con lo que su capacidad de incidencia en la organización es muy escasa.
¿Es éste el mejor escenario para salvaguardar la seguridad, llamémosle integral, de nuestras empresas?. Parece no ser el mas adecuado para una mayor eficiencia y optimización de resultados.
En el Estudio de Seguridad Privada en España, publicado en Febrero de este año por la Fundación ESYS (Empresa, Seguridad y Sociedad), en su conclusión 14 de las generales, se decía: “Parece necesario un cambio organizativo en las empresas de forma que, independientemente de cómo se organicen sus recursos de Seguridad, haya un único responsable ante la alta Dirección y Seguridad Pública, que dirija los esfuerzos de la Seguridad Física y la Seguridad Informática”.
Quizás avanzándose a ello, el artículo 34 del reglamento de Protección de Infraestructuras críticas establece la figura del responsable de Seguridad y Enlace, y en este sentido dice “El Responsable de Seguridad y Enlace representará al operador crítico ante la Secretaría de Estado de Seguridad en todas las materias relativas a la seguridad de sus infraestructuras y los diferentes planes especificados en este reglamento, canalizando, en su caso, las necesidades operativas e informativas que surjan al respecto”.
Previamente los artículos 22 y 25 hablan de la finalidad, elaboración y contenido de los Planes de Seguridad tanto generales como específicos los cuales deberán recogerlos criterios de aplicación de las diferentes medidas de seguridad para hacer frente a las amenazas tanto físicas como lógicas.
Es por ello quizás la primera ocasión que una norma estatal establece un único responsable para la seguridad física e informática. Faltaría que ello fuera trasladado a la normativa específica de seguridad privada y que lo recogiera la futura ley de Seguridad Privada de la que tanto se habla pero de la que bien poco se conoce.
2.-Dificultades y principales obstáculos para la convergencia.
Alfonso Bilbao fue desgranando de manera amena cuales eran estas dificultades y obstáculos para llegar una convergencia de ambas “seguridades”. A su modo de ver serían:
- Dos organizaciones de seguridad separadas dentro de la empresa y alejadas de la alta dirección de la que no siempre se tiene su compresión.
- Dos culturas distantes.
- Posible lucha por el poder.
- Exigencias legales y normativas diferentes.
- Miedos mutuos al cambio.
3.-Posibles caminos de solución.
Los riesgos a los que se ven sometidas las empresas deben llevar a una convergencia de ambas “seguridades” aún cuando sea por caminos intermedios como por ejemplo la creación de comisiones conjuntas de seguridad física-informática de coordinación o porque dependan ambas de un Director General común, no específico de seguridad, al que ambos departamentos reporten.
Para ello será fundamental avanzar en nuevos conceptos de la figura del Director de Seguridad Corporativa, del que se exigirá una gran capacidad de gestión, el conocimiento de la legislación y normativa aplicable a las diversas “seguridades” bajo su dirección, la alineación con el negocio y una gran capacidad de coordinación de equipos multidisciplinares.
Será clave también la formación que reciba este director: Especialización oficial del Ministerio de Educación (Grado 2ºciclo); orientado a la gestión; conocimientos básicos de ambas “seguridades” y con mecanismos de reciclado y homologación de los Directores actuales.
Este Director estará al frente del nuevo Departamento de seguridad del cual:
- Tendrá bien definida su misión y el ámbito de su responsabilidad.
- Como mínimo abarcará la seguridad frente a los denominados riesgos “deliberados”.
- Tendrá el apoyo de la alta dirección y estará firmemente integrado en el negocio.
- Dispondrá de un modelo de gestión que permitirá la definición de objetivos medibles, la mejora continua y la auditabilidad externa.
- Estará integrado en un equipo multidisciplinar.
Para llegar a esa convergencia será necesaria la convergencia legal, esto es que al igual que existe una amplia legislación de seguridad privada sobre seguridad física se haga lo mismo en cuanto a seguridadinformática.
La ley de Protección de Infraestructuras Críticas ha sido el primer paso pero no debe ser el último. En este sentido la nueva ley de Seguridad Privada es la gran oportunidad.
Acabó su disertación haciendo referencia a que el modelo de gestión de este nuevo departamento sería común a la Seguridad Física y Lógica y que estaría basado en modelos ISO de mejora continua de los que sederivaría un modelo SGSC (Sistema de Gestión Corporativa de Seguridad).
Seguidamente se entabló un coloquio entre los asistentes sobre lo allí expuesto sin que hubiera unanimidad en cuanto a las posibilidades reales que en un futuro,un Director Corporativo de Seguridad pudiera ser el responsable único de seguridad física e informática.
(Puede acceder a la ponencia completa en la sección Documentos Propios)