Semana 30
ISSN 2603 - 9931
Asistiendo hace unas fechas a una Conferencia sobre Industria 4.0, uno de los ponentes, haciendo un ejercicio de concreción afirmaba.. ”Para hablar de Industria 4.0, es imprescindible que hablemos de empresas que se desarrollan exclusivamente en la nube... sino hablamos de otra cosa”.
Pues con la Seguridad Corporativa, pasa algo similar, para que se entienda como tal debe estar ejercida por un Departamento de Seguridad, dimensionado en función de la actividad y complejidad de la Corporación, a cuya cabeza se encuentra un Director de Seguridad, competente en materia de organización de recursos y no necesariamente experto en todas y cada una de las áreas del mismo.
Esta dupla, lamentablemente no es tan habitual como suponemos, dándose la mas de las veces, un doble asunción de funciones, Director=Departamento de Seguridad, que nos aleja de ella, y nos introduce en el mundo de la Seguridad de las Corporaciones, alejada por planteamiento y resultados de la verdadera Seguridad Corporativa, que no por responsabilidades y deberes.
Esta anomalía, se cimienta en la falta de dotación presupuestaria, que provoca la asunción de cometidos directos sobre especialidades, quizás no tan conocidos, por novedosos, o complejos, por todos los Directores de Seguridad, que se traduce en perfiles, que buscan satisfacer mínimamente las demandas de la Corporación, sin entrar a fondo en conocer y proporcionar herramientas específicas necesarias, aunque si mantienen las obligaciones y responsabilidades consecuentes a una decisión tomada, sin un estudio profundo o un conocimiento más amplio de estos nuevos entornos.
Estos nuevos Ecosistemas, tienen nombre y apellidos, Ciberseguridad, Gestión de la Protección de Datos, la Gerencia de Riesgos, la Inteligencia Empresarial, el deber de protección de expatriados “Duty of Care”, la elaboración de planes de seguridad que justifiquen el uso de tecnologías innovadoras como Drones o Reconocimiento facial, la Analítica Forense, para el estudio pormenorizado de incidentes, etc.
Evidentemente, desde un punto de vista puramente empresarial, esta necesaria adopción de medidas, conlleva un coste, siempre difícil de casar con los intereses de las Corporaciones, centrados en la reducción del gasto, este aspecto afortunadamente se puede resolver desde dos ópticas distintas y complementarias, no excluyentes
La interna, si algo tienen las Corporaciones, es talento entre sus empleados, es mucho más fácil formar a un buen informático en medidas de Seguridad IT, que hacerlo sobre un Director de Seguridad, que quizás no haya desarrollado su perfil más allá de ser un usuario avanzado de este o aquel programa, además será tan bien más factible, cubrir las funciones del primero en su entorno laboral por otro, que buscar remplazo al Director mientras se forma.
Del mismo modo con la Gestión de la Protección de datos, es posible ser Director de Seguridad y DPO a la vez….pero no es recomendable, los Departamentos Jurídicos cuentan con Licenciados en Derecho que pueden asumir ese papel, con un conocimiento mucho más preciso de los deberes y obligaciones a los que se enfrentan y aun mas importante, de las implicaciones legales que sus decisiones conforman.
La Gerencia de Riesgos, suele estar bajo las Direcciones Financieras, pero porque no, trasladar el día a día de la gestión de incidentes con la Aseguradora, a alguien de ese Dpto. adscrito a Seguridad, no se trata de quitar funciones a nadie, sino de gestionar mejor, si bien se entiende la participación directa del Director de Seguridad en la delimitación de los riesgos a trasladar a la aseguradora, no es tan imprescindible el que sea competencia de este la negociación con aquella, aunque si parezca adecuado.
Centremos al Director de Seguridad Corporativa, en los aspectos en que su experiencia y competencia son claves, la inteligencia empresarial, tanto para obtener posiciones de privilegio para la Corporación frente a terceros, como para minimizar cualquier desviación interna, la Gestión de expatriados, con sus múltiples aristas, coordinación, evacuación, asistencia médica y legal, apoyo a las familias, estudios de riesgo país, etc.
Externamente, pueden buscarse apoyos puntuales, para eso existen las Consultorías, hay aspectos como la preparación de un estudio de un Plan de vuelo para Drones en determinada actividad, que necesariamente pasan por conocer, reglamentaciones ajenas a seguridad, cuyo desarrollo por tiempo y adaptación, raramente pueden hacerse desde un Dpto. de Seguridad.
Que decir de la implantación de una política de Gestión de Identidades por Reconocimiento Facial, si ya es complicado hacerlo para consumo interno, esta complicación se acrecienta cuando se pretende trabajar sobre perfiles sospechosos en base a criterios jurídicos de idoneidad y de exclusión.
Si existe un concepto a explorar en el futuro de la Gestión de un Departamento de Seguridad, este es el “Forense”, entendemos por este concepto a toda acción tomada con posterioridad a un incidente o accidente, que permita al Dpto. de Seguridad generar con sus propios sistemas una trazabilidad de la misma, un perfil del ataque o la causa, y generar modelos estadísticos que permitan gestionar más diligentemente en el futuro anomalías similares.
Los Sistemas de Seguridad, generan multitud de datos, que suelen pasar desapercibidos, o que se pierden en una operativa diaria sin incidentes, puertas con sistemas de acceso que raramente se utilizan, cámaras que están ubicadas en sus posiciones originarias y que tras remodelaciones de forma o uso, ya no cumplen su cometido, etc.
Los metadatos son aún más ignorados, horas de ocupación y visionado, conteos, zonas calientes y frías, logs en los sistemas etc.
Aquí los procesos de inteligencia artificial, tienen mucho que aportar, los procesos de aprendizaje profundo “Deep Learning”, permiten extraer pautas y extrapolar resultados sobre multitud de variables, y además cada día que pasa y aumenta la capacidad de computación y autoaprendizaje, lo hacen cada vez mejor
Si en el mundo de la Ciberseguridad las métricas de accesos denegados, o ataques son la mayor expresión de su necesidad, ¿porque no hacer partícipes a nuestras Corporaciones de nuestra labor de un modo similar?
Otro dilema es la protección contra incendios, una materia que en muchas corporaciones se lleva desde Riesgos Laborales, PRL, dando al Director de Seguridad la falsa idea de que, “eso no es de su negociado”…, sería bueno recuperar las funciones primigenias con las que escribimos la seguridad en los 60, antes de buscar nuevas responsabilidades en 2020...adscribiendo a sus responsables al Dpto. de Seguridad Corporativa, ya sea de una manera directa o por medio de Comités.
¿Y que queda de la formación, para los Directores de Seguridad Corporativa?, sin duda es necesaria, es más yo diría que es imprescindible, y matizada con tres adverbios continua, especifica y multidisciplinar….pero hay que poner en la balanza, que el tiempo dedicado a la misma, se detrae del que ocupa realizando sus cometidos diarios, razón por la cual usar una métrica de tiempos y su conversión a gasto, puede ayudar a entender el porqué de potenciar este departamento con otros efectivos, pues de otra manera conciliar la vida laboral con la personal sería un reto imposible.
Habrá notado el lector, que a pesar del enfoque trasversal que he buscado en este artículo, no me he remitido a ninguno de los clichés establecidos actualmente, sobre ¿De quién debe depender Seguridad Corporativa?, ¿Cuál es la posición de su responsable dentro de la Organización?, ¿El Director de Seguridad ha de ser un CIO, un CISO, DPO o un Facility Manager?, siempre convenientemente habilitado….
Es potestad de cada Corporación, buscar el perfil más adecuado entre su capital humano o en el exterior, y la adecuación y polivalencia de este vendrá más de su formación y determinación que de otras consideraciones.
Desde ASIS siempre hemos mantenido que un Director de Seguridad, debe encontrase en una posición dentro de su Organización, que le permita desarrollar su labor al más alto nivel, pero esto implica deberes, como tener una formación reglada acorde a la posición que va ocupar, más allá de lo que su habilitación profesional diga, contar con una experiencia contrastada, que avale el aprovechamiento exitoso de esa formación y ejercer unas habilidades de escucha activa de su entorno, y de interpretación de las cambiantes realidades de la empresa, que le hagan garante de la confianza de la Dirección.
El “Director Orquesta”, que solo o en compañía de un par de ayudantes, sostiene la Seguridad desde todos los ámbitos de la Protección de una Corporación, es más común de lo que creemos y es nuestro deber abogar, porque pueda pasar a desarrollar sus funciones con los medios necesarios, un Departamento de Seguridad
Esta es una tarea de todos, Asociaciones, Administración y Empresa, y es una meta que desde ASIS-ESPAÑA nos hemos fijado, la Seguridad es siempre una inversión, necesaria pero inversión y como tal hay que ser capaz de cuantificar el retorno de la misma.
Si algún CEO de alguna Corporación lee este artículo, y cree sinceramente que en la figura de su Director de Seguridad, se aúnan todas y cada una de estas funciones y son llevadas a la practica desde su singularidad, con presteza y diligencia….solo me queda felicitarle, y darle un consejo…. súbale el sueldo, que como decimos los castizos… de esos ya no hay¡¡
Artículo publicado en la revista Seguritecnia en el número 466