miércoles, 16 junio , 2021
La organización empresarial debería proceder a la creación, implementación, con- trol y revisión del Sistema de Gestión de la Seguridad Patrimonial, en adelante (SGSP) documentado dentro del contexto de las actividades empresariales generales de esta y de los riesgos que afronta.
El proceso que se describe en esta Unidad se basa en el modelo PHVA de mejora continua, o conocido como ciclo de DEMING.
Para ello debemos pensar que el objetivo primordial consiste en el hecho de con- seguir que la gestión de la seguridad patrimonial sea eficaz, para lo cual deben tener en cuenta una serie de principios entre los cuales se hallan los siguientes:
La seguridad patrimonial, debe tener por objeto la protección integral de la empresa, el cumplimiento normativo y las expectativas de todas las partes interesadas.
Para ello, la seguridad patrimonial debe ser sistemática, estructurada y proporcional adapta a las necesidades empresariales.
Debe adaptarse al contexto externo e interno de la organización.
La gestión del riesgo patrimonial debe obtener una respuesta permanente, dinámica y adaptativa a los cambios organizativos y a los sucesos internos y externos.
Para ello, una adecuada gestión del riesgo patrimonial y la correcta implantación de un SGSP implicarían una mejora continua de la organización al mismo tiempo que se incrementa la madurez de la seguridad patrimonial.
Como dice Miguel REGO, director del área de riesgos tecnológicos de Deloitte, la protección de los bienes es un factor clave para determinar la fiabilidad de una empresa a la hora de prestar servicios, siendo la seguridad patrimonial uno de los pilares funda- mentales que la sustentan. Toda compañía, sea pequeña, mediana o grande, cuenta con una serie de medidas y recursos para evitar incidentes (intencionados o accidentales). Pero esta protección, además de mitigar los riesgos, ha de ser eficiente en costes y pro- porcional a las características de la empresa. Es evidente que una inversión inferior a la necesaria puede suponer graves problemas de seguridad, pero si ésta es excesiva, existe un sobrecoste innecesario que puede ser incluso superior al valor de los activos a proteger. Lo ideal es mejorar de forma continua la gestión de los medios con los que se cuenta. Las organizaciones que disponen sólo de los recursos necesarios y que funcionan de una
forma eficiente y eficaz evitan costes adicionales sin menoscabar su seguridad. Con este fin, las empresas se esfuerzan en adoptar modelos de protección de mayor madurez, aun- que esta labor no es sencilla.
Los riesgos y amenazas a los activos patrimoniales evolucionan rápidamente en un entorno en el que la dependencia de las Tecnologías de la Información (TI) y de los servi- cios prestados por proveedores externos en las organizaciones es cada vez mayor. En este contexto, es cada vez más complejo conocer de forma fiable el nivel de riesgo al que las organizaciones se exponen.
Actualmente, las empresas se encuentran en un momento de búsqueda de simpli- cidad organizativa, y también de restricciones impuestas sobre presupuestos y recursos. Esto afecta a la toma de decisiones en todas las áreas, incluida la seguridad patrimonial.
En ese sentido, cuando las empresas realizan un diagnóstico de su gestión de seguri- dad son capaces de determinar hasta qué punto cuentan con un buen modelo de seguridad patrimonial y mantienen el control sobre los mecanismos de protección establecidos.
La organización que pretenda crear un SGSP debe tener en cuenta en primer lugar:
La organización que pretenda implantar un SGSP debe ejecutar los correspondientes procedimientos de supervisión, revisión y cualquier otro mecanismo de control estableci- do en su política que le permita, entre otras cosas:
La organización debería establecer una revisión periódica del SGSP para adaptarla a las necesidades actualizadas de los riesgos que deba enfrentarse incluyendo el mismo las oportunas mejoras que permitan asegurar la idoneidad de este.
Todas las iniciativas de la dirección así como las acciones que se hayan tomado como consecuencia de estas deben estar documentadas en registros actualizados.
Esta documentación debe estar siempre bajo la protección, control y supervisión de los responsables del sistema. Determinadas acciones debería disponer de un procedimien- to individualizado.
La dirección debería establecer, implantar y mantener los procedimientos correspon- dientes para evaluar periódicamente el cumplimiento de los requisitos legales aplicables a la seguridad patrimonial, así como los registros de dichas evaluaciones periódicas.
Y, la organización debería planificar, implantar y mantener procedimientos para in- vestigar, analizar y registrar los incidentes que se detecten con arreglo a la ejecución del plan de seguridad.
La alta dirección debería establecer revisiones del SGSP con carácter periódico, al menos una vez al año, a fin de asegurarse del cumplimiento del mismo y su grado de eficacia lo que permitirá comprobar la conveniencia de aplicar nuevos objetivos de con- trol, salvaguardas, medidas de seguridad y controles y su adecuación al cumplimiento normativo.
Para ello resulta imprescindible la instauración de un procedimiento de auditoría del plan que deberá realizarse con carácter periódico y que permita comprobar si se cum- ple debidamente la ejecución del mismo en todos los departamentos de la organización afectados.
Como se deduce de todo lo expuesto hasta el momento, la política de seguridad patrimonial lo integran diferentes ámbitos de la seguridad en la empresa que resultan imprescindibles para su buen funcionamiento.
Por esta razón la alta dirección de la organización debe establecer una política de seguridad adecuada a las exigencias y requerimientos organizativos adecuados al sector de que se trate, reflejando de forma clara el esquema estructura del diseño de seguridad adoptado mediante su publicación y continua revisión.
Para ello, se debería aprobar y divulgar entre los integrantes de la organización, con- tratistas y terceros afectados, un documento integral que recoja la política de seguridad patrimonial que afecte a la empresa.
Para cumplir su cometido, este documento debe dejar patente el compromiso de la dirección con este cometido, para lo debería contener, entre otras, las siguientes pautas:
– Diseñar políticas de análisis, evaluación y tratamiento del riesgo adecuadas.
Una política de seguridad patrimonial sin control continua de su funcionamiento no tendría ningún sentido por lo que la alta dirección debe incluir en esta materia su propia estructura de revisión periódica para comprobar el buen funcionamiento y ejecución de la misma. Es preciso, por tanto, que se definan y documenten las funciones y responsa- bilidades en materia de seguridad patrimonial de forma explícita a sus responsables y delegados.
Para cumplir esta finalidad, se debería nombrar un responsable de la revisión de esta política de seguridad patrimonial que le incumbiría la implementación de esta mediante:
Esta función ha permitido crear distintos roles atribuidos y perfiles del gestor de Seguridad, citado proceso de cambio de la seguridad patrimonial, proporcionando los siguientes cargos:
CSO:(Chief Security Officer) responsable de la organización que a veces coincide con el CISO, sobre todo si son entidades pequeñas, aunque el segundo está más en lo que deno- minaríamos seguridad de la información.
CISO:(Chief Information Security Officer), mencionado anteriormente, sería el encarga- do de la seguridad Informática.
CEO:(Chief Executive Officer) es el reconocido como el gerente de la seguridad, digamos que dentro de un organigrama especifico de seguridad, es el que detentaría la máxima responsabilidad.
CIO:(Chief Information Officer) enfocado a la gestión de seguridad de las herramientas tecnológicas y de su desarrollo.
CTO:(Chief Technology Officer) con un papel similar al responsable de seguridad CIO, pero con la característica que sus cometidos son desarrollos más técnicos.
Se vislumbra, por lo tanto, la patente transformación de lo que ha sido y es la se- guridad corporativa, con el convencimiento de que sucederán nuevas figuras y nuevas responsabilidades para amplificar más la labor de estos departamentos, dado que nos enfrentamos a unos escenarios nuevos, con unas contingencias desconocidas que nos sorprenderán, ya que la velocidad que hemos emprendido en este entorno actual de las ciencias cibernéticas, es de imposible paralización. Por esa razón, no queda más remedio que tener los recursos adecuados. Eso sólo se podrá conseguir con la profesionalización de los departamentos de Seguridad Corporativa, con la debida formación y estando al corriente de estos nuevos retos.
En definitiva el responsable de poner en marcha estos controles periódicos debería implantar procedimientos de mejora continua en la política de seguridad patrimonial y de la gestión del riesgo, procurando la adecuación permanente a las circunstancias de segu- ridad de la organización, a la respuesta a los incidentes detectados y a la variación de las condiciones del contexto que aconsejen su revisión.
Es imprescindible mantener contactos fluidos y constantes con las autoridades com- petentes en materia de Seguridad Pública.
Como se ha comentado en anteriores temas, en el ámbito de la seguridad patrimonial de determinadas instituciones (entidades financieras, joyerías, gasolineras, casinos, etc.,) la colaboración con los cuerpos policiales resulta imprescindible por razones legales y reglamentarias.
Como se ha expresado, en el Cuerpo Nacional de Policía las competencias en esta materia han sido atribuidas a la Unidad Central de Seguridad Privada incardinada en la Comisaría General de Seguridad Ciudadana, que ha instaurado una importante red de comunicación bilateral denominada Red Azul de la que se han expuestos sus funciones.
También es muy frecuente la colaboración de los departamentos de Seguridad Pri- vada con unidades especializadas de la Policía Judicial en el esclarecimiento de hechos delictivos que se cometan y que requiera la colaboración de los departamentos de segu- ridad privada.
Como se sabe, este tipo de colaboración, aunque no esté regulado expresamente en la legislación procesal penal española, si lo está profusamente en la legislación administrati- va especial como la nueva Ley 5/2014, de Seguridad Privada, como por ejemplo en el art. 25 d) como obligación general “Facilitar de forma inmediata a la autoridad judicial o a las Fuerzas y Cuerpos de Seguridad competentes las informaciones sobre hechos delicti- vos de que tuvieren conocimiento en relación con su trabajo o con las investigaciones que éstos estén llevando a cabo” o en el art. 8.3 que establece “De conformidad con lo dis- puesto en la legislación de fuerzas y cuerpos de seguridad, las empresas de seguridad, los despachos de detectives y el personal de seguridad privada tendrán especial obligación de auxiliar y colaborar, en todo momento, con aquéllas en el ejercicio de sus funciones, de prestarles su colaboración y de seguir sus instrucciones, en relación con los servicios que presten que afecten a la seguridad pública o al ámbito de sus competencias”.
El art. 21.2, que establece, “Asimismo, las empresas de seguridad privada vendrán obligadas a prestar especial auxilio y colaboración a las Fuerzas y Cuerpos de Segu- ridad, debiendo facilitar a éstas la información que se les requiera en relación con las competencias atribuidas a las mismas”. O bien el art. 30 h); el 35 f) que se refiere espe- cialmente a los directores de seguridad. Así mismo se establece como falta muy grave en el art. 57 h), o grave del art. 58 d) su incumplimiento.
Para poder completar una eficaz política de seguridad en la empresa se requiere iden- tificar los activos a proteger y diseñar una eficiente estrategia de protección preventiva y reactiva específica para tipo de activo que sea susceptible de ofrecer un determinado nivel de riesgo ante la amenaza interior o exterior.
Para ello debemos distinguir entre los diferentes niveles de seguridad afectados, así podremos hablar de:
La Fundación Borredá y Deloitte han llevado a cabo un interesante Estudio de Se- guridad Corporativa para tomar el pulso a la evolución y madurez de las empresas españolas en materia de gestión de la Seguridad, así como para conocer su estado actual y fijar referencias que permitan analizar su evolución histórica.
A continuación se reproducen algunos aspectos extraídos de este informe a efectos docentes que consideramos de gran interés en materia de Seguridad Patrimonial.
Este último informe emitido el presente año 2016 y sus resultados parten de una muestra de cien empresas españolas. Por su propia naturaleza quedan fuera del objeto de este estudio las empresas proveedoras de servicios y tecnología de seguridad.
Se han analizado aspectos como la configuración, la facturación, el número de cen- tros de empleo y de empleados y el sector de actividad principal. Según las respuestas obtenidas, casi la mitad de las empresas consideradas (44%) presentan configuración de empresa matriz o holding.
Principalmente, la actividad de estas empresas está enfocada a los sectores del Siste- ma Financiero y Tributario, y Transporte. No obstante, la diversidad de sectores que eng- loba el espectro de panelistas en esta edición consigue reflejar el estado de las empresas a nivel general en materia de Seguridad Corporativa.
Es relevante señalar que el 96% de los encuestados ha indicado que cuenta con un responsable de Seguridad Corporativa, de los cuales un 85% dirige un departamento de Seguridad dado de alta en la Unidad Central de Seguridad Privada del Cuerpo Nacional de Policía.
De estos resultados se desprende que la dirección de las empresas entiende la nece- sidad gestionar a nivel directivo la Seguridad Corporativa.
En relación con el nivel profesional del responsable de Seguridad Corporativa, se ha concluido que en un 83% de los casos, que el nivel que ostenta es el de Director de Departamento o Área, con puesto en el Consejo de Dirección en el 24%, lo cual indica la importancia que las empresas otorgan a esta área.
Acerca de los superiores del responsable de Seguridad Corporativa, lo más frecuen- te, en el 63% de los casos, el responsable de Seguridad Corporativa informa al director general de su organización.
En cuanto al número de empleados internos dedicados a las tareas de Seguridad Corporativa, la casuística es muy amplia, pero principalmente la mayoría de las empresas (55%) cuentan con un grupo reducido, menos de 11 trabajadores internos, incluso menos de 6 el 22%.
Se ha elaborado un listado de posibles actividades del ámbito de Seguridad Corporati- va destacando que casi la totalidad de las empresas (>90%), considera que las actividades relacionadas con la seguridad del perímetro y gestión de accesos, y la gestión de inciden- tes y de crisis son responsabilidad del área de Seguridad Corporativa, seguido muy de cerca de la vigilancia, recepción y gestión de alarmas, con un 89%.
Se han analizado las funciones que las empresas subcontratan y se ha observado que los servicios de vigilancia de seguridad sigue siendo uno de los servicios contratados por la práctica totalidad de las empresas encuestadas (93%).
Se ha analizado la estrategia definida y puesta en marcha por las distintas organi- zaciones con respecto a la Seguridad Corporativa y la gran mayoría de los encuestados (87%) ha indicado que la estrategia definida por su empresa con respecto a la Seguridad Corporativa, incluye la implantación de las medidas necesarias en materia de seguridad en función de los riesgos.
Por último, se ha elaborado un listado con posibles dificultades a la hora de desarro- llar la estrategia de Seguridad Corporativa.
La principal dificultad que han señalado las empresas es la complejidad de riesgos y amenazas. No sorprende esta coincidencia general toda vez que esa es la dificultad de la situación a todos los niveles en estos momentos, en el que las amenazas se multiplican y evolucionan vertiginosamente.
El 30% de las organizaciones encuestadas ha dedicado en 2015 más de 3 millones de euros a las actividades de Seguridad Corporativa, sin tener en cuenta los servicios de vigilancia y escolta. Este hecho refleja, de nuevo, la tendencia a considerar cada vez más importante la Seguridad Corporativa en las empresas.
Existen elementos que pueden suponer una amenaza sobre los bienes y recursos de una empresa. El informe resalta que es conveniente identificarlos para poder prevenirlos porque, una vez que se materializan, no sólo se incurre en costes económicos directos, sino también indirectos (reputacionales, legales, operativos, etc.).
La amenaza referente a la Seguridad Corporativa que más preocupa a los panelistas son las ciberamenazas (70%) seguidas por el terrorismo (54%). Estas amenazas han gana- do protagonismo en estos últimos años frente a otras señaladas como preocupantes por las empresas en el cuestionario realizado en 2014, como es el caso del incendio, considerada como la principal preocupación (61%) y que actualmente sólo es señalada en el 22% de los casos.
Este cambio se debe, por un lado, a los continuos avances tecnológicos que está vi- viendo la sociedad y, como consecuencia de ello, el incremento de las amenazas y vulne- rabilidades a las que están expuestos los sistemas, y por otro, la alarma terrorista que está viviendo nuestra sociedad en estos últimos años.
En todo caso, cabe señalar una mayor concienciación de los responsables de segu- ridad corporativa en cuanto a la globalidad de los riesgos frente a otros de carácter más inmediato y directo.
La formación en Seguridad Corporativa permite dar a conocer los riesgos inherentes a la misma, así como concienciar a los empleados de la importancia de proteger los bienes y recursos de las empresas.
Se ha observado que el 76% de las empresas encuestadas dispone de planes de for- mación específicos para su personal en materia de seguridad, porcentaje similar al obte- nido en la encuesta realizada en 2014. Este hecho indica que las empresas quieren que sus empleados conozcan los riesgos para poder prevenirlos, confirmando de nuevo la importancia que se confiere a la Seguridad Corporativa.
Entre las principales carencias que perciben las empresas respecto al personal in- terno cuando necesitan incorporar profesionales al departamento de Seguridad, destaca la falta de profesionales formados en materia de seguridad integral en la que coinciden cerca de 3 de cada 4 de los encuestados (70%). Muy por debajo, alrededor del 25% de los panelistas, consideran la falta de idiomas y de experiencia profesional tanto en el ámbito de ciberseguridad como en seguridad patrimonial, como otras de las carencias que se en- cuentran al incorporar nuevos profesionales.
En esta misma línea, las principales carencias que perciben las empresas con respec- to al personal operativo externo contratado son la falta de especialización y de formación continua, con un 54% y 52%, respectivamente. Es destacable que un 22% de las empresas consideran que tienen una escasa formación básica.
En base a la valoración actual de tendencias que hacen las empresas, se han analiza- do los retos a los que se enfrentan.
Los panelistas han indicado que, actualmente, el principal aspecto que está impac- tando negativamente sobre el sector de la seguridad son las ciberamenazas (81%), el cual ha crecido casi el doble en los últimos años.
Para todas aquellas empresas que hayan sido o estiman que pueden ser declaradas como operador crítico por el Ministerio del Interior, se han analizado principalmente las dificultades que tienen para adaptarse y el impacto que esto genera en su organización. En concreto, un 92% de las empresas encuestadas ha afirmado encontrarse en alguna de las dos situaciones.
La cuestión que genera una mayor dificultad de adaptación a las empresas es la incorporación de la ciberseguridad al modelo de seguridad integral (40%), seguido de la elaboración de planes (32%) y el análisis de riesgos (26%). Hay que destacar que una de las opciones ofrecidas hacía referencia a las relaciones con el Ministerio del Interior, sin que fuera contemplada por ninguno de los panelistas.
Entre los diferentes aspectos positivos que consideran estas empresas en su relación con la Administración se encuentran la guía y colaboración en la incorporación al Sistema PIC y el intercambio de información, señalado por un 42% de los encuestados, seguido del apoyo en materia de ciberseguridad (36%) que reciben por parte de la Administración. También destaca el apoyo operativo de las Fuerzas y Cuerpos de Seguridad, aspecto se- ñalado por un 26% de las empresas. Se confirma así lo acertado de la estrategia seguida por el Ministerio del Interior.
En base a los resultados de las encuestas, se ha observado que casi la totalidad de las empresas (78%) consideran la Seguridad Corporativa como un valor añadido para su organización, contando la mayoría de ellas (96%) con la figura del responsable de Seguridad Corporativa, el cual, en el 75% de los casos ostenta el cargo de director de De- partamento o Área. Para estos puestos, las organizaciones suelen recurrir a personas con formación académica universitaria (87%) e incluso de postgrado (35%).
El número de empleados internos dedicados a las tareas relacionadas con la Seguri- dad Corporativa varía en función del sector de actividad de cada empresa, pero siempre se apoya en personal externo.
Asimismo, la práctica totalidad de las empresas (93%) subcontrata el servicio de alguna función asociada al área de Seguridad Corporativa.
En cuanto a la cualificación profesional, el 76% de las empresas cuenta con planes formativos para el personal del área de Seguridad Corporativa que refuerzan los conoci- mientos de los riesgos y promueven la importancia de la responsabilidad sobre su gestión y sobre la definición de estrategias específicas.
Estas estrategias incluyen la planificación de medidas de seguridad y el análisis de riesgos así como el reporte de los resultados obtenidos. Destaca también el hecho de que el 70% de las empresas consideran que existe una falta de profesionales formados en materia de seguridad integral.
Además, en las empresas existe un alto grado de coordinación entre el área de Segu- ridad Corporativa y el resto de departamentos, ya que los requerimientos son acordados entre las diferentes áreas (50%) y el área de Seguridad Corporativa brinda apoyo a todos los departamentos por igual (41%).
Como paso previo a la integración efectiva de las áreas de seguridad física y lógica, se observa una tendencia al alza de creación de órganos tipo comité en los que se compar- ten formalmente los riesgos y amenazas.
Por último, los panelistas potencialmente afectados por la Ley de Protección de Infraestructuras Críticas consideran la incorporación de la ciberseguridad al modelo de seguridad integral (40%) y la elaboración de los planes exigidos (34%) como principales dificultades de adaptación a dicha regulación. Esta adaptación está suponiendo una ma- yor concienciación de la Alta Dirección en materia de seguridad (32%) y un incremento de costes (29%). Asimismo, más de la mitad de ellos reconoce que actualmente el arraigo del concepto de seguridad integral está en progreso en su organización.
