Búsqueda
avanzada

Seguridad en:

Boletín
gratuito, todas las novedades de la web
Infoseguridad

Más en España

13 de Enero de 2011

CONVERGENCIA DE LA SEGURIDAD. Un nuevo desafío para la Seguridad Corporativa
Sánchez Gómez-Merelo, Manuel

La Convergencia de la Seguridad es la integración, de manera formal, corporativa y estratégica de los recursos de Seguridad integrados de una organización, para mostrar las ventajas a la totalidad en la minimización de los riesgos y amenazas, con efectividad, eficiencia operacional creciente y ahorro de costes.
En este sentido, cuando se habla de convergencia de la seguridad, se hace referencia a un todo como un elemento que integra las visuales de seguridad, desde todos sus puntos de vista o disciplinas. Se trata de ver los medios y servicios de seguridad no operando de manera independiente –como es el caso de por un lado la seguridad física y por otro la seguridad lógica- como un primer enfoque. Es ir más allá, para presentar la seguridad como un todo, un elemento universal, un sistema único que contempla todas las aristas posibles, en pro de un propósito: proteger una organización.
Ello, sin perder el referente de que la diferencia entre mera integración y convergencia es que con la convergencia la integración es dotada de una dirección, de un sentido. En este mismo concepto se podría decir que nuestra definición de convergencia de la seguridad cambia, evoluciona y también se podría decir que la convergencia de la seguridad sería la suma de todos los esfuerzos mancomunados en busca de identificar, analizar y evaluar todos aquellos riesgos, amenazas y vulnerabilidades que afectan a los activos y la interdependencia que estos tienen dentro de la función de la organización y/o proceso, con el propósito de poder controlar aquellos que puedan llegar a afectar al funcionamiento e integridad de la organización.
Así, uno de nuestros objetivos sería dotar a nuestra organización, y su seguridad del presente, de una metodología y tecnología sostenible hacia el futuro haciendo converger a proyectistas, proveedores y gestores de soluciones y con los propios usuarios que demandan nuevas o adecuadas soluciones a sus nuevos retos y exigencias.
Para ello, hay que establecer planteamientos y metodologías que permitan una seguridad integral, un concepto unificado de prevención y protección, que implica cruzar, en muchos casos, las actuales barreras o dominios de la seguridad física, informática y de la información, continuidad de negocio, valoración de riesgos, planes de contingencia y emergencias, evacuaciones, protección contra incendio, primeros auxilios e investigaciones derivadas de la materialización de riesgos y amenazas, en el escenario de sus operaciones y actividades multidisciplinares, para luego evaluar las consideraciones tácticas de las mismas, que nos lleven a una visión estratégica de la seguridad que sea aplicable al proceso mismo de la organización que, apoyado con los especialistas de las distintas áreas o seguridades, reconozca lo sistémico del concepto y, lo sistemático y especializado de su aplicación.
En cualquier caso, caminar hacia esta convergencia de la seguridad, requiere de propuestas viables y prácticas y, sobre todo, de mucho compromiso por parte de los especialistas de las distintas seguridades o disciplinas en las organizaciones, teniendo siempre en cuenta los numerosos riesgos y las amenazas que aguardan hoy en día a cualquier organización.
Profundizando, y siguiendo algunas de las pautas del libro Holistic Management, podríamos definir la seguridad, al igual que una organización, como un sistema viable, muy complejo, con un propósito, probabilístico y con posibilidades.
Viable, hace referencia a la capacidad de continuar existiendo en su entorno. La seguridad es viable en sí misma gracias a su dualidad, la inseguridad que vive permanentemente en el entorno. En este orden de ideas, no es posible pensar en la seguridad sin considerar esta dualidad, como elemento provocador clave para revisar el sistema.
Muy complejo, entendiendo esta característica como las múltiples consideraciones u operaciones que debe o realiza el sistema, que bajo la coordinación de todos sus miembros implicados, y basado en un cuidadoso diseño de estructuras de flujo y evaluación de información, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de las consideraciones de gestión del sistema de prevención y protección, basado en un reconocimiento de los riesgos y amenazas como un elemento fundamental de la dinámica de la organización.
Con un propósito, es una característica que nos habla de la capacidad de lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger, como la cuota de riesgos o amenaza y las vulnerabilidades donde se debe administrar.
Probabilística, significa que el comportamiento de sus partes son probables e impredecibles, pero pueden ser guiadas para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de protección, reconocer la inseguridad y vulnerabilidades como el evento probable e impredecible, que me dice que tan confiable puede llegar a ser el sistema.
Con posibilidades, es una característica que es complementaria e inherente a la interacción de todas las anteriores, pues busca reconocer en la acción de las propiedades explicadas previamente, opciones de conocimiento y aprendizaje de la seguridad, no basados en el comportamiento del sistema de gestión de la seguridad, sino como en el enriquecimiento que surge cada vez que hay una contingencia o la inseguridad se materializa.
Si lo anterior es correcto y lo podemos demostrar, estamos ante un concepto que evoluciona y crece sobre condiciones del entorno, que se alimenta de su dualidad de manera permanente, para hacer de la gestión del conocimiento y la seguridad un ejercicio permanente creativo para enfrentar los errores, fallos y vulnerabilidades de la seguridad (prevención + protección) y así mantener un nivel de confiabilidad en el ámbito de la organización.
En este sentido, y reconociendo por tanto la seguridad como un concepto sistémico y holístico que debe ser parte inherente de los procesos de la organización, se hace necesario analizar la evolución del mismo más allá de los límites de la lógica de los datos procesados y de los métodos y dispositivos conocidos, para avanzar en la construcción de un concepto de seguridad corporativo, integral e integrado y global, que vincule la multidisciplinar organización para que pueda ser comprendida por los ejecutivos de esta y el director de seguridad, así como por el personal de dicha organización.
La seguridad en los actuales escenarios de globalización e inseguridad, no es una disciplina inmune a la irreversible tendencia de la convergencia. Comprender la seguridad en un contexto integral e integrado, nos permitirá establecer un nuevo paradigma para la seguridad corporativa como una disciplina de carácter sistémico y sistemático, que no escatima en análisis y revisiones para identificar posibles focos de inseguridad en cualquiera de los dominios o disciplinas que se presenten, para avanzar hacia estrategias interdisciplinares que permitan una mejor comprensión de los riesgos y amenazas en las organizaciones.
En este sentido, el nuevo "concepto de la seguridad" está cambiando el papel que los profesionales y especialistas de seguridad deben desempeñar incrementando valor global a la organización.

Los objetivos. Misión

Caminando hacia lo concreto, el objetivo principal por tanto es identificar, analizar y evaluar los riesgos y amenazas contra la Seguridad y las interdependencias entre los procesos y funciones al interior de la organización.
Así, y como podemos observar el asunto es cada vez más complejo en términos de quién debe ser el encargado de controlar la seguridad de las organizaciones y es entonces cuando debemos subrayar la importancia del Director de Seguridad (CSO, Chief Security Officer, etc.) quien deberá poseer una formación, competencias y habilidades adecuadas para garantizar esa seguridad proactiva (prevención + protección) de todos los activos de la organización, generando las respuestas correctas ante los incidentes que en la misma se ocasionen, situaciones cada vez más críticas.
Igualmente, es habitual que existan muchas razones por las que se pueda determinar la convergencia, incluso para muchos podrán existir razones totalmente diferentes. En cualquier caso, al realizar las revisiones de los distintos grupos de estudio, encontramos las siguientes razones para que la convergencia se dé, simplemente por motivos organizacionales: Desarrollar modelos de riesgo de adaptación, que integren de forma interdisciplinar, los riesgos de seguridad de la organización; Aumentar la concienciación y comprensión de la Dirección Ejecutiva sobre la importancia crítica de la seguridad en la gestión del riesgo; Promover la seguridad de la organización basada en distintas posiciones de gestión para influir en las políticas de seguridad; Contribuir a la cualificación y consolidación de las competencias de los altos ejecutivos responsables de la gestión de riesgos y la seguridad.
Consecuentemente, para conseguir el objetivo de una convergencia, de una seguridad integral e integrada que se incorpore como un área más en la estrategia de la organización, es fundamental acometerla tanto desde el punto de vista estratégico, operacional como tecnológico.
Por ello, es necesario que el responsable de la visión corporativa de seguridad cambie su habitual posición de una postura funcional y experta, a una posición con visión global de la organización, que vea de manera transversal la información y en ella lo que puede afectar de manera integral a aquella.
En definitiva, convergencia hacia un Director de Seguridad holístico, multidisciplinar y con una alta capacidad de gestión, reportando a la Dirección General y gestionando el riesgo global de la organización.
Para dar respuesta a esta situación, es necesario adoptar un nuevo paradigma de gestión de la seguridad a nivel corporativo y es esta la Convergencia de la Seguridad de la que venimos hablando.

Razones para converger

En cuanto a las verdaderas razones para converger, están principalmente en aspectos como los que comentamos a continuación.
Crecimiento corporativo. En la actualidad las organizaciones son más complejas, existen más interdependencias entre sus áreas a las que hay que sumar las fortalecidas con terceros o clientes. Cada vez más se pierde la diferencia entre proveedores, clientes y organización que se entremezclan por la misma complejidad de los objetivos, los procesos y/o los servicios ofrecidos, razón por la cual se requiere de un esfuerzo para integrar la mayor cantidad de estas disciplinas.
Transformación de los activos. En décadas anteriores, las organizaciones se han preocupado por proteger sus activos físicos, de tal manera que se han venido implementando controles y protecciones para ello. En la actualidad, la visión de la realidad es totalmente diferente, y cada vez más, y como premisa se repite que los activos de la información, así como los intangibles están tomando mayor fuerza, lo que motiva esfuerzos importantes encaminados a su protección.
Límites de protección. Se plantea esta como una de las razones importantes para pensar en la integración de los diferentes sistemas de protección a trabajar en un solo conjunto, de tal forma que se logre, en primera instancia, la protección y, como segundo propósito, ahorros significativos en las inversiones en seguridad que la organización pueda llevar a acabo en esa dirección.
Regulaciones y Cumplimiento. Es cada vez más notorio ver cómo las regulaciones, sean del país o de carácter internacional, se deben aplicar a las organizaciones de hoy, sin importar su distribución o localización geográfica.
Reducción de costes. Las organizaciones con mayores retos y exigencias, y sin distorsionar su realidad, se han de reinventan para manejar de manera eficiente los recursos existentes, sobre los objetivos corporativos y su necesaria seguridad.
En este sentido, y como cualquier iniciativa relacionada con la seguridad, la convergencia no tendrá éxito sin el apoyo e implicación de la Dirección General. Apoyo indispensable para garantizar la eficacia y eficiencia de los proyectos de convergencia y el éxito de los mismos.
Como consecuencia, las organizaciones están descubriendo que alcanza un valor de convergencia de la seguridad y ofrece beneficios tales como una mejor protección de la propiedad intelectual y los activos, la reducción del riesgo de violencia física y amenazas a la seguridad de la información, así como los beneficios correspondientes a un mayor intercambio de información y cumplimiento de normativas.
La realidad es que, en la actualidad distintas organizaciones, tanto públicas como privadas, dedican un gran volumen de recursos a la protección de sus activos tangibles e intangibles, utilizando para ello una gran variedad de procedimientos y mecanismos, que son gestionados por diferentes departamentos (Departamento de TI, Seguridad Física, Gestión Corporativa, Seguridad Legal, Prevención de Riesgos Laborales, etc.) sin que en muchos casos exista una coordinación profunda entre ellos.

A modo de conclusiones

Con el incremento del número y volumen de amenazas y de su complejidad, la falta de integración, el camino hacia la convergencia de la seguridad, deja de ser un simple inconveniente para convertirse en un grave problema, al aumentar los riesgos e impedir respuestas coordinadas e integrales ante las contingencias derivadas de las vulnerabilidades y la inseguridad.
El desafío de esta complejidad amenazada tiene como mejor respuesta la herramienta de la convergencia y, en sus objetivos, su mejor valor añadido.
En definitiva, entendemos por convergencia que se establezca una única estrategia de seguridad (para proteger personas, bienes e información) que se implante de forma coordinada (en medios y recursos) por personas que, evidentemente, pueden ser más especialistas en un área o en otra, pero que en cualquier caso, tienen objetivos comunes.
Finalmente, quiero hacer una referencia al nuevo estudio realizado por Frost & Sullivan de Londres que ha publicado un nuevo informe titulado "Política Europea de Seguridad de convergencia del mercado". El estudio examina los retos y los controladores de campo de una convergencia total del mercado y proporciona un análisis cualitativo de las tendencias del mercado para la gestión integrada y la convergencia de soluciones que está en constante evolución, tanto en términos de tecnología, como de competitividad.
Unos datos más para facilitar la colocación eficiente de los recursos de la seguridad que requieren de un enfoque basado en la identificación, análisis y evaluación de los riesgos y amenazas y una mayor transparencia en materia de seguridad estratégica.
Porque, como muchos venimos recordando e insistiendo: si la seguridad es relativa… el daño es absoluto.

Fuente: MANUELSANCHEZ.COM