La compartición de amenazas entre los responsables de Seguridad de la Información y de Seguridad Patrimonial es habitual entre las empresas, aunque no lo es realizar un análisis conjunto de riesgos.
La protección de los bienes es un factor clave para determinar la fiabilidad de una empresa a la hora de prestar servicios, siendo la seguridad patrimonial uno de los pilares fundamentales que la sustentan. Toda compañía, sea pequeña, mediana o grande, cuenta con una serie de medidas y recursos para evitar incidentes (intencionados o accidentales). Pero esta protección, además de mitigar los riesgos, ha de ser eficiente en costes y proporcional a las características de la empresa. Es evidente que una inversión inferior a la necesaria puede suponer graves problemas de seguridad, pero si ésta es excesiva, existe un sobrecoste innecesario que puede ser incluso superior al valor de los activos a proteger.
Lo ideal es mejorar de forma continua la gestión de los medios con los que se cuenta. Las organizaciones que disponen sólo de los recursos necesarios y que funcionan de una forma eficiente y eficaz evitan costes adicionales sin menoscabar su seguridad. Con este fin, las empresas se esfuerzan en adoptar modelos de protección de mayor madurez, aunque esta labor no es sencilla.
Los riesgos y amenazas a los activos patrimoniales evolucionan rápidamente en un entorno en el que la dependencia de las Tecnologías de la Información (TI) y de los servicios prestados por proveedores externos en las organizaciones es cada vez mayor. En este contexto, es cada vez más complejo conocer de forma fiable el nivel de riesgo al que las organizaciones se exponen.
Actualmente, las empresas se encuentran en un momento de búsqueda de simplicidad organizativa, y también de restricciones impuestas sobre presupuestos y recursos. Esto afecta a la toma de decisiones en todas las áreas, incluida la seguridad patrimonial. En ese sentido, cuando las empresas realizan un diagnóstico de su gestión de seguridad son capaces de determinar hasta qué punto cuentan con un buen modelo de seguridad patrimonial y mantienen el control sobre los mecanismos de protección establecidos.
Servicios y recursos
La realización de un correcto diagnóstico es crucial a la hora de determinar los aspectos en los que la gestión de la seguridad puede mejorar. Un diagnóstico basado en el análisis de los servicios y de cómo éstos se soportan sobre los recursos teniendo en cuenta cada fase del ciclo de vida de un servicio (diseño, implantación, mantenimiento, operación y baja) y sus propias particularidades, aporta una visión completa del modelo.
El análisis de servicios y recursos contemplará, por ejemplo, para el servicio de vigilancia privada, la gestión del personal especializado; y para los servicios de seguridad perimetral o control de accesos, el equipamiento tecnológico y sistemas de información como elementos necesarios.
La seguridad física para diferentes ubicaciones puede requerir variaciones en la implantación de las medidas que permitan que se adapten a las peculiaridades de cada sede o infraestructura. Por ello, niveles de protección deseables pueden variar dentro de una misma organización. Es recomendable implantar un sistema de gestión maduro, que evite redundancias en contratos y servicios, y que, por otra parte, no deje ningún activo sin salvaguardar, adaptándose a las necesidades específicas de cada lugar y los cambios de las amenazas en el tiempo.
Análisis de riesgos
Cada compañía es vulnerable a una serie de amenazas de una manera particular y diferente en cada caso y, sobre todo, en cada momento. Por ello, llevar a cabo un análisis de riesgos dinámico que identifique amenazas, y la forma en que afectan en cada momento, permite a las organizaciones una mayor adaptación del nivel de protección al entorno cambiante. La compartición de amenazas entre los responsables de Seguridad de la Información y de Seguridad Patrimonial es habitual entre las empresas, aunque no lo es realizar un análisis conjunto de riesgos entre las dos áreas.
Es importante que para llevar a cabo este análisis se disponga de metodologías comunes dentro de una misma organización. Aporta transparencia entre las diferentes sedes o sucursales y garantiza unos mínimos de calidad en los resultados.
De la misma forma, si los criterios de mitigación de riesgos son uniformes, se pueden integrar los resultados y analizar la evolución de estos en el tiempo. Para la gestión de riesgos es recomendable tomar como referencias de buenas prácticas internacionales, como por ejemplo la ISO/IEC 31000, que está considerada como un estándar a nivel internacional de gestión de riesgos.
Gestión de la Seguridad
Los indicadores son herramientas para sustentar la toma de decisiones respecto a la gestión de la Seguridad. Por ejemplo, la metodología para el Gobierno TI Control Objectives for Information and related Technology (CobIT), aceptada mundialmente, establece indicadores de desempeño para cada objetivo de negocio y un modelo básico de madurez que contempla las fases de planificación, implementación, control y evaluación del Gobierno sobre las TIC.
Buenas prácticas como son: establecer procedimientos de actuación unificados y procesos formales de revisión y mejora de los mismos; definir una política común de adaptación del modelo de seguridad a los cambios en la disponibilidad de los recursos económicos y humanos; incluir la seguridad lógica en el ciclo de vida de los sistemas de seguridad física; evaluar el impacto de los riesgos de ciberseguridad en estos sistemas; mantener el control sobre el inventario de los sistemas y su mantenimiento, etc., contribuirán al aprovechamiento de los recursos disponibles y aumentando los niveles de protección de las organizaciones, de modo análogo a las mejores prácticas recomendadas en la serie de normas ISO/IEC 27000 para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).También cabe preguntarse acerca de las limitaciones funcionales o competenciales que puedan obstaculizar la transformación hacia un modelo de seguridad patrimonial más eficaz y eficiente, y si dicho modelo es el idóneo para los objetivos de negocio de la organización.
Es especialmente relevante considerar que la seguridad física depende cada vez más de las nuevas tecnologías y del “mundo IP” y, por tanto, es recomendable desarrollar procedimientos que incluyan la seguridad lógica en el ciclo de vida de los sistemas de seguridad física. Mitigar el impacto de los riesgos ciber para la seguridad de estos sistemas es crucial para que la protección sea integral, y por ello las empresas deben contar con las salvaguardas necesarias que permitan aprovechar los beneficios de los Sistemas de Información en este campo, pero de una forma segura.
En cuanto a la eficiencia de estos sistemas, es posible que se vea incrementada si se aprovechan los beneficios de los sistemas de seguridad basados en IP: arquitecturas de monitorización y detección centralizada con actuación descentralizada, correlación de eventos de los distintos sistemas, etcétera.
Proveedores de Servicios
Los contratos con terceros relativos a la seguridad patrimonial son, en la gran mayoría de las empresas, fundamentales para la protección de sus activos, ya que, en ocasiones, es imposible cubrir esas necesidades con personal interno.
Desde los vigilantes de seguridad a las auditorías externas, la mayoría de organizaciones cuentan con alguna de sus funciones internas de protección subcontratadas. Lo ideal en este sentido es que dichos contratos, sean de implantación o de mantenimiento de sistemas, estén unificados o al menos que los criterios de contratación y los niveles de servicios sean homogéneos, pues facilita la gestión y seguimiento de los acuerdos con los diferentes proveedores. El proceso de contratación de todos los servicios debe ser independiente, priorizando siempre las necesidades de la empresa y sus requerimientos en seguridad.
Conclusiones
Una transformación en el modelo de gestión de la seguridad patrimonial basado en mejores prácticas, y en estándares probados y adaptados a la realidad de la compañía, contribuirá a reducir los costes de implantación y mantenimiento de los controles, permitirá la reutilización de los recursos (aumento de la eficiencia) aumentando, a su vez, el nivel de protección de los activos (aumento de la eficacia).
