Enrique Bilbao Lázaro, Senior Manager de Risk Advisory y responsable del área de Seguridad Física de Deloitte.
Enrique Bilbao Lázaro Senior Manager de Risk Advisory y responsable del área de Seguridad Física Deloitte
Alejandro Viana, Manager de Risk Advisory, especializado en ciberseguridad, de Deloitte.
Alejandro Viana Manager de Risk Advisory, especializado en ciberseguridad Deloitte

Nuevas normas ISO de seguridad física: buenas noticias para el enfoque integral

Normas ISO.

Los responsables de seguridad física e integral están este año de enhorabuena. En 2021 han llegado, por fin, tres normas ISO relacionadas con la seguridad física: la ISO 33010 (gestión de riesgos de viajeros), la ISO 23234 (criterios y recomendaciones de seguridad para planificar la seguridad de edificios) y la ISO 22341 (CPTED, Diseño del Entorno para la Prevención del Crimen). La primera de las normas está pendiente de publicación, mientras las otras dos ya están disponibles para su consulta.

Estas normas se unen a las ya utilizadas de manera habitual en nuestro sector: la ISO 31000 y la ISO 27001. En la primera, a pesar de su enfoque generalista, cabían algunos aspectos de la gestión de riesgos de origen físico de las áreas de seguridad.

Por otro lado, cabe destacar la relevancia que posee la Norma ISO 27001, cuyo estándar promueve la implementación de un Sistema de Gestión de Seguridad de la Información. Esta norma sigue siendo el estándar favorito de las empresas para su gestión interna y para la evolución de sus servicios y productos. También incluye un dominio relativo a la seguridad física y del entorno, focalizado en prevenir el acceso físico no autorizado a la información y a las instalaciones de procesamiento de información de las empresas.

No obstante, la incorporación de normativas ISO en el ámbito físico supone avanzar un paso más allá. Permite definir y formalizar tanto los departamentos de seguridad física como amparar las áreas de seguridad integral bajo un soporte aún más reconocido internacionalmente.

¿Implica esto que los ejercicios realizados previamente, basados en normativas europeas o estándares de la industria, no hayan sido válidos? Absolutamente no. Lo que tenemos ante nosotros es una oportunidad de que esos esfuerzos puedan actualizarse y reciban un respaldo mayor, así como que puedan ser reconocidos dentro de las empresas junto a estándares habituales como 9001, 27001, 22301 u OHSAS.

Con estas nuevas herramientas a nuestro alcance, nos encontramos por primera vez con un conjunto de referencias internacionalmente reconocidas, aceptadas y consensuadas para planificar y diseñar algunos de los aspectos más importantes de la seguridad física o integral.

Son muchos los profesionales que llevan años estirando el alcance de otras normativas existentes para poder aplicarlas a su responsabilidad. Por otro lado, muchos observan el excesivo enfoque legal de nuestro sector frente a otros próximos, cuyo apoyo en normas les ha permitido una gran flexibilidad y la posibilidad de desarrollar normativas internas válidas para todas las geografías y basadas en una referencia reconocida.

Probablemente, en poco tiempo podamos recorrer en seguridad física caminos muy conocidos en ciberseguridad y continuidad de negocio. Esto ha permitido un nivel de madurez en los planteamientos, en ocasiones, envidiable; lo que, por otro lado, ha supuesto un gran rédito para las empresas.

En nuestra opinión, creemos que es una excelente noticia por las posibilidades que pueden suponer este tipo de estándares en la evolución de un sector que se encuentra en una encrucijada. Por un lado, sufrimos un entorno de permanente cambio y tecnologías emergentes, que afecta a los sistemas de seguridad, pero también a la gestión de la operativa y a la capacidad de recopilar información e inteligencia de seguridad. Por el otro, se observa cómo la evolución de los riesgos hacia los activos de la información de las empresas está motivando que el foco de atención se mueva hacia la ciberseguridad de manera irreversible, afectando a los presupuestos, los departamentos y los organigramas.

Las nuevas normas ISO

La nueva normativa ISO puede ayudar a reforzar algunos aspectos que ya se realizaban de manera habitual en los departamentos de seguridad física e integral, así como suscitar algunos cambios o plantear nuevos enfoques que podrían ayudar a dichos departamentos.

ISO 22341:2021. Security and Resilience –Protective Security– Guidelines for crime prevention through environmental design. Esta norma quizás sea la que menos sorprenda, puesto que llevamos cierto tiempo disfrutando de la serie de normas europeas (y de su versión española) UNE-EN 14383-X. A su vez, estas se basan en una disciplina con varias décadas de recorrido y que, básicamente, nos permite mejorar la seguridad de entornos urbanísticos y edificios, incorporando el área de seguridad en la fase de diseño de los mismos (cuando los arquitectos se plantean las necesidades de los edificios).

La implantación de sus principios y, de manera aún más importante, la involucración de las áreas de seguridad desde el inicio de los procesos de diseño de edificios, permitirá reducir costes en seguridad, en instalaciones que serán más sostenibles y más seguras. A su vez, facilitará la visibilidad de las áreas de seguridad dentro de la empresa y asegurará que la dotación económica adecuada para la protección de dicho edificio se haya tenido en consideración.

ISO 23234:2021. Buildings and civil engineering works –Security– Planning of security measures in the built environment. Esta norma también servirá de ayuda a aquellas áreas de seguridad involucradas en la implantación de medidas de protección en nuevos edificios. La norma define el proceso de diseño e implantación a seguir, los entregables a considerar y qué profesionales deben involucrarse.

La generalidad de esta norma permitirá, por un lado, adaptar el proceso a las tecnologías y buenas prácticas propias de cada empresa; pero, por el otro, permitirá reenfocar el proceso de planificación y diseño de las medidas de seguridad para que sea asimilable al de otras disciplinas de construcción y, por tanto, más fácilmente auditable y comprensible para las partes implicadas que pertenezcan a otros sectores.

ISO 31030. Travel Risk Management –Guidance for Organizations–. Esta norma, al no haber sido aprobada aún, puede sufrir modificaciones. No obstante, su enfoque principal es servir como apoyo a los encargados de gestionar los riesgos asociados a las personas de una empresa que deben desplazarse. Propone, para ello, un proceso exhaustivo que se asemeja en su propuesta de gestión de riesgos al proceso de la ISO 31000, pero centrándolo en los riesgos asociados al personal desplazado.

En general, esta norma permitirá generar un programa de protección de desplazados a aquellas áreas de seguridad que no dispongan del mismo, o bien actualizar programas actuales. El enfoque práctico y exhaustivo de la norma sirve de guía para realizar estas labores, y su enfoque puramente relacionado con la gestión de riesgos seguramente sea útil para aquellas áreas de seguridad que hayan tenido dificultad para justificar que la responsabilidad de gestionar estos riesgos esté recogida dentro de su alcance.

Un gran paso adelante

La aplicación de este tipo de normativas es un avance destacado en la uniformidad de criterios, pero también en la mejora de los niveles de calidad, seguridad, fiabilidad, interoperabilidad y eficiencia del sector.

Todo ello conlleva un trabajo importante en el corto plazo: revisar nuestros propios estándares y frameworks para adaptarlos a esta nueva referencia, que seguro contribuirá al avance de la seguridad física e integral de las organizaciones.