Desde la. La Convergencia en Seguridad: El enfoque global. perspectivaempresarial

Transcripción

1 La en Seguridad: El enfoque global Antonio Carcer Director de Consultoría PROSEGUR perspectivaempresarial Desde la perspectiva de uno de los mayores operadores de seguridad privada global y tradicionalmente percibido como un proveedor de seguridad física - en PROSEGUR se contempla el fenómeno de la CONVERGENCIA EN SEGURIDAD como un arrollador cambio de paradigma que refuerza y sostiene los nuevos modelos de Gestión Integral de Riesgos Corporativos y que merece una reflexión más amplia que la simple integración funcional y operativa de los aspectos relacionados con la seguridad física (entendiendo por seguridad física la relacionada con actividades y riesgos que desarrollan en un plano físico) y la seguridad informática. Como integrador de amplio espectro de todos los aspectos relacionados con la seguridad en una empresa, desde la seguridad perimetral y de acceso operada por personas (vigilantes de seguridad) o tecnologías, hasta los aspectos relacionados con la seguridad de la información, financiera, de las personas e instalaciones o meramente la de cumplimiento con el marco normativo vigente, en PROSEGUR defendemos desde hace años un planteamiento integrador claramente especializado hacia el negocio de nuestros clientes. No es lo mismo plantearse la seguridad de un aeropuerto que la de una cadena de tiendas o un banco. Necesidades de negocio diferentes tienen riesgos asociados diferentes, tanto de seguridad tradicional como de protección de la información o del negocio en sí mismo. el enfoque integrador A medida que las nuevas tecnologías emergen y las amenazas para la seguridad corporativa se hacen cada vez más complejas e impredecibles, los responsables y directores de seguridad de las empresas reconocen la necesidad de combinar de manera efectiva todas las funciones de seguridad a través de toda la organización. Para ser efectivo, este enfoque convergente debería afectar y comprometer a las personas, los procesos y la tecnología, y capacitar a las empresas para prevenir, detectar, responder y recuperarse de cualquier tipo de incidente de seguridad dado que - adicionalmente a los costes que las compañías tienen que afrontar como resultados inmediatos de un incidente de negocio - los incidentes relacionados con la seguridad pueden causar daños mucho más costosos en el largo plazo, como podrían ser daños a la reputación y la marca. Más allá del impacto en la capitalización de Mercado de la empresa, si el problema amenaza el bienestar público, pueden intervenir las autoridades reguladoras, implantando octubre/noviembre

2 requisitos de control más estrictos (y más costosos para la industria) para regular las futuras prácticas de negocio. En el entorno operacional global e interconectado de hoy en día, parece casi imposible encarar desarrollos en negocios o tecnología sin encontrar la palabra convergencia. Con un término tan amplio y diverso como este, siempre queda la inquietud de que pueda convertirse en otro término más sobre usado y mareado en todo tipo de discusiones y foros en los que los participantes usan la misma palabra para dar a entender cosas diferentes. Si queremos reflexionar con claridad sobre los cambios que se avecinan en el mundo de la seguridad, tenemos que entender con precisión todos los diferentes significados y sus implicaciones. Cuando se usa en un contexto de negocio, significa que diferentes elementos no tradicionales de un negocio están empezando a ser más parecidos, con sus unidades marchando juntas, alineando intereses para crear ventajas competitivas. El incremento de foco en la seguridad desde la perspectiva de la empresa nos ha conducido a una nueva forma de examinar los riesgos como un todo conjuntado. Esto, a su vez, nos lleva a iniciativas innovadoras que enfatizan la integración específicamente, la integración de la parte de los riesgos del negocio dentro de la planificación estratégica de la actividad como un todo consistente y homogéneo. En el pasado, la gestión del riesgo inherente al negocio era una función asimilada por defecto a los roles individuales de los máximos ejecutivos de la organización. El enfoque tradicional era el de tratar los riesgos por separado de forma individual y asignar las responsabilidades de su gestión a individuos concretos o a pequeños equipos de trabajo. Gestionar una categoría singular de riesgos (antisociales, laborales, financieros, de marca, etc.) acabó siendo un trabajo concreto, y realizar este trabajo bien y eficientemente significaba dedicación exclusiva a esa área en particular. El problema que tiene esta forma de proceder es que, no solamente ignora la evidente interdependencia de varios riesgos en el negocio, sino que también suboptimiza la financiación del riesgo global de la organización. Romper este paradigma y optimizar las inversiones exige una nueva forma de reflexionar sobre el problema. Esta nueva forma de 191 octubre/noviembre 2010 pensar aúna a todos los implicados en el problema y les pone a trabajar como un equipo. A continuación podemos analizar diversos factores que pueden facilitar la comprensión del problema y ayudar a las diversas áreas en el camino hacia su objetivo común. condiciones para la Dado que el concepto de no es único del entorno de la seguridad, es posible examinar otras aplicaciones y experiencias que hablen de como juntar diversos elementos y orientarlos hacia un objetivo común. De las lecciones similares aprendidas en el pasado, queda bastante claro que la tiene para poder existir una condición muy importante: Un marco común desde el que operar.

3 posibilidad de que el elemento importador eclipse a los otros, pero generalmente desarrolla otras tensiones relacionadas con la planificación y ejecución de responsabilidades funcionales. Evidentemente existen muchas posibilidades de marco común y en los últimos años, han habido varios intentos meritorios de implantación de muchos de ellos. Normalmente la primera opción aparentemente más obvia es la Organizacional: Consolidar las diversas opciones por debajo del elemento más fuerte o poderoso de los varios enfoques de seguridad de la empresa (financiera, seguros, crédito, riesgo laboral, seguridad física, etc.) El resultado más inmediato suele ser una pérdida de influencia o consideración de los elementos que han sido importados. Otra aproximación suele ser la de mover todos los elementos de seguridad hacia un elemento neutral del negocio (por ejemplo Recursos Humanos). Esta variante minimiza la Existen límites hasta dónde un enfoque puramente organizacional puede ser aplicado como marco para un proyecto de convergencia. Siendo de particular interés las dudas sobre la viabilidad de dicha estructura en el largo plazo. Si la estructura organizativa marco no apoya los objetivos de negocio generales, es muy poco probable que se sostenga en el tiempo. Nuestra visión de empresa global y comprometida con la seguridad a cualquier nivel, es la de un modelo de consejo de líderes enfocado a negocio. Este marco de actuación utiliza la estrategia corporativa de la empresa como elemento común para aglutinar a las diferentes unidades responsables de las diferentes seguridades. Este enfoque requiere que todos los implicados en las diferentes seguridades utilicen un lenguaje común: el lenguaje de las unidades de negocio y circunvala los problemas asociados con los cambios organizativos sencillamente por un traslado de énfasis desde el tradicional: Para quién trabajo?, o, a quién reporto?, hacia un, qué aporto al negocio? teniendo un impacto significativo en las empresas independientemente del sector (aunque algunos sectores como el aeroportuario o el financiero aparentemente la abordan con más entusiasmo). Dicho esto, cabe resaltar que existen nuevos imperativos o palancas en la actualidad que están haciendo que la de Seguridad emerja y se consolide como una norma operativa no evitable. Básicamente cinco aceleradores están impulsando la de seguridad y van a continuar afectando a las empresas independientemente del sector industrial o la geografía en la que operen: 1. La Globalización y la rápida expansión del ecosistema de empresas. 2. La migración del valor (entendiendo valor como importancia de aceleradores e Imperativos de la Hasta ahora todos tenemos claro que la en Seguridad es un fenómeno que está octubre/noviembre

4 su integridad, disponibilidad y confiabilidad) desde los activos físicos y tangibles hacia los basados fundamentalmente en información. 3. Nuevas tecnologías de protección que operan por igual en ambos entornos y hacen las fronteras entre ambos cada vez más borrosas. 4. Nuevos marcos regulatorios y de cumplimiento. 5. Presión continúa para reducir costes. 1. La Globalización y la rápida expansión del ecosistema de empresas A medida que las empresas implantan nuevas tecnologías, expanden sus capacidades operativas a nuevos entornos de negocio, creando estructuras organizativas cada vez más complejas. Un ejemplo podría ser, como cada vez más empresas externalizan procesos internos en empresas de terceros para reducir costes y al mismo tiempo de forma inevitable incrementan la complejidad añadiendo una capa organizativa más (la de la gestión del tercero) que puede representar riesgos y responsabilidades no contempladas en el estado anterior. Hoy en día cerca del 60 por ciento de las empresas europeas y americanas, externalizan alguna función de TI creando partners de negocio externos a la empresa de forma global. Las empresas deben considerar ahora las implicaciones en su modelo de seguridad integral que estas alianzas representan y gestionar estas alianzas adecuadamente para generar una ventaja competitiva real. significa que diferentes elementos no tradicionales de un negocio están empezando a ser más parecidos entre sí 2. Migración de valor de activos físicos tangibles a activos basados en información Los activos de valor de las empresas cada vez están más basados en información y son intangibles. Incluso los activos más físicos se apalancan y descansan sobre bloques de información. Por ejemplo, las empresas fabricantes de bienes de equipo o cualquier otro tipo de manufactura, son tremendamente dependientes de recibir determinados conjuntos de información por parte de los proveedores antes de que el proceso de construir o fabricar los productos físicos pueda ni siquiera empezar. La seguridad de estos flujos de información (por citar un ejemplo al azar) es vital para el desarrollo de productos físicos. La tecnología también permite a las empresas ofrecer más productos de información. Las empresas de noticias, o las de investigación, por ejemplo, sólo proporcionan información a sus clientes. Tienen que garantizar la seguridad de la información (confiabilidad, integridad y disponibilidad) no sólo a sus clientes, sino también desde sus proveedores. A medida que estos activos se hacen más intangibles, hay una mayor necesidad de integrar los elementos de seguridad físicos y lógicos dentro de una organización. 3. Nuevas tecnologías de protección que operan por igual en ambos entornos Las nuevas necesidades de seguridad están fundiendo las fronteras funcionales dentro de las organizaciones. Por ejemplo, la tecnología física tradicional de control de accesos está últimamente integrándose con tecnologías de acceso a redes informáticas para generar nuevos modelos de control de presencia en edificios y organizaciones, obligando a los responsables de seguridad física y lógica de la empresa a integrar sus estrategias. 4. Nuevos marcos regulatorios y de cumplimiento A medida que emergen nuevas amenazas y las transacciones entre empresas se hacen más intrincadas, es obvio pensar que la adherencia a normativas y regulaciones se hará también más compleja. Por ejemplo, la ley Sarbanes-Oxley (SOX) que regula las actividades de gestión de riesgo corporativo de las empresas americanas cotizadas (y su equivalente 193 octubre/noviembre 2010

5 europea Euro-SOX) proporciona un marco de referencia sobre el cual se debe realizar una evaluación de riesgos, pero no establece un mandato directo de cómo hacerlo. Estas y otras leyes (Basilea II o el código de prácticas de buen gobierno corporativo de la CNMV) sólo sirven como punto de partida para los profesionales de seguridad planteando requisitos mínimos obligatorios. La complejidad se les presenta a los gestores de riesgos cuando se enfrentan a todas las implicaciones y ramificaciones internas que estas normativas implican. 5. Presión continua para reducir costes Por último, las empresas siempre buscan el equilibrio entre riesgos asumidos y costes inherentes a los mismos. A medida que los riesgos corporativos se hacen más complejos, las empresas deben abordar su gestión con un enfoque sistemático y pragmático que maximice los recursos disponibles a la vez que gestione el riego adecuadamente. En una era de cambios rápidos en el mapa de riesgos corporativos, las empresas tienen que tener muy claro en qué y en qué no se van a gastar sus recursos, para evitar continuos realineamientos basados normalmente en los eventos más recientes en lugar de los más importantes. Las empresas que reconocen esta transformación pueden incrementar significativamente sus ventajas competitivas: fundamentalmente en dos áreas: Los costes económicos y las personas. Las ventajas de reducción de coste pueden obtenerse mediante la migración del concepto de seguridad La de Seguridad dentro de las empresas significa una visión global y unitaria para proteger todos los valores tangibles e intangibles de las mismas como centro de coste hacia uno de adición de valor reduciendo costes, proporcionando eficiencias económicas y evitando costes ocultos. Por su parte las personas pueden ser puestas más en valor mediante la transformación de tradicionales departamentos de seguridad (física, lógica, de riesgo financiero, etc.) muy enfocados en sus propias actividades hacia equipos de gestión de riesgo corporativo multidisciplinares de amplio espectro, con un impacto en la organización exponencialmente mayor a la suma de los meros individuos que lo componen. conclusión La de Seguridad dentro de las empresas está emergiendo cada vez más rápido. Las organizaciones necesitan reconocer esta situación de forma lógica y adaptarse a ella. Existen varios marcos comunes de actuación desde los cuales operar y crear las condiciones optimas para la convergencia. Sin embargo, está claro que un enfoque más orientado a negocio será el que mejor permita a los diferentes elementos de seguridad corporativos formar parte de la estrategia global, legitimando la seguridad como un elemento crítico de la marcha del negocio en lugar de una consecuencia reactiva frente a agentes externos considerados como ajenos al negocio. El papel de la seguridad en la empresa cada vez menos es valorado como un coste inevitable fruto de un mal necesario y pasa a ser aceptado como una actividad generadora de valor añadido. octubre/noviembre