Enrique Bilbao Lázaro. Senior Manager de Risk Advisory y responsable del área de Seguridad Física y Emergencias de Deloitte
Los especialistas de Seguridad (Security), independientemente de su especialización, compartimos los principales objetivos y enfoques: protegemos activos frente a los riesgos que puedan afectarles, tratando de adelantarnos a nuestros adversarios a partir de los medios que tenemos a nuestra disposición.
En lo relativo a los datos, una de las acciones más naturales ha sido la de proteger la información, tanto física (cajas fuertes) como digital (con medidas de ciberseguridad). En este sentido, el concepto de silo de datos tiene connotaciones positivas: aislamos la información para evitar su acceso indebido, manipulación o no disponibilidad. Nuestros silos protegen los valiosos granos de información de ataques o posibles daños del exterior.
Por otro lado, en este proceso de cambio hacia un mundo interconectado y digitalizado, existe un consenso generalizado sobre el grave impedimento que supone la existencia de silos digitales, que evitan el acceso libre a la información que sí se desea compartir.
Pero, ¿a qué nos referimos cuando hablamos de silos digitales en el ámbito de la Seguridad?
Silos digitales en seguridad
Más allá de la protección voluntaria de la información, existen grandes dificultades para compartir y acceder a los datos desde aplicaciones, que han evolucionado de manera independiente. Este ha sido el caso de los principales sistemas de gestión de incidentes de seguridad (SIEM, PSIM, BMS, PCI, sistemas de gestión de emergencias…).
La rápida adopción de la digitalización y la tendencia a desarrollar sistemas expertos independientes en cada área de especialidad ha llevado a que estos complejos sistemas digitales tengan su propio modelo de datos, taxonomía específica de incidentes, aproximación distinta a la gestión de riegos o procesos muy diferenciados. Es decir, se han convertido en sistemas aislados, en silos digitales.
Todo ello a pesar de que, en los últimos años, se han realizado grandes esfuerzos en hacer compatibles y abiertos los sistemas de cada especialidad. En el mundo de la seguridad física, por ejemplo, hemos sido testigos de la gran evolución que supuso la transición desde las señales analógicas y los buses a un entorno de estándares de mercado y de dispositivos que comparten información a través de redes de datos basadas en IP. Los PSIM han permitido integrar tecnologías de muy diverso origen en los centros de control de Seguridad física pero, a su vez, esta evolución ha sido independiente de la que haya podido llevarse a cabo en otros ámbitos de la seguridad.
Por si esto no fuera poco, la normativa y legislación de cada especialidad ha contribuido a separar sistemas en continua evolución.
Los retos
En el día a día, esta situación se adapta perfectamente a la misión que cada área de especialidad tiene asignada. No obstante, en las situaciones críticas es necesaria la coordinación y participación armonizada de diversas áreas. En estas ocasiones es cuando este modelo muestra sus debilidades.
En los simulacros complejos interdisciplinares esta carencia ha podido observarse de manera muy evidente: es muy difícil traducir la realidad de cada área al lenguaje y procesos definidos en los planes de continuidad de negocio de la gestión de crisis. Además, la información se transmite de manera separada, en informes independientes o a través de diversas plataformas, a las que se accede con usuarios y vistas específicas de cada área.
En alguna de las crisis, que últimamente han afectado a empresas y entidades de nuestro entorno, esta circunstancia se he desvelado igualmente fundamental.
Los responsables de tomar decisiones necesitan disponer de toda la información y una capacidad plena para reaccionar, si queremos minimizar los errores y los tiempos de respuesta.
Posible solución
Más allá de redoblar los esfuerzos en adaptar la misión, procesos y herramientas de cada área a las necesidades del negocio y al enfoque de continuidad negocio de nuestra empresa, es fundamental dar los pasos hacia una auténtica transformación de la Seguridad. Uno de los motores debe ser el uso de una herramienta que nos permita unificar toda la información para su manejo en situaciones excepcionales.
En este sentido, parece oportuno poner encima de la mesa el ejercicio que hace más de dos décadas se llevó a cabo en la transformación de la gestión de emergencias y protección civil en España: reorganizar la gestión de emergencias para utilizar la misma herramienta en la gestión del día a día y durante las grandes crisis. Este concepto, defendido por Pedro Anitúa en su ‘Manual de Protección Civil’ y explicado brillantemente por José Julián Isturiz en su tesis doctoral sobre ‘Regulación y Organización de Servicios de Emergencias y Protección Civil: Diseño de un sistema asimétrico, mutifuncional y multifactorial’, permite aprovechar a los operadores y técnicos entrenados diariamente y a su herramienta más que probada.
En un contexto tan complejo como el que se pretende simplificar, un enfoque realista pasaría por seleccionar o desarrollar una herramienta que fuera capaz de integrar la información de todas las áreas y que a su vez fuera utilizada de manera habitual al menos por una de ellas.
Este aspecto técnico de la integración u optimización de la gestión de incidentes deberá estar evidentemente comprendido dentro de un proceso de replanteamiento del conjunto de Seguridades, cuyos principales aspectos a considerar serían:
- Apoyo de la dirección para la realización de la transformación
- Políticas de Seguridad que abarquen a todas las áreas que quieran ser integradas
- Metodología y análisis de riesgos integrales
- Elección de herramienta común como capa superior para la gestión unificada de los incidentes que devengan en crisis
- Planes de Seguridad integrales
- Comités de seguimiento y de mejora continua integrales
- Simulacros híbridos
- Otros aspectos ya analizados por Isturiz en lo referente a las emergencias, pero aplicables igualmente al proceso de integración de otras seguridades:
- Aportación de la emergencia ordinaria a la extraordinaria
- Coordinación operativa
- Existencia de un Centro Coordinador (o sala de crisis), donde confluyan operadores de todas las especialidades
- Ámbitos de responsabilidad plenamente definidos
- Coordinación de servicios (procedimientos consensuados y taxonomías de incidentes consensuados)
Como no puede ser de otro modo, la propuesta técnica presentada con brevedad en este artículo no es más que un paso más en el proceso de transformación de cualquier empresa que se encuentre expuesta a las amenazas actuales y que quiera sobrevivir a medio plazo.
Les invito a que no esperen a la próxima crisis para empezar a recorrer este camino.