Hay un debate complicado en las empresas sobre quién debería tener la responsabilidad sobre la gestión de la seguridad corporativa. Las atribuciones que los nuevos Directores de Seguridad deberían tener, superan los nuevos perfiles de un Director de Seguridad de la Información, o el tradicional Director de Seguridad Física. Yo no estoy muy de acuerdo en que uno u otro deba de prevalecer. Analicemos los puntos a favor de cada uno de cara a ver cuáles deberían ser las atribuciones del nuevo puesto. Dichas atribuciones deberían ser los requisitos del perfil a cubrir.
Director de Seguridad Información
Bajo mi punto de vista, un Director de Seguridad de la Información clásico parte de la ventaja de que ha estado más en contacto con la parte técnica de la informática. Está mucho más acostumbrado a tratar las nuevas amenazas cibernéticas que se están sufriendo, así que entiende, o está más cerca de entender, los sistemas de información de la Organización y el lenguaje técnico con el que se habla habitualmente. Su objetivo siempre ha sido la contención del gasto dado los escasos presupuestos de que disponía.
Director de Seguridad Física
Por otro lado, un Director de Seguridad Física, lleva trabajando para el negocio desde que comenzó. Su principal misión ha sido proteger lo que al negocio le da dinero, y está acostumbrado a aplicar medidas de control proporcionales al riesgo de robo, atentado, fuego, o cualquier otro posible desastre físico.
Entre sus atribuciones siempre ha estado la misión de velar por la propia seguridad de los directivos de la Organización, así como, en muchos otros casos, de sus propias familias. Ha utilizado siempre los servicios de inteligencia para predecir posibles incidentes como scratches, manifestaciones, o intentos de sabotaje, y está volcado en la máxima eficacia en todas sus acciones.
El problema se presenta cuando, debido a la situación actual, en la que la seguridad es un ámbito que puede exceder las competencias anteriores, es necesario proteger personas, infraestructuras y sistemas de información, además de controlar el cumplimiento de multitud de normativas y leyes, y evidenciar la correcta inversión de los presupuestos asignados para el cumplimiento de las normas.
La prevención del fraude es un tema que también afecta al negocio de la compañía, así como lo hace la gestión de los riesgos de una organización, en la que es necesario establecer medidas de control en cualquier proceso de la Organización.
Director de GRC
Como consecuencia de todo lo anterior, ya no es necesario preguntarnos si un Director de Seguridad Física o un Director de Seguridad de la Información, deberían ser los perfiles que dirigieran la Seguridad Corporativa de la Organización. Establecer un orden adecuado en la Organización es imprescindible.
El verdadero perfil para la Seguridad Corporativa debería de ser un Director de Gobierno, Riesgo y Cumplimiento (GRC).
Dicho perfil tiene entre sus objetivos:
- Cumplimiento de las obligaciones. Garantizar que se conocen, e implantan, todos los controles derivados de las normativas o regulaciones que la organización debe de cumplir. La eficiencia es uno de los aspectos fundamentales a tener en cuenta para las nuevas generaciones de Directivos. Protección de infraestructuras críticas, LODP, Esquema Nacional de Seguridad, Calidad, Medio Ambiente, Seguridad de la Información, OSHAS, ISO, NIST, etc. Son sólo algunos ejemplos de normativas que el Director de GRC deberá de controlar de forma centralizada.
- Identificación y gestión del Riesgo de la Organización. El Director de GRC deberá identificar aquellas deficiencias o carencias que, dado su mayor riesgo para la Organización, deban ser solventadas de forma previa al resto de necesidades. Los presupuestos finitos, junto con el encargo de evidenciar la necesidad del gasto, enfrentándose a los diferentes riesgos que posee la Organización, requerirán de unos conocimientos y metodologías que permitan al responsable decidir si es más importante la implantación de un tipo de control u otro.
- Gobierno de los sistemas de control. Es necesario que el Director de GRC pueda hacer un seguimiento adecuado de las instrucciones dadas a la Organización, para gestionar la implantación de los trabajos necesarios, con objeto de reducir los riesgos, y disponer de un sistema de información y reporte que le facilite la toma de decisiones.
Selección idónea del perfil
Realmente si un perfil u otro debe de acceder al control de toda la seguridad corporativa, desde mi punto de vista, no es el debate a tratar. El verdadero problema es ver que todas estas nuevas actividades requieren un tipo concreto de perfiles que puedan satisfacer este conjunto de funciones, y puede que en algún caso sea el Director de Seguridad Corporativa, y en otro caso sea el Director de Seguridad de la Información. O incluso puede que en otros casos, tenga que ser un nuevo Director, un Director de GRC, el que ocupe dicha posición.
Mi más sincero agradecimiento a Juan Manuel Nieto por la fabulosa imagen que creó para ilustrar alguno de los documentos que escribía. Muchas gracias Juanma, espero haberla dado el artículo que se merecía, aunque seguro me quede corto en comparación a la imagen.
[…] Relacionados: Se buscan 350.000 expertos en ciberseguridad ; Ni Director de Seguridad Física, ni de Seguridad de la Información. Necesitamos Directores de GRC. […]