Ver Suplemento Temático...

Seguridad Corporativa y Protección del Patrimonio.
 

 Expertos

Asociación de Diplomados Españoles en Seguridad y Defensa - (ADESyD)

Una red compuesta por ciudadan@s que participan en los sectores académico, diplomático, político, jurídico, empresarial, medioambiental, inteligencia, de las Fuerzas Armadas y Fuerzas y Cuerpos de Seguridad del Estado, de las Administraciones Públicas, así como en los campos científico-tecnológico y patrimonial de la defensa o conexo a ella, los medios de comunicación y las organizaciones no gubernamentales


El director de seguridad


D. DAVID CORRALES DEL PECHO
 
NOTA BIOGRÁFICA

 
Director de Seguridad, Jefe de Seguridad, Profesor Acreditado en Seguridad y Protección y en el área de Comunicaciones por Dirección General de la Policía. Técnico Superior en Informática de Gestión, Certificado Profesional en Seguridad Informática.

Ha realizado diversos cursos de especialización en seguridad en infraestructuras críticas con el Grupo de Estudios Técnicos, de seguridad de la información con Bureau Veritas, ha participado en el curso avanzado de ciberseguridad en sistemas de control y automatización industrial con INCIBE, entre otros.

Cuenta con más de 10 años de experiencia en el sector logístico, habiendo ocupado diferentes posiciones de responsabilidad en las áreas de sistemas, organización , calidad y seguridad.

Responsable de Seguridad en Giesecke & Devrient, multinacional alemana del sector de la
fabricación y personalización de Smartcards para banca.

Actualmente es Consultor de Seguridad de la Información en ECIXGROUP, prestando servicios en la Subdirección General de Seguridad y Medioambiente de MAPFRE.

INTRODUCCIÓN 

El presente documento pretende definir la figura del Director de Seguridad, qué actividades profesionales puede desempeñar, las funciones que tiene a su cargo, la formación necesaria y
conveniente que debe tener con carácter general, y en el ámbito de la seguridad de la información, con carácter específico. 

DEFINICIÓN

Tomando como referencia el Diccionario de la Real Academia Española y analizando “Director de Seguridad Privada”, encontramos las siguientes definiciones:

 Director: Persona que dirige algo en razón de su profesión o de su cargo. 

 Seguridad: Cualidad de seguro, libre y exento de todo peligro, daño o riesgo.
 
 Privada: Particular y personal de cada individuo. Que no es de propiedad pública o estatal, sino que pertenece a particulares.
 
Si vamos un paso más allá y lo analizamos desde el punto de vista profesional podemos decir que el “Director de Seguridad Privada” es el responsable de liderar, gestionar, coordinar y actualizar las políticas, procedimientos, medidas y relaciones con el objetivo de preservar, salvaguardar, proteger y defender los activos de una organización, su personal, instalaciones, procesos o servicios e información o conocimiento, contando para ello con una serie de recursos humanos, técnicos y organizativos.

ACTIVIDADES

El Director de Seguridad desarrolla su actividad profesional en el marco de una Ley específica (Ley 5/2014 de Seguridad Privada), la cual trata, como no puede ser de otra manera, sobre la prestación de servicios de seguridad por entidades privadas, la relación de éstas con la seguridad pública, sobre su personal y sobre las investigaciones privadas que se realicen. Todas estas actividades tienen la consideración de complementarias y subordinadas respecto de la seguridad pública.

Esto se basa en el hecho de que los servicios que prestan forman parte del núcleo esencial de la competencia exclusiva en materia de seguridad pública atribuida al Estado por el artículo 149.1.29.ª de la Constitución, y en la misión que, según el artículo 104 del propio texto

fundamental, incumbe a las Fuerzas y Cuerpos de Seguridad, bajo la dependencia del Gobierno, de proteger el libre ejercicio de los derechos y libertades y garantizar la seguridad ciudadana.

Dentro de este marco se definen tres tipos de actividades: propias, compatibles y excluidas, en esta última no entraremos y nos centraremos en las propias y compatibles. 

El artículo 5 de la Ley 5/2014 de Seguridad Privada enumera las actividades propias de la seguridad privada, que son las siguientes:

a) La vigilancia y protección de bienes, establecimientos, lugares y eventos, tanto públicos como privados, así como de las personas que pudieran encontrarse en los mismos.

b) El acompañamiento, defensa y protección de personas físicas determinadas, incluidas las que ostenten la condición legal de autoridad.

c) El depósito, custodia, recuento y clasificación de monedas y billetes, títulos-valores, joyas, metales preciosos, antigüedades, obras de arte u otros objetos que, por su valor económico, histórico o cultural, y expectativas que generen, puedan requerir vigilancia y protección especial.

d) El depósito y custodia de explosivos, armas, cartuchería metálica, sustancias, materias, mercancías y cualesquiera objetos que por su peligrosidad precisen de vigilancia y protección especial.

e) El transporte y distribución de los objetos a que se refieren los dos párrafos anteriores.

f) La instalación y mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad conectados a centrales receptoras de alarmas o a centros de control o de videovigilancia.

g) La explotación de centrales para la conexión, recepción, verificación y, en su caso, respuesta y transmisión de las señales de alarma, así como la monitorización de cualesquiera señales de dispositivos auxiliares para la seguridad de personas, de bienes muebles o inmuebles o de cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y Cuerpos de Seguridad competentes en estos casos.

h) La investigación privada en relación a personas, hechos o delitos sólo perseguibles a instancia de parte.

Estas actividades son las que se han venido desempeñando tiempo atrás y en las que el sector de la seguridad privada (empresas y profesionales) cuenta con una dilatada experiencia y adecuada formación. 

Respecto a lo que se considera una actividad compatible, la propia ley la define en su Preámbulo V como “aquellas materias que rodean o tienen incidencia directa en el mundo de la seguridad”.

No cabe duda de la importancia y enorme repercusión que la seguridad de la información y las
comunicaciones tienen hoy día, con una incidencia directa en la seguridad de las entidades públicas y privadas. Además aparecen en la Ley por primera vez configuradas, no como actividad específica de seguridad privada, sino como actividad compatible y que, además, pueden ser desarrolladas tanto por empresas de seguridad como por las que no lo sean.

FUNCIONES

El artículo 36 de la Ley 5/2014 de Seguridad Privada enumera las funciones del Director de Seguridad, que son las siguientes:

1. En relación con la empresa o entidad en la que presten sus servicios, corresponde a los directores de seguridad el ejercicio de las siguientes funciones:

a) La organización, dirección, inspección y administración de los servicios y recursos de seguridad privada disponibles.

b) La identificación, análisis y evaluación de situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio.

c) La planificación, organización y control de las actuaciones precisas para la implantación de las medidas conducentes a prevenir, proteger y reducir la manifestación de riesgos de cualquier naturaleza con medios y medidas precisas, mediante la elaboración y desarrollo de los planes de seguridad aplicables.

d) El control del funcionamiento y mantenimiento de los sistemas de seguridad privada.

e) La validación provisional, hasta la comprobación, en su caso, por parte de la Administración, de las medidas de seguridad en lo referente a su adecuación a la normativa de seguridad privada.

f) La comprobación de que los sistemas de seguridad privada instalados y las empresas de seguridad privada contratadas cumplen con las exigencias de homologación de los
organismos competentes.

g) La comunicación a las Fuerzas y Cuerpos de Seguridad competentes de las circunstancias o informaciones relevantes para la seguridad ciudadana, así como de los hechos delictivos de los que tenga conocimiento en el ejercicio de sus funciones.

h) La interlocución y enlace con la Administración, especialmente con las Fuerzas y Cuerpos de Seguridad, respecto de la función de seguridad integral de la entidad, empresa o grupo empresarial que les tenga contratados, en relación con el cumplimiento normativo sobre gestión de todo tipo de riesgos.

i) Las comprobaciones de los aspectos necesarios sobre el personal que, por el ejercicio de las funciones encomendadas, precise acceder a áreas o informaciones, para garantizar la protección efectiva de su entidad, empresa o grupo empresarial.

2.Los usuarios de seguridad privada situarán al frente de la seguridad integral de la entidad, empresa o grupo empresarial a un director de seguridad cuando así lo exija la normativa de desarrollo de esta ley por la dimensión de su servicio de seguridad; cuando se acuerde por decisión gubernativa, en atención a las medidas de seguridad y al grado de concentración de riesgo, o cuando lo prevea una disposición especial.

Lo dispuesto en este apartado es igualmente aplicable a las empresas de seguridad privada.

3. En las empresas de seguridad el director de seguridad podrá compatibilizar sus funciones con las de jefe de seguridad.

4. Cuando una empresa de seguridad preste servicio a un usuario que cuente con su propio director de seguridad, las funciones encomendadas a los jefes de seguridad en el artículo 35.1.a), b), c), y e) serán asumidas por dicho director de seguridad.

5. El ejercicio de funciones podrá delegarse por los directores de seguridad en los términos que reglamentariamente se disponga.

Por tanto, la figura del Director de Seguridad, ya sea en una empresa de seguridad privada o en otra que aún no siendo empresa de seguridad privada se dote en su estructura de un departamento de seguridad propio, debe ser ocupada por un profesional debidamente acreditado por el órgano competente para ello, siendo éste la Unidad Central de Seguridad Privada, del Cuerpo Nacional de Policía. 

Deberá contar entre sus habilidades las de poder liderar, gestionar, coordinar y actualizar las políticas, procedimientos, medidas y relaciones para preservar, salvaguardar, proteger y defender la información o los servicios que, cada vez más, hacen uso de las nuevas tecnologías, como es el caso de Internet o de redes corporativas. Es por ello que el Director de Seguridad debe estar al día de los nuevos riesgos y amenazas. 

Conviene ampliar el término “relaciones” indicando que han de fomentarse con entidades públicas y privadas, por ejemplo, con las Fuerzas y Cuerpos de Seguridad del Estado, con organismos de auditoría y formación, con asociaciones profesionales de todo sector vinculado a la seguridad y con Departamentos de Seguridad de otras organizaciones; todo, para compartir información y mantener una comunicación fluida que permita la colaboración entre todos los actores.
 
Es preciso añadir también que los términos “información y conocimiento” ponen en valor el que hoy día no solo las personas, las instalaciones y los productos o servicios tradicionales son los únicos activos, sino que también los productos o servicios en muchos casos han evolucionado como la sociedad en sí misma, y han pasado a ser intangibles.

FORMACIÓN

A la formación específica con la que hay que contar para acreditarse como Director de Seguridad, ya sea a través de la realización de un grado universitario de seguridad o el título del curso de dirección de seguridad, reconocido por el Ministerio del Interior, es conveniente añadir toda aquella que aporte una visión más amplia de la organización de la seguridad en el mayor número de campos posibles.

La formación y actualización constante deber ser una máxima en las obligaciones del Director de Seguridad.

La oferta de formación específica en el ámbito de la seguridad de la información y las nuevas
tecnologías es muy abierta y variada, yendo desde la formación profesional, certificados profesionales, grados universitarios y masters, hasta las acreditaciones de diferentes organismos internacionales como  ISACA (Information Systems Audit and Control Association) con los certificados de:

-CISA: Certified Information Systems Auditor.

-CISM: Certified Information Security Managment.

-CGEIT: Certified in the Governance of Enterprise IT.

-CRISC: Certified in Risk and Information Systems Control.

Dentro de los estándares que ISO (International Standarization Organization) desarrolla en el ámbito de la seguridad de la información, el siguiente certificado, es junto con los de ISACA, de
los más reconocidos en el sector.

-ISO/IEC 27001 Lead Auditor.

Es importante mencionar también las publicaciones que recogen las buenas prácticas en la gestión de los servicios de las tecnologías de la información ITIL (Information Technology Infraestructure Library), que al contrario que las certificaciones ISO no son una norma ni un documento único.

-ITIL versión 1. Exclusivamente tecnológico.

-ITIL versión 2. Intermediario entre negocio y tecnología.

-ITIL versión 3. Enfoque estratégico de la prestación de servicios a largo plazo.

Cabe destacar a nivel nacional la labor de INCIBE (Instituto Nacional de Ciberseguridad) con cursos monográficos en protección de sistemas SCADA, vinculados a infraestructuras críticas y la divulgación de la cultura de ciberseguridad en nuestra sociedad. 

SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información se base en tres pilares fundamentales: la confidencialidad integridad y disponibilidad de los datos. A continuación se definen los tres conceptos 

-Confidencialidad: Es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

-Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Podríamos decir, por tanto, que la integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

-Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

Dicho de otro modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

La importancia de asegurar los procesos de generación de la información, almacenado y transmisión hace necesario establecer planes de continuidad de negocio, aplicando políticas de seguridad tales como bastionado de equipos y de gestión de identidades de los usuarios, así como las medidas de control correspondientes tanto a los dispositivos físicos donde dicha información se encuentra almacenada, los servicios o aplicaciones que hacen uso de ella y las personas que tienen acceso. Para ello, el reparto de funciones y responsabilidades es fundamental, ya no solo para delimitar qué personas, procesos o dispositivos están asignados a cada área de información, sino para monitorizar y llevar a cabo la trazabilidad de la información que se esté tratando. 

Realizar una correcta clasificación de la información es esencial para poder aplicar las medidas adecuadas y establecer los procedimientos para su control y divulgación. Es fundamental determinar si es pública o privada y dentro de esa privacidad de qué nivel: restringida, confidencial o secreta, para, una vez realizada esta clasificación, aplicar las medidas de protección que se determinen en la política de seguridad, siguiendo los procedimientos implantados y aplicando las medidas de control necesarias.

Todo ello implica que el Director de Seguridad, como su propio nombre indica, esté capacitado y sea en todo momento el referente para dotar a su organización de los niveles de seguridad preventivos adecuados, para la consecución de los objetivos marcados y, en caso de situación de emergencia, lidere las acciones para mitigar y restablecer la situación previa a la emergencia lo antes posible.

Es imprescindible contar con colaboradores de máxima confianza, ya sean propios o proveedores externos, que aporten el conocimiento técnico preciso para cada una de las diferentes situaciones que pueda tener que gestionar el Director de Seguridad. Para ello es clave manejar conceptos fundamentales como los que a continuación se definen de manera muy resumida:

-Tiempo Objetivo de Recuperación, RTO (Recovery Time Objective). Es el tiempo que pasará una infraestructura antes de estar disponible. Para reducir el RTO, se requiere que la Infraestructura (tecnológica, togística, física) esté disponible en el menor tiempo posible pasado el evento de interrupción.

-Punto Objetivo de Recuperación,RPO (Recovery Point Objective). Es una medida que indica el máximo periodo de tiempo que una organización está dispuesta a perder datos. Podría simplificarse como lo que la organización está dispuesta a perder en cantidad de datos. 

-Acuerdo de Nivel de Servicio, SLA (Service Level Agreement). Es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. El SLA es una herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio, etc.

Básicamente el SLA establece la relación entre ambas partes: proveedor y cliente. Un SLA identifica y define las necesidades del cliente a la vez que controla sus expectativas de servicio en relación a la capacidad del proveedor, proporciona un marco de entendimiento, simplifica asuntos complicados, reduce las áreas de conflicto y favorece el diálogo ante la disputa.

EPILOGO

Cabría ampliar cada uno de los epígrafes tratados con mayor detalle, dando cada uno de ellos
para infinidad de cursos y ponencias, pero este documento únicamente trata de situar al Director de Seguridad en el escenario actual de la dirección y gestión de los riesgos en general y en el ámbito de la seguridad de la información en particular.


REFERENCIAS

https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 
 
http://noticias.juridicas.com/base_datos/Admin/526996-l-5-2014-de-4-abr-seguridad-privada.html
 
https://es.wikipedia.org/wiki/Plan_de_recuperaci%C3%B3n_ante_desastres 
 
https://es.wikipedia.org/wiki/Acuerdo_de_nivel_de_servicio

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: Asociación de Diplomados Españoles en Seguridad y Defensa (ADESyD)
Fecha: 2015

   Mas artículos de Asociación de Diplomados Españoles en Seguridad y Defensa - (ADESyD)        Otros Expertos   

Este experto ha sido visto por 844 personas.