Una visión de la Seguridad Integral para una Formación Global en Seguridad

Revista Transformación Digital | sábado 02 - abril - 2016

CSIC

Luis Hernández Encinas y Javier Espinosa García
Instituto de Tecnologías Físicas y de la Información (ITEFI)
Consejo Superior de Investigaciones Científicas (CSIC)
C/ Serrano 144, 28006-Madrid
{luis, javier.espinosa}@iec.csic.es

 

1.     Introducción

Bien entrado el siglo XXI de nuestra era, puede resultar un tanto accesorio plantear los principales motivos por los que los individuos, en cualquiera de las facetas cotidianas en las que se desarrollan (ámbito personal, social, familiar, laboral, sanitario, etc.), precisan de seguridad. Una seguridad que, por lo general, es innata a la propia naturaleza humana y que está íntimamente relacionada con la protección de las necesidades y aversión al daño, tanto fortuito como deliberado.

Desde siempre, la relación entre la seguridad y la forma de estructurar la sociedad ha circulado en los dos sentidos. Así, los avances de la sociedad, tanto desde el punto de vista de su organización como de su funcionamiento, han repercutido en la definición, diseño y puesta en marcha de los principales componentes de la seguridad. De la misma manera que la evolución y la innovación en materia de seguridad han supuesto mejoras, directas o indirectas, en la propia forma de comprender y desarrollar la sociedad.

En este sentido, la seguridad, hasta mediados del siglo XX, estuvo constituida por los aspectos de su componente física, fundamentalmente relacionados con la protección de las personas: su vida, salud y bienestar, y los activos tangibles de las empresas: edificios, maquinaria, mercancías etc. Sin embargo, desde el momento en que los sistemas electrónicos empiezan a desarrollarse de manera generalizada y los medios tecnológicos comienzan a incorporarse a los procesos empresariales, este concepto de seguridad tradicional se ha modificado y se ha extendido a nuevos campos de actuación. No se trata solo de proteger la tecnología que automatiza procesos productivos y abarata costes, sino que esta tecnología ha propiciado el reconocimiento de que también los aspectos lógicos deben ser protegidos, esto es, los datos empresariales, tratados o almacenados en los sistemas de información, son tremendamente valiosos y forman parte de los activos intangibles de la empresa.

Este cambio en la concepción de la seguridad se ha acrecentado, más aún, desde el momento en que estas nuevas tecnologías se han miniaturizado y han pasado a formar parte, también, del mundo personal, donde los aspectos lógicos tienen una elevada criticidad.

Por lo tanto, los aspectos, físico y lógico, de la seguridad no deben analizarse individualmente sino que deben ser considerados conjuntamente, dado que existen relaciones e interdependencias entre los mismos que obligan a una visión más amplia y cohesionada del concepto de seguridad. Es por ello que, durante los últimos años, la Universidad Internacional Menéndez Pelayo y el Consejo Superior de Investigaciones Científicas han diseñado y desarrollado una oferta de formación en posgrado en esta línea, plasmada en el Máster en Gestión de Seguridad Integral (MGSI).

A lo largo de este documento trataremos de mostrar que considerar de forma independiente los aspectos seguridad física y los aspectos de seguridad lógica, además de ser sumamente difícil y sesgado, reduce y constriñe una realidad que está presente en una sociedad tecnológica y de la información como la actual en la que vivimos: la seguridad integral.

2.     La seguridad física y la seguridad lógica

La seguridad física, esto es, la seguridad que tiene como objetivo la protección de los activos tangibles de cualquier organización, es un aspecto fundamental, que ha sido considerado desde hace ya mucho tiempo en la gran mayoría de las grandes instituciones y empresas, públicas o privadas. Esta protección ha sido canalizada mediante estructuras organizativas específicas, como los departamentos de seguridad; o mediante funciones específicas dentro de estructuras más generales, como los departamentos de servicios generales.

Sin embargo, a partir de la segunda mitad del siglo XX estas instituciones y empresas comenzaron a considerar un nuevo valor que resultaba vital para el desarrollo de sus procesos de negocio. Se trataba de un activo intangible, denominado “información”, que unía datos y conocimiento, y que hacía uso tanto de los clásicos elementos tangibles (solares, maquinaria, etc.) como de los modernos (ordenadores, servidores, redes de comunicación, etc.).

Así, poco a poco, los activos tangibles tradicionales de la empresa, que habían sido sus elementos más valiosos, fueron compartiendo, y hasta a veces perdiendo, su valor frente a un nuevo activo, por momentos, intangible: la información.

De hecho, los elementos clásicos de seguridad, esto es, personal de seguridad, controles físicos de acceso, etc.; pasaron a ser insuficientes para garantizar la protección de la información, de modo que surgió la necesidad de establecer equipos dedicados a la protección de este nuevo activo. Así, los hasta entonces habituales departamentos de seguridad física son complementados con los nuevos departamentos de seguridad de la información, formados por personal con conocimientos en informática, comunicaciones, bases de datos, etc., de modo que los primeros no tienen conocimientos de estas nuevas herramientas, a la vez que los segundos no tienen personal con experiencia en seguridad física.

Además, los sistemas de seguridad basados en los elementos tecnológicos emergentes (detección de intrusos, control perimetral, análisis de imágenes, etc.) evolucionan conforme las nuevas tecnologías se desarrollan, tales como redes de sistemas de autenticación biométrica, bases de datos, servidores de aplicaciones y otros sistemas informáticos, para las que la seguridad lógica resulta fundamental.

Así pues, desde el último tercio del siglo XX la seguridad se considera desde una perspectiva más amplia en la que diferentes aspectos se relacionan para preservar los activos (tangibles, intangibles y humanos) que son propiedad o responsabilidad de una organización, indistintamente de si se trata de una perspectiva física o lógica, puesto que ambos van ligados: la seguridad física necesita de la tecnología que le ofrece la seguridad lógica, a la vez que ésta necesita de los sistemas físicos que la protejan.

3.     La seguridad integral

Nuestra sociedad es consciente de que la seguridad es uno de los pilares básicos en los que se debe fundamentar la convivencia ciudadana. Esta sensación se acrecienta cada día por las noticias que están relacionadas con ataques terroristas, criminalidad, publicación de documentos que atentan contra la seguridad nacional y personal, ataques a infraestructuras críticas, proliferación de virus y malware en general, etc. En los ejemplos anteriores no hemos hecho distinción de qué es seguridad física y qué es lógica. Es cierto que ambos aspectos son diferentes y son fácilmente distinguibles, pero no sorprende enumerar y mezclar los dos aspectos en la misma colección de problemas ciudadanos. Así pues, creemos que la sociedad ya tiene asimilados que la delincuencia es un aspecto a proteger tanto como la suplantación de la personalidad en internet, por ejemplo, y que ambos forman parte de la seguridad que debe acompañar a los individuos. Es por ello que esta seguridad integral, entendida como la suma de la seguridad física y lógica, así como de sus interrelaciones, es un concepto que debe desarrollarse y potenciarse como una única entidad.

El concepto de seguridad integral que estamos manejando, es decir, la acción conjunta, tanto de carácter personal como dentro de una organización, de las áreas responsables de la seguridad lógica y la seguridad física son una condición necesaria pero no suficiente para proteger con eficacia los activos de tales personas u organización. Debe tenerse en cuenta que son necesarios, además, otros elementos tácticos y estratégicos, como la toma de decisiones y el análisis de riesgos con una visión integral (Rahman and Donahue, 2010; Presidencia del Gobierno de España, 2013; Cabric, 2015).

No hay que olvidar, además que este enfoque aporta una visión más completa a la hora de minimizar los riesgos derivados de cumplimientos normativos como es el caso de la Ley de Seguridad Privada (Ministerio del Interior del Gobierno de España, 2014), la Ley Orgánica de Protección de Datos Personales de Carácter Personal (Ministerio de Justicia del Gobierno de España, 1999) o la Ley para la Protección de las Infraestructuras Críticas (Ministerio del Interior del Gobierno de España, 2011) de España.

Desde esta nueva visión de la seguridad, se debe analizar qué propiedades debe cumplir y en qué aspectos de nuestra vida tiene repercusión. Así, creemos que las tres cuestiones principales a considerar, desde un punto de vista conjunto y unificador, relacionadas con esta seguridad integral y que debe formar parte de los conocimientos de los profesionales de la seguridad, son las siguientes:

1.     Aspectos estratégicos y de gestión de la seguridad integral para aportar las bases de una visión conjunta de la seguridad, que habrán de ser complementadas con los puntos siguientes.

2.     Aspectos más concretos y esenciales de la seguridad física.

3.     Aspectos más específicos y básicos de la seguridad lógica.

Debido a las razones apuntadas anteriormente, la Universidad Internacional Menéndez Pelayo y el Consejo Superior de Investigaciones Científicas han diseñado y desarrollado en los últimos años, una oferta de formación en posgrado en esta línea, plasmada en el Máster en Gestión de Seguridad Integral[1] (MGSI).

Presentamos a continuación y de forma esquemática los ejes fundamentales del MGSI, y algunas de las cuestiones a considerar en cada uno de ellos, sobre los que debe basarse una formación adecuada para hacer frente a los desafíos presentes y futuros.

Aspectos estratégicos y de gestión del mundo empresarial y personal:

  • Gestión y organización de la seguridad integral
  • Gestión de situaciones de crisis y riesgos
  • Legislación, criminología y delincuencia

Aspectos relacionados con la seguridad física, tanto de personas como de instalaciones:

  • Protección física y electrónica
  • Protección civil, contra incendios y prevención de riesgos laborales
  • Seguridad patrimonial, de entidades y protección de personas

Aspectos que tienen que ver con la seguridad lógica de los activos y los datos, ya sean personales o empresariales:

  • Protección de la información y Criptología
  • Seguridad en redes y control de acceso
  • Seguridad en arquitecturas, desarrollos y operaciones de sistemas

4.     Conclusiones

Por lo comentado en las secciones anteriores, parece claro que el concepto de seguridad integral forma parte de nuestro quehacer diario, ya sea desde el punto de vista personal como empresarial.

A continuación resumimos los beneficios que esta nueva visión de la seguridad aporta:

  • Una aproximación integral a los riesgos de la seguridad personal o de una organización constituye una vía más completa y sólida que si se realizase por separado, dado que el análisis de las amenazas y vulnerabilidades sobre los activos puede proporcionar estrategias de gestión de los riesgos más eficaces y eficientes
  • La integración de las seguridades física y lógica aporta eficiencia y racionalización al proceso general de protección de activos, eliminando vacíos funcionales y promoviendo el ahorro de costes, ya sea mediante la eliminación o la reducción de gastos.
  • Esta seguridad integral redunda en una mejora de la cultura de la seguridad en la organización lo que puede facilitar la reducción del número de incidentes de seguridad, así como su intensidad.
  • Finalmente, cabe destacar el beneficio asociado al este enfoque como es la mejora en la reputación e imagen de la organización, tanto a nivel interno como externo.

Referencias

Cabric, M. (2015), Corporate Security Management. Challenges, Risks, and Strategies, Butterworth-Heinemann.

Ministerio de Justicia del Gobierno de España (1999), Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Madrid.

Ministerio del Interior del Gobierno de España (2011), Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, Madrid.

Ministerio del Interior del Gobierno de España (2014), Ley 5/2014, de 4 de abril, de Seguridad Privada, Madrid.

Presidencia del Gobierno de España (2013), Estrategia de Seguridad Nacional, disponible en http://www.lamoncloa.gob.es/documents/seguridad_1406connavegacionfinalaccesiblebpdf.pdf

Rahman, S.M., Donahue, S.E. (2010), Convergence of Corporate and Information Security, International Journal of Computer Science and Information Security, 63-68.

[1] Los autores de este trabajo son, respectivamente, el director y el secretario del Máster en Gestión de Seguridad Integral.

Más información en:

http://www.itefi.csic.es/es/master-seguridad-integral

http://www.itefi.csic.es/es/master-seguridad-integral

http://www.uimp.es/postgrado/estudios/fichaestudio.php?plan=P03G&any=2015-16&lan=es

Etiquetas: , , , , , , ,

Categorías: General