El presente artículo está dirigido a personal técnico y responsables en materia de seguridad que quieran dedicar unos minutos a reflexionar sobre el creciente peso del cumplimiento normativo en la gestión de riesgos y la resiliencia organizacional; y como este, afectan a la imagen corporativa y el desarrollo del negocio independientemente del sector en que se desempeñe la actividad profesional. Por ello, si no está familiarizado con los conceptos anteriormente expuestos, y es de su interés indagar en las necesidades de cumplimiento normativo para su negocio y sus interacciones con la seguridad del mismo, se le recomienda el artículo “Seguridad y cumplimiento normativo, juntos y necesariamente revueltos”, el cual aborda los temas que se exponen a continuación desde una perspectiva menos técnica y reflexiva, y con un carácter mayoritariamente explicativo.
El objeto del presente artículo es profundizar, de la forma más escueta y somera posible, en la cada vez más evidente y necesaria interrelación entre la seguridad de las organizaciones y el cumplimiento normativo. A través de una breve introducción al desarrollo de la transformación conceptual que ha sufrido la seguridad en las últimas décadas, y cómo esta trasformación ha llevado a la concepción de la seguridad bajo un enfoque holístico que aglomera multitud de frentes de actuación en base a la demanda social y legal. Centrándonos posteriormente, en la preocupación por la seguridad de las corporaciones empresariales, y el cómo debe ser entendida la misma, analizando parte del conjunto de este enforque holístico de la seguridad, incluyendo, la seguridad física, la ciberseguridad y el cumplimiento normativo. Para ello, a través de algunos ejemplos, evidenciaremos cómo dicho enfoque, o la falta de este, puede influir de cara a minimizar los riesgos, mejorar la resiliencia organizacional y asegurar la continuidad del negocio.
A lo largo de los años el concepto de la seguridad ha sufrido una importante evolución, en base principalmente a tres factores, el desarrollo tecnológico, la apreciación de los riesgos y su globalización; y la creciente preocupación social por la gestión de riesgos en demanda de su seguridad. Dichos factores han derivado en que la seguridad abarque cada vez más áreas de desarrollo, puesto que, se ha pasado de una concepción de la seguridad preocupada principalmente por la gestión de riesgos locales y el desarrollo e implementación de medidas de protección físicas a las instalaciones; a una visión de la seguridad, enfocada en la responsabilidad social. Tras la evidente globalización de los riesgos y su afección a la sociedad como conjunto, apoyado en el desarrollo del enfoque de la seguridad humana (Informe sobre el desarrollo Humano, PNUD, 1994). Este desarrollo conceptual y cambio de paradigma se refleja a su vez en un continuo desarrollo legal y normativo que exige a las organizaciones una mayor preocupación por la gestión de riesgos y la seguridad.
Podríamos decir entonces que la seguridad de las organizaciones, entendida como la correcta gestión de sus riesgos es, mayoritariamente, una demanda social reflejada en parte a través de la normativa legal y regulatoria. Esta es evidente cuando se ponen sobre la mesa conceptos tales como riesgo reputacional, imagen corporativa o reputación de marca, y cómo los incidentes de seguridad afectan considerablemente a estos generando un impacto directo sobre el desarrollo de negocio y, por ende, en la facturación de las organizaciones. Pues la merma de confianza en la organización hace que, desde una perspectiva puramente económica, el impacto de un incidente de seguridad no se limite únicamente al valor monetario de la recuperación de los activos afectados por el incidente, si no también, a los perjuicios a la facturación durante el mismo, y la perdida de beneficios derivados del detrimento la cuota de mercado a consecuencia de este. Además, de las repercusiones económicas derivadas de las posibles sanciones por incumplimiento legal, en caso de demostrarse que dicho incidente ha sido derivado de una falta de medidas de seguridad o, una mala aplicación de las misas.
Cabe destacar, en materia de seguridad de la información y ciberseguridad, cómo desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las repercusiones del incumplimiento legal y regulatorio se han multiplicado considerablemente. Así pues, si analizamos los datos de las sanciones emitidas por la AEPD en los últimos tres años, vemos como ha habido un creciente aumento en el número de sanciones y un importante endurecimiento en el importe económico de estas. Durante 2021 ha habido sanciones con importes mayores a la suma de los importes de las sanciones totales de los dos años anteriores. Tendencia que, realizando una breve comparativa con el contexto europeo en la materia, no cabe duda continuará aumentado.
Por todo ello, se hace necesario para las organizaciones preocuparse por la seguridad para asegurar su continuidad de negocio y su posicionamiento en el mercado, en base a la gestión de sus riesgos, disminuyendo su vulnerabilidad y aumentando su resiliencia ante la afección de incidentes de seguridad y crisis reputacionales. Y es en base a asegurar dicha continuidad y posicionamiento empresarial en la que una concepción integral de la seguridad, desde una perspectiva holística, es primordial para la identificación y gestión de riesgos.
Una perspectiva holística de seguridad significa proveer a la organización de los mecanismos necesarios para enfocar las distintas áreas de la seguridad como un todo, proveerla de una visión de conjunto que consiga identificar los riesgos que le afectan y sus interrelaciones, incluir la gestión de riesgos desde el diseño en cada uno de los proyectos de la organización; y mantener un equilibrio constante entre las medidas de seguridad físicas, la ciberseguridad y el cumplimiento normativo. Todo ello desde una perspectiva tanto económica, preocupándose por los beneficios para la organización; como ética, preocupándose por mantener los niveles de seguridad y el compromiso demandados por la sociedad. A priori, se puede pensar que este enfoque requiere una mayor inversión, pero lo que realmente requiere es un mayor análisis en el diseño de la seguridad, las medidas a implementar, su eficiencia y eficacia.
La implementación de este enfoque requiere principalmente centrarse en dos objetivos operativos para la seguridad, el equilibrio entre las distintas áreas y la mejora continua. Es decir, de nada vale tener unas instalaciones con maquinarias de última generación protegidas por los mejores dispositivos del mercado en seguridad física y gestión de accesos vallados perimetrales, sensores, cámaras, etc., si el sistema de control que los gestiona está obsoleto y no cuenta con soporte técnico de seguridad, o si no tenemos un sistema de ciberseguridad que lo proteja frente a amenazas cibernéticas y cumpla con los requisitos legales. Por el contrario, tampoco sirve de nada grandes inversiones en equipos cibernéticos e implementaciones de CPDs, Firewalls, etc., si no atendemos a las condiciones de seguridad física de estos equipos, en habitaciones acondicionadas para ello, con elementos de resistencia al fuego, climatización, etc. De nada nos sirve tener una instalación con mil cámaras de seguridad en alta definición, si sólo tenemos una persona detrás del control de dichas imágenes; o implementar medidas de backups de los sistemas informáticos en el mismo entorno físico y cibernético que nuestro elemento principal; o almacenar los equipos de red en armarios de seguridad en las zonas de paso y dejar las llaves puestas en dicho armario. Puede parecer que este tipo de situaciones son una exageración, pero la realidad es que siendo honestos, si estamos atentos a nuestro alrededor es el día a día de muchas organizaciones. Por ello, un enfoque holístico de la seguridad, centrado en la equidad y la mejora continua debe tener en cuenta todos los aspectos de manera conjunta y priorizar las inversiones en seguridad de manera equitativa, previniendo gastos innecesarios, anticipándose a gastos futuros y adecuando las inversiones al cumplimiento normativo.
Por su parte, en lo que al cumplimiento normativo se refiere, en el ámbito de la consultoría nos encontramos día a día con organizaciones que basan la adjudicación de sus contratos únicamente en el criterio económico, decantándose por aquellos proveedores que implementan los sistemas de gestión de seguridad a un menor importe, el cual normalmente se reduce de las acciones necesarias para la implementación real de las políticas y procedimientos diseñados, la formación al personal y las acciones de concienciación. La realidad de dichas organizaciones suele ser que lo que reflejan sobre el papel dista mucho de su operativa real, y que las implementaciones de seguridad no llegan nunca a ponerse en práctica. Cuentan con procedimientos y procesos definidos que su personal desconoce y criterios de seguridad no aplicados en sus instalaciones. En estos casos, ante un incidente de seguridad, y una posible sanción, no vale únicamente con contar con las certificaciones vigentes, también se debe demostrar que esas certificaciones se sustentan con la operativa diaria y que el cumplimiento es real.
En conclusión, Las pérdidas económicas de un incidente de seguridad para una organización son la suma del coste del impacto del incidente en primera instancia, el detrimento de los posibles ingresos no percibidos por la pérdida de cuota de mercado y las sanciones derivadas de las consecuencias de un posible incumplimiento legal. La mejor forma de protegerse ante dichos incidentes es mantener un enfoque holístico de la seguridad que permita una simbiosis entre las diferentes disciplinas, sistemas y áreas que influyen en la misma para desarrollar los mecanismos necesarios para el diseño e implementación de planes de actuación y mejora continua en base a un modelo de equidad, eficacia y eficiencia que se adapte a las necesidades y posibilidades de cada organización.
Global Technology cuenta con profesionales, expertos en los diferentes ámbitos de la ciberseguridad, la seguridad de la información, la seguridad corporativa y el cumplimiento normativo, que conforman equipos de trabajo multidisciplinares, permitiéndole prestar a sus clientes servicios de seguridad integral que proporcionan dicho enfoque holístico a la seguridad corporativa, teniendo en cuenta los diferentes factores de riesgos en todos sus proyectos y ofreciendo soluciones adaptadas a sus necesidades.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.