Seguridad Corporativa Convergencia de seguridad física y ciberseguridad

Permítanme compartir mi primera experiencia en Seguridad Corporativa. En 1994, consultores internacionales asesoraban al CEO de una empresa cementera sobre la criticidad de salvaguardar la información de la organización. Se trataba de una compañía que empezaba su proceso de expansión entrando en el mercado global, por lo que el tema del riesgo para la información corporativa empezaba a ser relevante. Espionaje industrial, hackers o amenaza interna empezaban a ser los términos elegantes de la seguridad.

Así se creó la gerencia de Seguridad de la Información dentro de la dirección de Seguridad de esta empresa. Pero lo más relevante de este hecho fue que los mismos consultores recomendaron crear una gerencia de Seguridad Física como pieza clave para el proceso de seguridad de la información.

Lo más relevante de este proceso fue:

• Seguridad de la Información estaba fuera del área de Tecnología.
• Seguridad Física era soporte de Seguridad de la Información.
• Temas importantes: hacking ético, evaluaciones de vulnerabilidades de red e ingeniería social.

Así fuimos avanzando durante varios años, pero nunca logramos converger con los mismos objetivos o tomar los riesgos físicos como algo relevante para la seguridad de la información. Al final, el departamento de Seguridad de la Información fue absorbido por el área de Tecnología, lo cual considero no es sano al ser esta juez y parte.

Seguridad corporativa: convergencia exitosa

Durante los últimos 27 años de experiencia corporativa, el concepto de convergencia siempre ha estado puesto sobre las mesas de discusión, pero creo que con resultados muy diversos. Han sido pocas las empresas maduras en su visión de seguridad corporativa las que han logrado llevar esta última a cabo, rompiendo los silos y los egos funcionales para dar paso a una verdadera empresa segura, pues esta convergencia debe incluir a otras áreas críticas como Control Interno, Cumplimiento, Continuidad de Negocio y hasta Recursos Humanos.

En mi caso, logré llevar a cabo esta convergencia de forma exitosa cuando tuve a mi cargo la dirección ejecutiva de Seguridad e Inteligencia de una institución financiera. En mi área de Investigaciones incluí a ciberinvestigadores que desarrollaron programas de soporte e investigación con la función de Tecnología. Y trabajamos de la mano con Ciberseguridad en procesos de prevención e investigación.

Hoy día llevamos el mismo proceso, incluyendo esta capacidad y conocimiento tecnológico, en la dirección de Seguridad de Codere. Esto trae una nueva propuesta de valor para la seguridad corporativa acorde a los nuevos tiempos y proyectos de la organización.

Beneficios de la convergencia

Converger significa integrar objetivos y recursos hacia una misión específica. Al converger la seguridad física con la ciberseguridad, se deberán alinear esfuerzos hacia un objetivo común que sería lograr que una empresa sea más segura. Esto conlleva lograr una cooperación coherente entre dos funciones que normalmente trabajan de forma diacrónica.

La convergencia no implica perder la esencia de la misión de las dos funciones. Solo conlleva llevar a los equipos de cada una a definir una misión con metas claras que fomenten la colaboración y comunicación.

Hoy día, el desarrollo del Internet de Cosas (IOT, por sus siglas en inglés) o la Internet Industrial de Cosas (IIOT, por sus siglas en inglés) llevan a un escenario donde las amenazas de ataques son híbridas, dado que la red de los sistemas ciberfísicos (CPS, por sus siglas en inglés) obligan a desarrollar un programa coherente de convergencia.

Esto se hace obvio cuando atiendes la seguridad de sistemas esenciales como los financieros, energéticos, de transportes, etc., donde la falla en el soporte de un proveedor crítico puede impactar la operatividad de tus sistemas tecnológicos. O un desastre natural puede traer la pérdida de operadores esenciales o instalaciones críticas. Ya sea de forma preventiva o como parte de un plan de continuidad de negocio, la seguridad física y la ciberseguridad deben trabajar de forma coordinada.

Como beneficios de la convergencia se pueden considerar los siguientes:

• Una visión integral de las amenazas a la empresa que permita definir la posición y criterio de seguridad corporativa de la organización.
• El desarrollo de una estrategia holística que alinea la administración de amenazas y riesgos.
• La eficiencia de esfuerzos incrementa la productividad y la optimización del uso de recursos.
• Desarrollo de la base de conocimiento a través de la capacitación mixta (física/cíber).
• Un proceso eficiente de comunicación y cooperación durante el manejo de contingencias.
• Una propuesta de valor a la empresa que permee la cultura de seguridad organizacional.

Esta propuesta lleva a una convergencia que no solo alinea a las áreas de seguridad, pues atrae a otras funciones de control y soporte que se alinean en temas de cumplimiento, continuidad de negocio y administración de riesgos. La tabla siguiente presenta un ejemplo:

Consideraciones finales

Como mencioné anteriormente, como director de Seguridad Corporativa siempre he tratado de escalar la propuesta de valor del área, considerando que la convergencia trae beneficios tangibles a la organización al poder explicar cómo una visión integral conlleva a la eficiencia, la optimización de recursos y una administración de pérdida clara. Y así, a través de este concepto siempre he buscado posicionar los servicios y soporte de seguridad con las áreas críticas de la empresa.

En mi desempeño, tanto a nivel global como nacional me ha tocado vivir situaciones como las siguientes:

• Ciberseguridad opera de forma independiente, dejando la parte humana del incidente fuera de la ecuación del problema. Y cuando se topan con este elemento, convoca a Seguridad Física, pero ya con un desfase en el proceso de investigación, donde esta se complica o ya no es eficiente.
• En situaciones se quiso calificar como ciberataques a temas netamente físicos y que conectaban con puntos lógicos, lo que desvió la búsqueda de soluciones en tiempo y provocó un proceso de atención ineficiente y el incremento brutal en pérdidas.
• Se desarrollan planes de continuidad para situaciones críticas, sin incluir la visión de Seguridad Física, que resulta será la que opere estos planes.
• La función de Tecnología absorbe a Ciberseguridad volviéndose juez y parte, aislándose de las demás funciones. Especialmente, en investigaciones.
• Ciberseguridad se enfoca en las amenazas externas y atiende poco la amenaza interna, siendo muchas veces sus propios recursos los puntos vulnerables.
• No se le da el peso real a la amenaza interna por considerarse algo no probable por parte de Recursos Humanos o de las funciones de control, considerando que son el fraude y el abuso de confianza los únicos riesgos que atender.
• Los elementos de Ciberseguridad son los que menos atienden los criterios de seguridad física básicos para la eficiencia de un sistema de administración de Seguridad de la Información.

Todas estas experiencias conllevaron al manejo ineficiente de incidentes y en muchos casos pérdidas muy importantes. Un plan de coordinación o un programa de convergencia habrían evitado estas situaciones o mitigado las pérdidas económicas. Hoy estas pérdidas deben considerar el impacto en la imagen y el incumplimiento de normas o un desgaste interno, en especial cuando el atacante resulta ser un elemento interno.

Estudios realizados sobre este concepto llevan a considerar que, a pesar de los beneficios expuestos, el concepto de la convergencia no se lleva a cabo a nivel mundial, donde el CSO y el CISO se mueven en paralelo. La falta de liderazgo, los cotos de poder y el ego funcional siguen siendo los principales detractores del concepto.

En lo personal considero que, aunado a lo anterior, sucede lo siguiente:

• Alcance limitado de Seguridad Física en sus roles corporativos y, por ende, capacidades y servicios, centrándose en los temas básicos de control físico para Seguridad de la Información. En muchos casos, Seguridad Física no tiene un área robusta de Investigaciones, donde el integrar a elementos con conocimiento y capacidades para ciberinvestigaciones forenses conlleva la propuesta de convergencia con Ciberseguridad. Esto se vuelve más relevante, pues, ¿quién investiga a la gente de Tecnología?
• La lucha interna donde Tecnología quiere llevar el control de Ciberseguridad. También la lucha por los recursos y el ego profesional mantienen a Ciberseguridad operando en paralelo de Seguridad Física.
• Esto lleva a una falta de visión estratégica de Seguridad Corporativa que incluya a Seguridad Física en sincronía con Ciberseguridad.

Concepto común de seguridad corporativa

Hoy día, se requiere una visión diferente de Seguridad Corporativa, donde Seguridad Física y Ciberseguridad promuevan una propuesta de valor conjunta que permita trazar objetivos comunes dentro de una visión estratégica, con una cultura enfocada en una empresa segura, exitosa pero resiliente.

La convergencia no tiene un modelo específico, lo que obliga a un diseño específico por empresa donde el área de Seguridad física deberá hacer el primer acercamiento a Ciberseguridad, siempre y cuando desarrolle las capacidades necesarias para ser escuchada.

Creo que la convergencia es una solución real, es el camino correcto. Pero llevará tiempo considerarla como un concepto común de seguridad corporativa.