“Que la seguridad corporativa sea considerada más o menos relevante dependerá del valor que aporte”

¿Cuáles son las premisas sobre las que debe asentarse la seguridad corporativa de una entidad financiera?

La seguridad debe aportar funciones transversales que generen valor añadido y ofrecer una visión predictiva que ayude a la toma de decisiones operativas y estratégicas. Este departamento debe desplegar una estructura que permita conseguir el nivel adecuado de protección para las personas, el patrimonio y la reputación de la organización, asegurando a su vez la operatividad de los centros de trabajo.

Desde su llegada a la Dirección de Seguridad Corporativa de Banco Sabadell, ¿cuáles son los principales cambios que ha llevado a cabo para que el departamento se adapte a los retos actuales?

En línea con la argumentación anterior, hemos potenciado la función predictiva frente a la reactiva, de la que ya disponíamos. Hemos identificado e implementado funciones de soporte durante las 24 horas los siete días de la semana [en adelante, 24×7] en nuestro SOC, convirtiéndolo en un punto integrado de entrada, gestión y reporte de eventos de seguridad a nivel mundial. A su vez, como consecuencia de la singularidad de las responsabilidades propias de seguridad, hemos agrupando todas aquellas funciones que facilitan proporcionar servicios próximos a las posiciones de especial relevancia, criticidad y sensibilidad de la entidad.

¿Cómo se estructura el departamento de Seguridad Corporativa de Banco Sabadell?

El departamento se ha establecido sobre tres áreas básicas. La primera gestiona los hechos delictivos y la prevención del fraude, a la vez que se encarga de la validación normativa en la materia, la seguridad transaccional, los estudios delincuenciales, la inteligencia, la seguridad del personal, la protección en eventos y los servicios auxiliares de valor.

Una segunda área administra los proyectos, el mantenimiento de los sistemas de seguridad, las legalizaciones, las funciones del SOC y los servicios de vigilantes de seguridad y auxiliares.
La tercera área lidera los proyectos transversales de la entidad que comporten la participación de diversas direcciones corporativas, la responsabilidad sobre la implementación de la normativa que requiera cualquier tipo de regulación en materia de seguridad, así como la gestión presupuestaria y la búsqueda de la eficiencia.

¿Cómo integra el banco la seguridad física y la lógica en su estructura de seguridad?

La integración entre las seguridades física y lógica ha sido históricamente muy buena y fluida en nuestra entidad. La necesidad de aplicar ahora diversas normas sobre esta materia ratifica que los planteamientos iniciales eran los correctos, y que los procedimientos establecidos desde el Comité de Seguridad Integral –el máximo órgano operativo de gobierno y coordinación multidisciplinar en materia de seguridad– siguen siendo válidos.

Hemos establecido las medidas organizativas necesarias para que las dos direcciones, la de seguridad física y la de seguridad lógica, no sean juez y parte en los procesos de producción y operaciones. Actualmente se consideran órganos técnicos y consultivos con carácter auditor, tanto para validar la normativa y las propuestas sobre medidas paliativas a abordar en la aplicación de planes y campañas de seguridad, como a nivel de investigación forensic de incidentes tecnológicos o corporativos.

Al mismo tiempo hemos definido claramente qué personas y funciones se consideran un enlace funcional lógico entre Fuerzas y Cuerpos de Seguridad del Estado [FCSE], los interlocutores tecnológicos con la Administración y los reguladores nacionales e internacionales con los que interactuamos continuamente.

“Estamos ante un escenario de gran impacto regulatorio, organizativo y documental, pero con una clara visión preventiva”

No obstante, si nos focalizamos en la situación actual y analizamos la tendencia, tendríamos que considerar el concepto de “integración” en un perímetro más amplio, compuesto, como mínimo, por las actividades y responsabilidades en materia de seguridad corporativa, seguridad lógica, continuidad de negocio, gestión de infraestructuras críticas, prevención de riesgos laborales, mantenimiento y obras en centros de trabajo y riesgo operacional.

Si bien la protección de activos como las personas o las instalaciones son una prioridad para cualquier organización, ¿podría afirmarse que en entidades como Banco Sabadell la ciberseguridad, la continuidad de negocio o el compliance han ganado peso frente al concepto tradicional de seguridad?

Antes de contestar a la pregunta, hagamos una mínima referencia histórica para comprender la situación actual. Desde sus orígenes, la seguridad física fue el baluarte contra el robo, los atracos, el fraude operacional y, en general, de la protección de las personas y el patrimonio. La incorporación tecnológica comportó que se crearan los denominados “planes de continuidad tecnológicos” que básicamente estaban enfocados a la recuperación de los sistemas informáticos ante sus propios incidentes. La parte normativa priorizaba el cumplimiento sobre la actividad bancaria y, en paralelo, la aplicación de la legislación en seguridad privada.

A partir de aquí, y teniendo en cuenta la importancia capital de los canales remotos y de la operatividad 24×7 con nuestros clientes, se han ido requiriendo capas de gobierno que cubran esta necesidad para poder tener un sistema robusto, y así evitar disrupciones en nuestro servicio.

En cuanto a la seguridad tradicional, la física, la corporativa, también hemos evolucionado y debemos seguir haciéndolo. Participamos en todos los escenarios planteados anteriormente, aunque no sea una responsabilidad funcional directa. Ofrecemos servicios de vigilantes de seguridad, sistemas cada vez más sofisticados e integrados a nivel mundial, prestamos nuestras estructuras 24×7 para coordinar la seguridad en desplazamientos internacionales, incidencias meteorológicas, sociales o logísticas que pudieran afectar a centros de trabajo, utilizamos nuestra interrelación con los colegas del sector ante situaciones que pudieran concernirnos colectivamente y colaboramos como enlace natural con las autoridades policiales especialistas en cada materia.

La herramienta anticipativa que supone la inteligencia dentro de la dirección de Seguridad Corporativa puede jugar un papel decisivo para afrontar una amenaza, lo que refuerza nuestra posición.

En definitiva, que la seguridad corporativa sea considerada más o menos relevante dependerá del valor añadido que aporte.