seguritecnia 441

32 SEGURITECNIA Abril 2017 Seguridad Corporativa sos dentro de las propias organizaciones y, de hecho, es en sí mismo un proceso para gestionar de forma efectiva y efi- ciente, tanto proactivamente como reac- tivamente, el amplio espectro de los ries- gos de seguridad actuales. Este proceso identifica y cuantifica las amenazas, esta- blece los planes de mitigación, define las prácticas para la aceptación del riesgo, gestiona los incidentes y apoya a los di- ferentes propietarios de los riesgos (que en la mayoría de los casos no es el de- partamento de Seguridad) en sus esfuer- zos para minimizarlos. Respecto a su área de responsabili- dad, un departamento de Seguridad que opera bajo los criterios del ERSM trabaja en paralelo con las misiones de otras funciones que tienen también el tratamiento del riesgo como razón de ser. Éste es el caso de Auditoría in- terna, Cumplimiento normativo o depar- tamento Legal, con las que Seguridad comparte conceptos y principios funda- mentales, así como criterios de funciona- miento: alcance, autoridad, independen- cia y, en cierta medida, transparencia. Estas funciones son complementarias, no excluyentes o sustitutorias, aunque haya espacio para mejorar en la colabo- ración e incluso optimizar algunas po- sibles sinergias o multiplicadores de re- cursos. Sin embargo, en la encuesta de 2010, el 90 por ciento de los CSO y el 83 por ciento de todos los encuestados afir- maba que ya existía una superposición entre seguridad y cumplimiento que se iba incrementando progresivamente. El nuevo rol de Seguridad bajo el en- torno ESRM es inminentemente proac- tivo; monitoriza los riesgos para asegu- rar que sus impactos están dentro del nivel de tolerancia establecido por la or- ganización –se espera que este nivel sea aceptable, aunque no siempre es así–; proporciona el conocimiento espe- cializado en las áreas de mitigación del riesgo; y ejecuta éstas en apoyo del ne- gocio. Por su parte, los responsables del negocio, de la empresa (CEO, CFO, COO y otros) y los miembros del consejo de administración deben comprender la función de seguridad en su misión de ayudarlos a conseguir sus objetivos, lo que requiere una simbiosis que no es tan habitual como debiera; deben definir un nivel aceptable de tolerancia al riesgo, lo que requiere conocimientos y criterios en esta compleja área; deben tomar de- cisiones adecuadas en seguridad –para ello se espera que dispongan de los es- pecialistas adecuados–; y por último, de- ben apoyar con el máximo compromiso a la función de seguridad en las acciones de mitigación del riesgo. Ventaja competitiva Bajo las condiciones del ESRM, el depar- tamento de Seguridad puede represen- tar una ventaja competitiva integrán- dose en el producto o servicio y, por esta vía, convertirse incluso en un gene- rador de beneficio a través de la reduc- ción de los costes y la protección de los ingresos, aunque más difícilmente por la del incremento directo de éstos. El argu- mento utilizado durante años para de- fender la seguridad como un centro de beneficios y no como un gasto, enfati- zando el posible coste potencial si algu- nas cosas ocurrieran, ha tenido una efec- tividad muy limitada. Primero, porque nunca se ha tenido en cuenta el factor oportunidad. Segundo, porque la mayo- ría de las acciones de seguridad no son cuantificables; quizás aquí se encuen- tre subyacente el valor de las métricas en seguridad tan poco utilizadas. Y tercero, porque muchos profesionales no en- tendían como generan ingresos sus or- ganizaciones. Una vez más, quizás bue- nos conocimientos especializados, pero pocos relacionados con la empresa. Es una ironía, pero la “seguridad se ha con- vertido en algo tan importante que no puede ser gestionada solo por exper- tos en la materia”, como afirma el doctor Erwann Michel-Kerjan, responsable del área de gestión de riesgos y procesos en la toma de decisiones de la prestigiosa Universidad de Wharton (Estados Uni- dos) en el prólogo de la encuesta men- cionada con anterioridad. El ESRM permite a las organizaciones optimizar sus recursos, ser más inteli- gentes sobre sus capacidades y vulne- rabilidades y además proyectar sus cos- tes de riesgo de una manera más for- mal y precisa. La seguridad no es un lujo sino una condición necesaria para ope- rar en el contexto actual. Lleva en con- tinua evolución desde hace una vein- tena de años, prácticamente los mismos desde el comienzo de la globalización, del estallido del terrorismo internacional y la extensión masiva del crimen orga- nizado, de la llegada de los nuevos ries- gos tecnológicos y de los cambios del modelo en la cadena de suministros, en- tre otros factores. Y lo está haciendo a un ritmo que no todos los profesionales quieren o pueden seguir. Es otro con- texto y diferentes condicionantes que requieren capacidades y enfoques di- vergentes de los anteriores. En 2005, las asociaciones ASIS, ISACA e ISSA (Asociación de la Seguridad de la Información), bajo la coordinación de la consultora Booz Allen Hamilton, sentaron las bases de la convergencia en seguridad. Solo unos meses antes, ASIS International había definido el per- fil del CSO como un marco estratégico para gestionar los riesgos de seguridad en las organizaciones. Ahora le toca el turno a los fundamentos de la profesión de seguridad corporativa en una revi- sión y enfoque sobre el valor añadido que le puede proporcionar a las empre- sas el ESRM, el nuevo paradigma de se- guridad. Pero este proyecto no es un destino sino un viaje; no es un evento, sino un proceso. S El ESRM surge para asegurar que los riesgos de seguridad son también adecuadamente identificados, considerados y tratados