seguritecnia 442

SEGURITECNIA Mayo 2017 107 Cumplimiento Normativo que desarrollan o a la que al menos con- tribuyen los profesionales de seguridad de cualquiera de las áreas en que esté compartimentada en la empresa, im- plantando, por ejemplo, controles de ac- ceso tanto físico como lógicos a las insta- laciones, archivos o sistemas de informa- ción, así como la monitorización de los mismos, etc. En el mismo sentido, hay que men- cionar otras normativas que exigen de forma especial medidas de seguridad, de las que responde el director de segu- ridad, como la de infraestructuras críti- cas, continuidad de negocio, etc. A lo anterior hay que añadir otras nor- mativas, a priori ajenas a las áreas de se- guridad, pero que cada vez incluyen entre sus requisitos la implantación de medidas, en su mayor caso, pero no ex- cluyente, de control de acceso a la infor- mación y, en general, preventivas y reac- tivas de seguridad. Así, por ejemplo, exis- ten normas financieras 3 , Ley Sarbanes Oxley de USA (Ley SOX) 4 , normas COSO 5 , normativa de medios de pago, de trans- parencia internacional, etc. Por último, si nos fijamos en el catá- logo de delitos que son susceptibles de provocar la responsabilidad penal de la empresa, convendremos en que la gestión del área de seguridad incide di- recta y decisivamente en la prevención y control de muchos de los mismos. Con- secuentemente, hay que mencionar la responsabilidad legal, en algunos casos incluso penal, que soportan los profesio- nales de la seguridad privada. O sea, la responsabilidad legal que parece impul- sar todos estos procesos no es ajena a la gestión de la seguridad. Aportación experta Creo que todos estaremos de acuerdo en que el sistema de compliance no puede quedarse en un mero catálogo de principios o de preceptos internos con la obligación genérica de su cum- plimiento para todos los empleados. Si sólo se queda en esto no pasaremos del plano teórico. Un diseño así podrá es- tar muy bien porque demuestra cierta preocupación por el tema en el seno de la empresa, pero si queremos ser real- mente efectivos, es decir, si se tiene el firme compromiso, más allá de la mera declaración de principios y de la política, de que en nuestra organización se com- bata el riesgo de incumplimiento en ge- neral y en particular el riesgo de que la propia empresa incurra en responsabi- lidad penal, hay que implantar todo un proceso de gestión de riesgos que in- cluya la identificación de riesgos, la im- plantación de medidas preventivas y de control, la monitorización de las mismas y la respuesta a incidentes. En este aspecto particular ha incidido la reforma del CP introducida por la LO 1/2015, que establece como atenuante, e incluso eximente, la implantación de estas medidas de control, llegando a dar pautas de gestión para su diseño y aplicación. En consecuencia, este tipo de medi- das tienen que ir más allá de las meras declaraciones de principios, códigos éti- cos o de los catálogos de actividades prohibidas, aun sustentándose en los mismos. Exigen acciones ejecutivas, ge- neralmente de alto perfil técnico, para evitar, detectar e identificar los posibles incumplimientos o situaciones que pue- den desembocar en los mismos. Ámbito tecnológico Dado que en nuestro mundo digitali- zado los sistemas de información so- portan la inmensa mayoría de los pro- cesos de una empresa, dichas medidas requieren el concurso de expertos cua- lificados y abarcan desde el ámbito fí- sico al tecnológico. Así, son las áreas de seguridad las capacitadas para estable- cer controles que eviten y alerten sobre accesos no permitidos a los sistemas de información, fugas de información y da- tos, ataques a los sistemas e intentos de vulnerarlos o sobre actuaciones anor- males del personal, susceptibles de lle- var a la comisión de un delito o a un mero incumplimiento. A su vez, si se hubiera de recurrir a servicios externos, son estas áreas las capacitadas para su control y gestión etc., pasando por la monitorización La efectividad del sistema de com- pliance requiere, además, acciones pre- ventivas, y dentro de las mismas pode- mos pensar en acciones formativas e informativas, de gestión de personal, o la encaminadas a verificar la fiabili- dad de las personas que ocupan pues- tos clave, etc. Pero, además de las medidas preven- tivas y de protección y control, aún hay que tener en cuenta otro factor para cerrar e implantar un sistema de com- pliance realmente efectivo: la investiga- ción, como parte de la respuesta a un in- cidente, ya fuera posible o real. Es obvio que debemos saber qué es lo que real- mente ha pasado y se deben recopilar pruebas para que la acción punitiva fun- cione, y con ello su finalidad disuasoria y de reparación del daño, en su caso. La necesidad de que la empresa in- vestigue y aporte pruebas ante con- ductas que pudieran llevarla a incurrir en responsabilidad penal es reforzada por el propio Código Penal en tanto en cuanto lo considera atenuante, en vir- tud de la reforma de 2015. Así, en el ar- tículo 31 quater en su letra b, menciona como atenuante “haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos”. A nadie se le escapa que las investiga- ciones internas deben contar con el con- curso de personal experto, personal que suele encontrarse en los departamentos Los responsables de seguridad deben intervenir con un papel relevante en el proceso de ‘compliance’