Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.
Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.
Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…
Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.
Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…
¿En otros países existen estas leyes y cargos oficiales? Desde la total ignorancia… yo diría que la seguridad en general se legisla porque en ciertas situaciones impacta a las personas (físicamente), pero la seguridad informática “solo” tiene un impacto sobre la información.
Puestos a legislar cargos profesionales, se podría extender a cualquier otra profesión y acabaríamos siendo todos funcionarios.
Lo que comentas de que la seguridad informática sólo tiene un impacto sobre la información es muy relativo. En última instancia, el impacto siempre se traslada a la persona.
Imaginemos primero un robo de identidad; obviamente la información es “sólo” información, pero el impacto recae sobre la persona, no sobre la información. Forzando la analogía, el impacto inmediato de un accidente automovilístico es sobre el coche, pero en última instancia se traslada a sus ocupantes, de ahí la importancia de evitarlos.
La información no es nada en sí misma; es (en general) tan sólo la representación lógica de una situación real, lo cual no significa que el impacto no sea real. Violar la cuenta de correo de una persona puede no tener importancia, o dar lugar a situaciones de abuso o chantaje. El impacto de la seguridad informática (casi) siempre se traslada a consecuencias reales sobre las personas, bien de carácter físico o psicológico.
Hola JaS
Creo que la idea no es tanto legislar cualquier cargo profesional, sino que aquellos que están legislados de alguna forma -en este caso, los relativos a seguridad- se actualicen a los tiempos que corren… eso no implicaría -IMHO- convertirnos todos en funcionarios, sino que determinados roles, y por tanto sectores, pudieran estar más controlados (al menos en teoría) y regulados, algo que puede ser bueno… pero también malo, porque un sector así puede acabar convirtiéndose en un círculo muy cerrado al que no se permita la entrada a nuevos miembros -algo que acaba repercutiendo siempre en la calidad del servicio-.
Saludos
T
En primer lugar felicitar a Antonio Villalón por la agudeza que le caracteriza cuando de adecuar la seguridad a la realidad se trata. Cuando la Policía española se dió cuenta de que no podía con sus propios recursos cubrir la siniestralidad de las empresas, nace la Seguridad Privada, Ley 23/1992. Con esta Ley obliga a determinandas empresas a tener seguridad “por Ley”. Este fue un gran acierto por que hizo descender la siniestralidad de entonces, fundamentalmente los atracos en las entidades financieras que bajaron de casi 7000 a 500 al año. Pero también fue un gran error, porque acostumbró a las empresas de nuestro país a tener “seguridades” sólo por el cumplimiento normativo, de tal forma que ahora cuando no lo dice una Ley nadie hace nada. Esta ha sido la razón de cuando el legilsador quiere que algo funcione, incluye la obligación de la existencia de un cargo o de un departamenteo concreto, como sucede con el Departamento de riesgos Laborales o el de Blanqueo de Capitales, o el de Seguridad en las entidades financieras. Las autoridades policiales aún no perciben la tecnoloigía TIC como fuente de riesgo como podría ser un robo con violencia o intimidadción y por eso no extienden su amparo de cobertura a eso que yo he bautizado en alguna conferencia como “delincuencia informacional”. Yo soy Director de Seguridad Integral de una Entidad financiera y desde hace años me debato entre la incomprensión de Altos directivos y policias anclados en el pasado. Esta es la situación real.
Hola!
Muchas gracias en primer lugar por las felicitaciones :)
Completamente de acuerdo con tu comentario, en especial en lo relativo a entidades financieras (lo de policías anclados en el pasado lo conozco a la perfección :( Es bastante triste que, como dices, las autoridades no perciban aún el riesgo tecnológico -o cualquier otro, no sólo el TIC- como algo que realmente puede hacer daño a una organización o, incluso, a un sistema como el financiero (que recordemos, es infraestructura crítica). En eso vamos, como siempre, a años luz de los anglosajones (FS-ISAC, WARP…) y lo peor de todo es que, si no cambiamos, tendrá que pasar algo “gordo” para que alguien se de cuenta de esto y tome cartas en el asunto… mientras tanto, como dices: incomprensión por parte de mucha gente…
Saludos
Toni