La convergencia de las “seguridades”

12 de julio de 2007 Por

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

La convergencia proporciona a las organizaciones unos beneficios claros en materia de seguridad, como son la visión holística del riesgo, la reducción de costes o la existencia de un punto único de referencia (el CSO) en la materia. Viene catalizada por diferentes factores, entre los que es necesario destacar la convergencia tecnológica (elementos TIC que por sí ya difuminan las diferencias entre “seguridades”: cámaras CCTV controladas vía TCP/IP, sistemas de autenticación únicos para accesos físicos y lógicos, etc.), o la existencia de amenazas comunes en todos los frentes. Por contra, a la hora de converger nos encontramos ante barreras que en muchos casos son difíciles de superar (sensación personal de pérdida de poder en la organización, áreas de conocimiento diferentes, etc.), siendo la mayor de todas ellas la diferencia cultural que existe entre las “seguridades” particulares: por ejemplo, el personal de seguridad TIC siempre ha visto al de seguridad física como “la gente de pistola en mano”, y éstos últimos a los primeros como los tecnólogos que solucionan todo con ordenadores; obviamente esta visión no es correcta en la actualidad, pero por experiencia, podemos decir que aún se mantiene en muchas ocasiones.

Finalmente, es necesario destacar que la convergencia de la seguridad en las organizaciones requiere de una figura clave a la que ya se ha hecho referencia: el Director de Seguridad (CSO, Chief Security Officer); las competencias y habilidades básicas de esta figura para garantizar la protección activa de todos los activos de la organización y la respuesta correcta ante los incidentes que en la misma se produzcan son cada vez más críticas, por lo que la figura del CSO en la actualidad debe ubicarse sin duda en un nivel ejecutivo y de liderazgo, de forma que el Director de Seguridad sea capaz de garantizar de forma eficaz el nivel de riesgo reputacional asumible, la disponibilidad de las infraestructuras y de los procesos de negocio, la protección de los activos tangibles e intangibles, la seguridad de los empleados y la confianza de los terceros en la organización.

Programa Santiago

11 de mayo de 2007 Por

Supuestamente, el próximo año estará plenamente operativo el Programa Santiago (Ministerio de Defensa), cuyo objetivo principal es la captación de emisiones electromagnéticas y de imágenes en las zonas definidas como de interés estratégico para la seguridad nacional (Ingeniería de Sistemas Aplicada, capítulo 5: Análisis de riesgos durante la evaluación de ofertas en el programa Santiago). Poco sabemos de este programa, iniciado en 1986, clasificado secreto y del que apenas podemos encontrar información oficial (con excepción de los presupuestos que cada año se asignan al mismo), pero todo apunta a que se trata de la versión española de ECHELON.

Uno de los -presuntos- pilares de este programa es la estación de seguimiento de satélites Fresnedillas-Navalagamella (con un acceso físico fuertemente controlado por personal que impide incluso la toma de fotografías, doble valla y cámaras de seguridad); este centro -se pueden ver sus imágenes en Google Earth- dispone de al menos cinco antenas de unos 18 metros orientadas al sur. Si a estos datos unimos una de las conclusiones del informe final elaborado por la comisión europea que estudió ECHELON, que en su apartado 5.2.3 indica explícitamente que «si en una ubicación se encuentran dos o más antenas de recepción de satélites con un diámetro superior a 18 metros, una de sus tareas es la interceptación de comunicaciones civiles», parece obvio a qué puede dedicarse la estación mencionada.

¿Existe realmente un nivel de confidencialidad aceptable en nuestras comunicaciones? A priori, ni a los militares ni a los servicios de inteligencia les interesan de forma especial nuestras comunicaciones electrónicas (espero que dediquen su tiempo a interceptar comunicaciones que realmente puedan afectar a nuestros intereses globales, como las de grupos terroristas, las de países “poco amigos” o las de países “amigos”), pero si esos datos cayeran en otras manos estaríamos ante un grave problema. ¿Cómo se garantiza la seguridad en este caso? ¿Quién vigila al vigilante? Sin duda, es algo que deberíamos empezar a plantearnos…

Para saber más de este y otros temas, es muy recomendable el libro “Libertad Vigilada”, de Nacho García Mostazo (Ed. B), que aunque data de 2002 -una eternidad en nuestra era informática- sigue siendo de lo poquito publicado al respecto en nuestro país.

[Actualización 18/05/2007. Para los escépticos ávidos de fuentes “fiables”, aquí va un enlace al programa Santiago en la web del Ministerio de Defensa]