Ya era una corriente que venía sonando con anterioridad pero, desde la aprobación de la Ley 8/2011 para la Protección de las Infraestructuras Críticas, la gestión integral de la seguridad es una necesidad / obligación para los operadores de este tipo de infraestructuras.
No es que sea un tema muy complejo, pero un perfil de profesionales muy diferente, una tradición dentro de las compañías con dependencias completamente dispares unidas a las reticencias de las personas a salir de sus áreas de confort, hacen que no sea trivial abordar esta gestión integral de la seguridad en las organizaciones.
Dejando al margen estas problemáticas, vamos a decir que, de contexto, gestionar de manera integrada la seguridad física y la de la información y la ciberseguridad es relativamente sencillo puesto que los procesos son prácticamente idénticos, aunque es cierto que con algunas particularidades derivadas del hecho de que el tipo de seguridad gestionada es distinta.
De forma genérica, el proceso de gestión integrada de seguridad podríamos considerar que está compuesto por las siguientes actividades comunes:
- Planificación y control presupuestario
- Elaboración de normativas
- Preparación de planes
- Gestión de riesgos
- Operación de la seguridad
- Tareas de control interno
- Consultoría interna
- Comunicación (formación y concienciación)
- Mejora continua (inteligencia, I+D+i, análisis de incidentes…)
Respecto a la operación, mientras que en la parte física se suele hacer dentro del mismo área, en la parte «lógica» existe la opción de que sea realizada por otra unidad, normalmente de tecnología, lo cual puede ocasionar ciertas diferencias de planteamiento entre una unidad más estratégica y otra más operativa, pero, aclarado esto desde el principio, el proceso puede plantearse de manera general, tanto para la parte física como la lógica.
Puedes seguirnos en twitter.com/enplusone