El Responsable de Seguridad en IICC

El pasado martes estuvimos analizando algunos aspectos del ENS y de la Ley de PIC en una sesión de trabajo junto a amigos y compañeros del mundillo de la seguridad; al hablar de Protección de Infraestructuras Críticas, uno de los puntos de debate fue la obligatoriedad de que el Responsable de Seguridad y Enlace disponga de la habilitación de Director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de Seguridad Privada, marcada explícitamente en el artículo 16 -si no me equivoco-. Por supuesto, esta obligación generó algo de polémica, ya que el planteamiento es que si buena parte de los riesgos provienen del ámbito tecnológico debería o bien indicarse como requisito algún título, certificación, habilitación… adicional al anterior (o incluso que lo sustituya) o bien dejarse abierto, sin definir ninguna restricción en la Ley en cuanto a requisitos para el Responsable de Seguridad y Enlace. Evidentemente, el foro incitaba al debate porque todos los que participábamos proveníamos del ámbito de las TIC; si la reunión la hubiera organizado AVADISE, por poner un ejemplo, ni siquiera se habría comentado este punto, ya que lo consideraríamos algo normal… ¿verdad? :)

Mis argumentos en este caso fueron de apoyo total a la Ley y a la restricción que impone. Nos guste o no, las figuras definidas en la LSP son las únicas existentes en materia de seguridad -ámbito privado, por supuesto- en España, con lo que si tenemos que definir algún rol «reconocido», debe ceñirse a estas figuras (y por supuesto, a la hora de hablar del Responsable de Seguridad y Enlace, la figura adecuada es la de Director de Seguridad, ¿verdad?). A partir de ahí, algunas consideraciones:

  1. ¿Se podría haber dejado abierto el perfil requerido, sin exigir ningún título? Por supuesto, pero si queremos homogeneizar este rol el requisito correcto es el marcado en la Ley; en cualquier caso, los tiros iban más por la idoneidad o no de un Director de Seguridad al uso (clásico) para aspectos donde la protección tecnológica tiene mucho peso…
  2. ¿Se podría exigir que el Responsable de Seguridad tuviera alguna certificación tipo CISA, CISM, SANS, etc.? Como poder, imagino que se podría -como tantas otras cosas en España-, pero no creo que fuera correcto. Estas certificaciones no están reconocidas oficialmente en ningún sitio -hasta donde yo sé, que alguien me corrija si me equivoco-, independientemente de su prestigio o de que de vez en cuando se pidan como requisitos en pliegos, por lo que exigir una certificación CISA (o la que sea) para ocupar el puesto de Responsable de Seguridad sería tan correcto como exigir un curso de seguridad en la academia Paco (sí, ya sé que es un ejemplo exagerado, que nadie ponga el grito en el cielo… la academia Paco está en mi barrio y nadie la conoce y la academia ISACA está en todo el mundo, lo sé ;).
  3. ¿Se podría exigir que el Responsable de Seguridad fuera Ingeniero en Informática, de Telecomunicaciones o similares? No creo que estas carreras tengan una focalización especial en seguridad; tengo compañeros que desarrollan su trabajo a la perfección pero ponerlos a hablar de seguridad sería como poner a alguien de seguridad a hablar de diseño lógico o de desarrollo en Java.
  4. ¿Se está valorando más un curso de Dirección de Seguridad que una carrera superior? No creo ni espero que sea el caso, simplemente estamos hablando de cosas diferentes: para trabajar en seguridad no hay una carrera como tal, sino estas habilitaciones… podemos discutir mucho sobre ellas, pero nos guste o no son las únicas que hay.

Creo que el problema de base está, una vez más, en si una persona que ha superado los requisitos del Ministerio del Interior, con un curso de unas cuantas horas y demás, está de entrada capacitada para convertirse en el Director de Seguridad de una Infraestructura Crítica. En general, lo dudo, igual que dudo que una persona con la carrera recién acabada esté capacitada para convertirse en Ingeniero Jefe de la NASA o una persona que se saca una certificación X sea automáticamente un experto en las materias de dicha certificación. El título es un requisito de mínimos seguramente, pero para trabajar en seguridad -o en otros ámbitos- hacen falta aptitudes y actitudes adicionales que no sólo se consiguen estudiando; en el caso concreto de la Seguridad Privada y los cursos de Dirección de Seguridad, creo que todos los que los conocemos estaremos de acuerdo en que hay que reforzarlos muy mucho, no sólo en el ámbito de seguridad de la información o tecnológica, sino en muchos otros. De hecho, ya hay voces de indudable peso en la comunidad de seguridad en España que apuestan por la creación de una carrera, un grado, orientada íntegramente a la seguridad. Es más, hemos hablado muchas veces sobre la necesidad de renovar los roles reconocidos en la LSP y, en este caso, podríamos incluso introducir el rol de un Director de Seguridad especializado en IICC igual que hay Vigilantes de Seguridad especializados en Explosivos. ¿Por qué no? Puestos a pedir… :) Pero mientras esto sucede, nos guste o no, las habilitaciones en Seguridad Privada son las que son y los perfiles que las ocupan en muchos casos -afortunadamente no en todos- son también los que son… ójala esto cambie pronto, por el bien de todos, pero de momento, no hay más…

Por cierto, no puedo acabar este post sin aprovechar para saludar a todos aquellos que, a la sombra de la publicación de la Ley PIC, están tratando de hacer el agosto montando cursos de Dirección de Seguridad a troche y moche, sacados de una chistera en la que antes sólo había cursos de coaching, inteligencia emocional y cosas así, y vendiendo que es el futuro y garantiza el trabajo de por vida porque lo pone en una Ley. Ja, ja, ja. Si alguien cree que simplemente por obtener la habilitación de turno se van a pegar por él a la hora de buscar trabajo, mal vamos…

Comments

  1. Muy interesante la entrada sin duda, y la reflexión sobre la figura del Responsable de Seguridad en relación con la Ley de Seguridad Privada (también sobre la garantía de trabajo de por vida si se dispone de un curso concreto).

    Un saludo.

  2. Antonio Villalon says

    Hola Audea
    Muchas gracias por el comentario :)
    Lo de la garantía de trabajo y similares es algo que lamentablemente se está vendiendo ahora mismo, ya que como la Ley exige una determinada titulación para un puesto concreto, parece que el obtener ese título sea la panacea y lo que nos va a sacar de la crisis… sin comentarios :(

  3. Cuando el Ministerio del Interior responsabiliza a un Director de Seguridad que él mismo habilita como responsable de Seguridad y Enlace está resolviendo un problema que se le podría plantear de atomización, diversificación,CISAS, CISEMES, et. El problema es que en seguridad de la información NO existe una profesión reconocida para gestionar. La mayoría de informáticos creen que es lo mismo que la seguridad de los datos que tienen en su equipo. Interior quiere unificar la gestión PIC y para ello no ha dudado en fiarse de los Directores de Seguridad que ya conoce en algunos sectores donde son legalmente obligatorios como las entidades financieras. ¿Alquién conoce entidades que combatan mejor sus riesgos? NINGUNA, salvo excepciones de alta seguridad. A ver si va a tener algo que ver. Ah¡ dirigir la gestión de la seguridad de la información que yo sepa tampoco se aprende en ninguna ingeniería informáctica ni de sistemas, no sé porque los informáticos se creen predestinados para combatir amenazas que a menudo llaman incidentes, errores, etc. cuando de lo que se trata es de delitos que hay que denunciar y colaborar con la Policía para coger a los «malos». Con que se dediquen a respetar lo que planifican otros ya bastaría pero no siempre es así, ni mucho menos (Por cierto a Villalón se le nota que es Director de Seguridad)

    JMG-D es Director de Seguridad Integral de una entidad financiera española.

  4. Antonio Villalon says

    Hola Isikawa
    Completamente de acuerdo en que en seguridad de la información como tal no hay una titulación reglada, y dado que lo único que hay formalizado es seguridad en global, es lógico, como comentas también, que la responsabilidad de seguridad y enlace en IICC recaiga sobre la figura de un Director de Seguridad…
    Caso aparte es si la formación de los cursos de DS es, a día de hoy, adecuada para los retos a los que un Director de Seguridad se va a tener que enfrentar, pero en eso andamos, cambiando cursos y demás :)

    Un saludo
    Toni

  5. Hola, respecto a lo de que hay que reforzar la formación estoy totalmente de acuerdo… porque el curso por si solo es claramente insuficiente, pero ya existen carreras especificas, yo soy de Valencia y tengo el grado en ciencias de la seguridad (tres años) y la licenciatura en criminologia (2 mas complemtando el grado, ahora estoy con el curso de director de seguridad para poder habilitarme, quiero decir que si uno quiere puede especializarse mucho en el tema de la seguridad pero claro es voluntario, lo suyo seria que minimo pidiesen de forma obligatoria un grado para ser Director de Seguridad.

    Muchas Gracias

  6. Antonio Villalon says

    Hola Naxet
    El grado de la UV en seguridad creo que está muy focalizado en los aspectos legales; lo ideal -aparte de reforzar, como comentas, la formación en general- sería algo más mixto, que considere por supuesto la parte legal pero que contemple aspectos como la seguridad técnica, protección de la información, aspectos organizativos de un departamento o empresa, etc. Hacia eso se están levantando algunas voces, ya veremos en qué queda todo :)

    Saludos y gracias
    Toni

  7. Un artículo contundente y realista. La única vía es la convergencia, y para ello es necesaria y vital la formación, la especialización y la capacitación continua y permanente. Los títulos, certificados, habilitaciones, diplomaturas, licenciaturas y grados, solo son la base de partida para empezar a abrirse camino en un sector, el de las seguridades, cuyo denominador común es la mutabilidad de las variables, ya que los riesgos y amenazas que teníamos el 10 de septiembre de 2001 no son los mismos que tenemos ahora, ni dentro de otros diez años serán los mismos, eso debemos tenerlo claro.
    Al igual que los profesionales de la medicina, los profesionales de la seguridad saben que bajo su responsabilidad está la vida de muchas personas y el correcto funcionamiento de muchos sistemas, tanto críticos como esenciales, así que pensar que con la obtención de un papel o documento ya se puede empezar a gestionar y gerenciar riesgos, es como pensar que tras terminar la carrera de medicina ya se puede operar un tumor cerebral.
    Personalmente creo que la humildad tiene que ser la base de partida de todos nosotros como profesionales, ya que la misma nos ayudará a reconocer nuestras limitaciones y nos permitirá adoptar las medidas oportunas para tratar de subsanarlas.
    Felicidades por el artículo, Toni.
    Un fuerte abrazo.

  8. Antonio Villalon says

    Hola Jesús
    Muchas gracias por el comentario :)
    Completamente de acuerdo con lo que indicas… las ganas de aprender son la base de todo, titulación o no de por medio, y sin estas ganas y la experiencia necesaria en cada caso, difícilmente podremos operar tumores :)
    Un abrazo
    Toni