A vueltas con la seguridad

Por Alfonso Bilbao | Director Adjunto de Inerco Security

LA SEGURIDAD EN GENERAL

“Seguridad” es una palabra polisémica. Tiene múltiples significados.

Esta multiplicidad ha llevado a que aparece en muchos textos, legales, comerciales, técnicos, utilizando el término seguridad de forma particular, en la de uno de sus significados, refiriéndose a una específica acepción de la palabra, pero no siempre aclarando si se refiere o no a sus otras acepciones.

La definición de “Seguridad” en el Diccionario de la RAE como de “calidad de seguro” lleva a una ambigüedad importante, coherente con la que trae la palabra en su uso cotidiano, pues “seguro”, a su vez es también un término polisémico. Su primera definición es la de “libre y exento de riesgo”, pero las siguientes generan una apertura de interpretaciones enorme: “cierto, indubitable”, por ejemplo, es la segunda definición del término en el Diccionario.

Esto lleva inevitablemente a que podemos hablar de “seguridad de algo” como de que es cierto lo que se afirma sobre ello, o como que está libre de riesgos.

 “Vendré con seguridad” puede interpretarse como que ciertamente vendré, o como que vendré con escolta armada.

Para ceñirnos a la temática de esta revista, y de nuestra profesión, proponemos centrar el artículo en la palabra Seguridad, así, con mayúsculas, y al menos aceptemos que se trata de la acepción, confusa pero limitada, a lo referente a proteger a bienes o personas de los posibles riesgos que les atañen, más que nada por ir centrando el tema.

 A pesar de esta primera concreción, en algunos casos se cae en generar una sinécdoque, pues se usa en sentido global la Seguridad cuando se está refiriendo a una particular interpretación. Dado que estamos proponiendo referirnos a la Seguridad como “calidad de estar libre de riesgos” (unión de las dos primeras definiciones de “seguridad” y de “seguro”), parece razonable intentar definir las diferentes acepciones de la palabra Seguridad en función de los riesgos a los que atiende.

Esta distinción, de intentar clasificar la Seguridad en función de los riesgos que atiende, ha sido un clásico en las presentaciones de nuestra empresa Cuevavaliente desde el inicio de su actividad, y ahora, tras nuestra integración en el grupo INERCO, con especial intensidad, dado que la actividad de Consultoría de INERCO abarca el resto de las actividades relacionadas con la Seguridad (no es casualidad obviamente nuestro encaje en el Grupo Inerco).

En el cuadro siguiente se expone de forma esquemática esta clasificación de la Seguridad, tal y como la vemos en Inerco, y que también se recoge de forma similar en el apartado de Terminología que precede a los Informes Anuales de la Seguridad en España que elabora la Fundación ESYS cada dos años.

En este esquema en filas se representan los riesgos en función de su origen: naturales (terremotos, nevadas, pandemias, etc.), técnicos (accidentes de coche, accidentes por uso de la tecnología en sus diversas formas, accidentes laborales, etc.) y deliberados (robos, atentados terroristas, hacking, etc.).

En las columnas se representan los sujetos de estos riesgos: bienes de personas o entidades, la integridad de las personas, el medioambiente (bien común) y la operación o funcionalidad de empresas y organismos.

Dentro de este cuadro se representa la especialidad de las diferentes “Seguridades” tal y como se entiende en el Grupo Inerco y también en los diferentes mercados o profesiones.

Entre paréntesis hemos reflejado como se denominan estas especialidades en inglés donde aparece un magnífico hallazgo de la lengua de Shakespeare, y es el uso de dos palabras diferentes: “Security” para la Seguridad frente a riesgos deliberados y “Safety” para Seguridad frente al resto de riesgos. Práctico, ¿no?

Pero no es nuestro caso.

En español llamamos Seguridad a todas esas especialidades añadiendo un adjetivo que no siempre es esclarecedor.

“Seguridad Laboral” y “Seguridad Medioambiental” parecen las más claras, pero en los otros sectores la confusión va por barrios.

Lo cierto es que esta confusión es terminológica pero las diferencias entre las modalidades de la Seguridad están claramente determinadas en cuanto a sectores empresariales que presten servicios de alguna Seguridad o de Departamentos de Seguridad dentro de las empresas.

SECURITY

Pidiendo disculpas de antemano por el anglicismo de este apartado, lo que queremos expresar aquí es otra particularidad de la confusión en torno a la Seguridad.

Si recordamos el cuadro anteriormente expuesto, Security es el terreno de la Seguridad frente a Riesgos Deliberados.

Y aquí se ha dado un fenómeno curioso. Al evolucionar la sociedad hacia el uso masivo de las tecnologías de la información y, sobre todo, con la llegada de la conexión de casi todo con todo, han aparecido en las últimas décadas un tipo de amenazas (que devienen en riesgos) que, siendo de tipo deliberado, se separaron desde el principio de la, digamos, Security tradicional.

Nos referimos como el lector habrá deducido, a las amenazas y riesgos que provienen de acciones intencionadas de interferir las comunicaciones, acceder a sistemas informáticos desde el exterior, alterar los datos mediante manipulación informática externa, bloquear los sistemas mediante peticiones masivas de información desde el exterior, etc. He utilizado intencionadamente un lenguaje genérico, en lugar de la jerga profesional (hacking, virus, denegación de servicio…) para enfatizar que, en el fondo, son acciones maliciosas como las de entrar en una propiedad descerrajando la puerta o poniendo un explosivo en una maquinaria.

Bien, pues este tipo de amenazas deliberadas, debido a la complejidad de los medios utilizados, desde el principio dio a luz una profesión y una especialización propia, separada de la Security tradicional, la llamada actualmente Ciberseguridad o Cybersecurity.

Las contradicciones aparecen de esta separación cuando el nivel de las nuevas amenazas y los daños que generan hacen que desde la Administración y desde las empresas se entienda que estamos ante un conjunto de riesgos y de protecciones requeridas que han de confluir necesariamente con las tradicionales. Se ha tenido que reformar el Código Penal, formar a jueces y fiscales, incluir esta nueva modalidad de la Seguridad en la legislación (de lleno en la legislación de Protección de Infraestructuras Críticas de 2011, y tímidamente en la Ley de 2014 de Seguridad Privada, por ejemplo), por el lado de la Administración. Por el lado de las empresas, empujadas por la legislación en muchos casos (Operadores Críticos), y en otros por convencimiento, se han ido generando estructuras en las que se gestionan los riesgos deliberados, ya sean de naturaleza tradicional (Security) o informática (Cybersecurity), de forma unificada o, al menos, armonizada.

Parece razonable que las decisiones de alto nivel en una empresa, dentro de la gestión de los riesgos de operación, referente a los recursos a destinar a la protección frente a riesgos deliberados sea cual sea su “modus operandi”, sea única, y que los riesgos a asumir (apetito de riesgo) o el análisis de impacto de las diferentes amenazas sea también común.

Pues también lo entendemos así nosotros.

En Cuevavaliente Ingenieros, hoy ya Inerco Security, además de complementar con nuestra especialización en Security la propuesta general de Seguridad de Inerco al mercado, en nuestro terreno de la Security tradicional no hemos parado de evolucionar hacia la consultoría entendiendo la Security como una única especialidad.

Actualmente tratamos como una única disciplina el Análisis de Riesgos (nuestra aplicación GR2Sec), la organización de los Departamentos de Seguridad (fusionando los modelos ISO27001 e ISO 31000) o mediante Auditorías (servicio CBSF).

Lo único que no logramos siempre es definir nuestro trabajo como Seguridad sin generar confusión, y acudimos a Security, pero eso sí, una única Security, no dos.

Artículo publicado en la revista Seguritecnia, 463, Abril 2019, pg 52-53