martes, 13 de junio de 2017

Seguridad Planeada

Sobre el Proceso de la Seguridad en las Organizaciones

El proceso de la seguridad en general requiere ser gerenciado y administrado de manera eficiente y eficaz, tanto en el medio público como privado las soluciones deben maximizar el rendimiento de los recursos que suelen ser insuficientes en muchos escenarios e incluso el simple hecho de luchar por obtener esos recursos puede consumir tiempo y dedicaciòn por parte de los gerentes encargados del tema.
En este sentido, pudiésemos clasificar los procesos de seguridad en tres categorías:
Procesos Planeados,
Procesos Emergentes y
Procesos No emergentes.

Los Procesos Planeados son aquellos que se ejecutan de manera prevista y controlada, se ejecutan apegados a los protocolos predefinidos y deben ser supervisados tenazmente aún cuando por su repetición pueden llegar a ser obviados o minimizados en su importancia. De hecho, este suele ser uno de los puntos que requiere mas concentración y dedicación por parte de la dirección de seguridad, hay que hacer un esfuerzo continuado y permanente en la supervisión de los procesos mas sencillos y habituales, procesos que constituyen la labor diaria de los operadores primarios de la seguridad.
Estos procesos consumen prácticamente todo el día de los operadores de seguridad y deben ser evaluados y revisados constantemente por el gerente de seguridad, ya que si se están ejecutando de manera incorrecta o ineficiente se estarán malgastando diariamente los recursos de la organización de manera imperceptible para el resto de la misma.

Los Procesos Emergentes son aquellos descritos de manera evidente por su nombre, responden a una situación urgente que requiere una respuesta inmediata, generalmente provienen de una amenaza o intento de agresión inminente, ante estos casos, es imperativo que la reacción también responda a un protocolo preestablecido y conocido por toda la estructura de seguridad, (en un escenario ideal no solo la estructura de seguridad, sino toda la organización conocería este protocolo), de este modo cada persona involucrada en la respuesta sabrá anticipadamente que acciones deberá tomar y el equipo entero podrá actuar de manera coordinada ya que cada elemento entiende cual será la acción de sus compañeros, minimizando el tiempo de respuesta y maximizando la eficiencia de la respuesta.
Al ser el tiempo de respuesta un factor crucial en los procesos emergentes, cada minuto-hombre que dedique la gerencia de seguridad a preparar el protocolo de respuesta y a entrenar al equipo en el mismo será un esfuerzo valioso, aunque esto pudiese resultar invisible a los ojos del resto de la organización que pudiese incluso calificarlo como un gasto costoso y trivial...

Los Procesos No Emergentes podemos definirlos de manera residual como todos aquellos procesos que no encajan en ninguna de las categorías anteriores, es decir, no son procesos emergentes, ni son procesos planeados, ocurren de manera espontánea y pueden incluso pasar desapercibidos si la gerencia de seguridad no está lo suficientemente concentrada para reconocerlos, siendo esto un error básico muy común, es necesario que los responsables de la seguridad detecten oportunamente estos procesos ya que deben necesariamente ser revisados y evaluados para determinar si son necesarios, si no lo son, deberían ser eliminados, (al ser un area no productiva de la organización, no tiene sentido gastar recursos en procesos innecesarios) y de serlo, obligatoriamente deben pasar a ser procesos planeados, es esta una labor primordial del líder de seguridad en la  organización, la experiencia en el campo indica que "la improvisación no es una estrategia, es justamente la ausencia de una estrategia", necesario es entonces, hacer énfasis en la importancia de planear adecuadamente los procesos de seguridad en la organización, desde los procesos de seguridad física, hasta la seguridad informática, pasando por la seguridad de personal VIP , etc, deben ser ejecutados de manera controlada, o al menos programada adecuadamente para supervisarlos, evaluarlos, corregirlos y aprender de ellos lo que haya que aprender, este proceso debe constituirse en una suerte de "tecnología de la seguridad", el cual desarrollaré en otro artículo, por ahora quisiera hacer énfasis en la relevancia de planear y preparar adecuadamente cualquier proceso.

La necesaria evaluaciòn y transformaciòn de los procesos No Emergentes, es particularmente oportuno para organizaciones medianas y pequeñas, las cuales no tienen una gerencia alta de seguridad y suelen delegar la supervisiòn de la misma a otros departamentos de la empresa, tales como a los gerentes de Recursos Humanos o de Operaciones que son quienes generalmente terminan heredando una labor que no es propiamente su fuerte y que operan en ese sentido con los criterios técnicos propios de su disciplina, creyendo a veces incluso que la seguridad marcha sola por el simple hecho de no presentar (o detectar) ningùn problema, a estos gerentes les doy un consejo: eviten improvisar, hagan lo que sea necesario para ejecutar cada proceso de seguridad por simple o banal que parezca con anticipaciòn y la supervisiòn adecuada y suficiente, la "Seguridad Planeada" a la larga les ahorrará muchas horas-hombre de trabajo y dolores de cabeza.

miércoles, 28 de octubre de 2015

Impunidad Colectiva

El tema de la impunidad en nuestra sociedad es manejado como un fenómeno presente, permanente, evidente para todos,  pero ajeno, es decir, solemos exigir que acabe la impunidad, que se apliquen las sanciones y los castigos que la ley contempla para todo aquel que viole una norma, pero siempre, absoluta y tajantemente siempre, con nuestro dedo índice apuntando hacia cualquier otro que incurra en falta, lamentablemente en ese momento no existe ni una breve mirada hacia nosotros mismos, nos hacemos invisibles a nuestros propios ojos cuando se trata de calcular culpas y exigir correctivos. 
Pareciera un fenómeno masivo de nuestros ciudadanos, Nosotros podemos olímpicamente irrespetar semáforos, exceder los limites de velocidad,  estacionarnos en sitios prohibidos, colearnos, usar "gestores" para tramites que nos resulten largos o tediosos y mas aún, paradojicamente nos indignamos si algún funcionario nos detiene por alguna infracción, algunos llegaron a decirme en mi época de funcionario policial: "anda a detener malandros en vez de pararme por un semáforo". El asunto es que supuestamente todos "queremos" que se ponga orden y que se obligue el cumplimiento de la ley, pero eso si, a los demás, a nosotros mismos no, nosotros podemos cometer infracciones y faltar a la norma sin escandalizarnos, sin ningún problema moral y sin merecer ningún castigo. 
Esta falta de conciencia social nos convierte en causantes, o al menos en promotores de la misma impunidad que tanto decimos rechazar, las normas, grandes o pequeñas se han hecho para procurar la convivencia amónica y ordenada en sociedad y violentarlas siempre produce un daño a todos, el simple desorden que producimos al faltar a una pequeña norma es un atentado contra la seguridad y el bienestar común, que aunque nos parezca pequeño, se suma a las faltas de otros y se acumulan como ejemplos para las generaciones que nos ven ahorita como modelo a seguir y que atestiguan nuestras contradicciones como sociedad al exigir lo que no cumplimos.
Tal vez nadie nos lo dice en campañas publicitarias, pero para ser un buen ciudadano solo hace falta querer serlo, porque nadie puede obligarnos a lo contrario.

sábado, 24 de octubre de 2015

un Filosofo, un Matemático, un Abogado y un Computista trabajan en un tren...

En la puerta de entrada de un tren hay un letrero que reza: “Prohibido entrar con perros”, al final de la cola para entrar hay una persona caminando con una cadena atada al cuello de un oso y cuando llega su turno para ingresar el encargado lo detiene y le señala el letrero que prohíbe la entrada de perros, el sr del oso no queda satisfecho con la negativa del encargado así que pide hablar con el gerente, el asunto es que existen cuatro gerentes en esa área del tren, uno matemático, uno abogado, uno filósofo y uno programador.
Si llega el gerente matemático, aplicará una lógica exacta matemática y evaluará si existe una igualdad entre el objeto de la prohibición (“perro”) y el objeto de la evaluación (“oso”), llegando a la conclusión de que perro es "diferente de" oso, por lo tanto según la norma y para complacencia del dueño, el oso puede ingresar sin problemas al no estar prohibido el ingreso de “osos”.
Si llega el gerente abogado, se sentará a explicarle al dueño del oso que el espíritu de la norma es prohibir el ingreso de animales que pudiesen causar cualquier incomodidad al resto de los pasajeros y/o representen una amenaza para los mismos, por lo tanto así como se excluyen los perros explícitamente, por interpretación extensiva o más correctamente por analogía, la norma también ha de prohibir el ingreso de osos y de cualquier otro tipo de animal peligroso, e intentará convencer al sr del oso que la norma es objetiva, vigente e imparcial y tiene como objetivo promover la seguridad de todo el colectivo, lo que al final se traduce en su propia seguridad.
Si llega el gerente filósofo, pondrá su mano sobre el hombro del sr del oso y mirándolo a los ojos le preguntará: “¿realmente que es prohibir?” y sin dejarlo responder continuará el mismo señalando las diferencias entre las prohibiciones éticas, religiosas, legales y sociales, comentará sobre la imposibilidad genética del libre albedrío y preguntará (siempre para sí mismo), si el oso alguna vez tuvo la oportunidad de decidir o no ser oso y así pudiese ser todo el problema una consecuencia directa de la falta de criterio del oso al tomar su decisión, llegado este momento, lo más probable es que el señor del oso ya hubiese tomado su animal y hubiese decidido iniciar su marcha a pie alejándose lo más pronto y silenciosamente posible del gerente filósofo.  
Si llega el gerente programador, llamaría a sus superiores para levantar un documento de requerimientos lo más preciso posible para desarrollar un algoritmo que permitiera tomar una decisión que funcionara no solo para osos, sino para todos los casos posibles, levantaría una base de datos relacional con todas las especies animales incluyéndole a cada especie un valor booleano según su peligrosidad (cierto o falso), que determinará la prohibición o no de ingreso para cada animal. Suponiendo que el sr del oso tiene la paciencia necesaria para esperar el levantamiento de requerimientos, el diseño, el desarrollo y las pruebas del algoritmo, el gerente programador le comunicará con un aire muy técnico que su solicitud ha sido rechazada por no reunir los requisitos establecidos en el algoritmo para resultar aprobada, peeeeeero, en el mismo tono serio y formal le dice que si lo desea le de unos minutos y una conexión al wifi y el mismo le desarrollará un tren para osos, más rápido, más robusto y que funciona con Android.

miércoles, 21 de octubre de 2015

La Cascada del Delito Informático

          Nicholas Negroponte, en su libro, Ser Digital (1.995) asegura:
Las leyes existentes fueron concebidas para un mundo de átomos, no de bits y una ley nacional… no tiene cabida en un mundo donde lo importante es la información y donde una computadora está tan cerca de otra con prescindencia de sus lugares geográficos de ubicación real. 
La aproximación al fenómeno informático en materia penal, ha de realizarse desde un nivel adecuado de abstracción, evitando detalles técnicos que en otros escenarios pudieron ser oportunos, pero que en materia tecnológica, pueden servir de guía para delinquir impunemente para los expertos informáticos.
Cuando reflexionamos sobre el tema del delito informático, considero interesante destacar que la ley que lo contemple debe proteger un novedoso y particular bien jurídico como lo es la información, particularmente la información digital que es sobre la cual funcionan los sistemas informáticos y la siempre evolutiva tecnología. Pero adicionalmente lo natural en la realidad de este fenómeno, es que esta lesión de la información digital conlleve a otro delito, que lesiona otro bien jurídico de la víctima, habitualmente patrimonial, pero que igual pudiese ser la privacidad, el honor, la libertad de expresión, el libre desarrollo de la personalidad, etc. en una especie de cascada típica que caracteriza técnicamente la realidad del delito informático.

Esta es una realidad técnica poco explorada en materia penal, vinculada a que la acción global que interpretamos lógicamente como delito informático, es en realidad un acto que por lo general ocurre en dos tiempos, o mas apegado a la realidad tecnológica y empleando una mínima dosis de abstracción, lo adecuado sería decir que consiste en dos actos distintos y diferenciables.
Cascada del Delito Informático

Es decir, en principio el delincuente informático accede indebidamente a la información de la víctima contenida en cualquier sistema de información (bases de datos, servicios en la red, paginas web, etc), y luego usa esa información para ejecutar otro delito, generalmente de tipo patrimonial tales como extracción de dinero de cuentas bancarias o extorsión a cambio de no emplear la información sustraída en contra de la victima, pero que igualmente pueden ser usurpación de identidad, estafas, falsificaciones, lesiones a la propiedad intelectual, e incluso podrían causarse lesiones y homicidios mediante sabotaje de equipos y maquinarias operados mediante la tecnología.
Existen casos en los que resulta evidente esta separación temporal, por ejemplo el caso de alguien que obtiene por cualquier medio ilícito las claves de acceso bancarias de un tercero (primer escalón de la cascada: vulnerando el bien información digital de ese tercero) y posteriormente las usa para sustraerle su patrimonio en beneficio propio (segundo escalón: lesionando un bien tradicional del tercero).
De este modo, encontramos que el primer bien afectado en esta cascada es singular, es la información digital y de este primer delito, generalmente se deriva la lesión de otros bienes, (patrimonio, honor, privacidad, etc.), que igualmente pudiesen ser afectados por otra vía sin un delito informático previo, por lo tanto es completamente viable separar uno de otro por cuanto pueden existir con independencia y de este modo enfocaríamos el problema del delito informático de manera precisa y bien delimitada, abordando el tema sin tener que usar conceptos que ya tienen su propio uso y concepción en materia penal, ni mucho menos tener que barnizar estos conceptos con el adjetivo “informático” para forzarlos a englobar dos acciones distintas e independientes en una sola idea, esta economía conceptual pudiera resultar peligrosa ante la indetenible e imprevisible tecnología.
Para no extenderme eternamente en el punto quisiera expresar mi apreciación:  
1.- El bien jurídico a proteger en este sentido es la información en sí misma, reconocida como un bien jurídico personal, individual e independiente, con la capacidad de ser reconocido y protegido por encima de las condiciones tecnológicas que existan en un momento puntual.
2.--          El delito informático es independiente de cualquier otro delito que afecte bienes distintos de la víctima, aún cuando generalmente uno conlleve al otro según el concepto de la cascada característica del delito informático.
3.- La ley que regule los delitos informáticos debe ser lo suficientemente clara y a la vez abstracta como para evitar quedarse anclada y atrasada ante el desarrollo tecnológico.