Las políticas de seguridad son el conjunto de normas, protocolos y reglas que una organización establece para proteger a las personas, las instalaciones, la información, los bienes tangibles e intangibles, su reputación e imagen, así como la protección de la materia prima y los bienes, servicios o productos que comercializa.

Estas políticas no solo abordan la seguridad, sino también la administración y manejo de crisis, identificación de riesgos, manejo de incidentes de inseguridad y la continuidad del negocio.

Las políticas de seguridad corporativa deben ser respaldadas por la alta dirección, específicamente a través de los directores de seguridad corporativa (CSO, Chief Security Officer), quienes diseñan las políticas en coordinación con las áreas del negocio. Estas políticas deben estar alineadas con los objetivos generales de la organización y adaptarse a las necesidades de sus diferentes operaciones.

Además, las políticas deben apoyar el sistema de gobernanza y sostenibilidad de la organización. Su actualización continua dependerá de su aplicación y éxito, y siempre deben estar alineadas con el marco regulatorio del país en el que operen, bajo un estricto apego a la legalidad, equidad, justicia y protección de los derechos humanos.

Los directores de seguridad corporativa deben tener la autoridad para evaluar y revisar continuamente las políticas de seguridad, manteniendo un sistema integral de gestión de seguridad actualizado, ágil y dinámico, acorde con la naturaleza de la organización.

En años recientes, ante el desarrollo exponencial de la tecnología, el tráfico de información, los centros de datos, las redes e infraestructuras de comunicación, es esencial incluir la protección cibernética y la ciberdefensa dentro de las políticas de seguridad corporativa para la protección, almacenamiento, manejo, control, administración, clasificación, análisis y control de la información.

Las políticas de seguridad se aplican y ejecutan velando en todo momento que las acciones en materia de seguridad se apeguen plenamente a las leyes vigentes, cumplan escrupulosamente lo previsto en la política de seguridad corporativa, de cumplimiento auditoria y de irrestricto apego al respeto de los derechos humanos.

Como es sabido dentro del mundo corporativo, las organizaciones tienen un marco normativo que rige, ordena, da legalidad y certidumbre a su actuar. Este marco puede estar integrado por distintos ordenamientos con variadas jerarquías, tales como estatutos, reglamentos, políticas o manuales.

En mi experiencia, las políticas de seguridad tienen la misma relevancia y valor que las normas orientadas a regular otros aspectos de cada institución o empresa.

Contar con políticas, normas y protocolos sólidos en materia de seguridad corporativa es tan crítico, como tener un marco normativo interno en los objetivos y estrategia comercial, operaciones, logística, finanzas, marketing o de recursos humanos.

Una buena política de seguridad debe tener un enfoque integral y dar certeza a las organizaciones para garantizar la continuidad del negocio, la protección de datos, cumplimiento legal, prevención de fraudes y ciberataques, seguridad patrimonial y personal, así como mantener la confianza de las audiencias, lo que también toca el ámbito de la buena reputación.

Hablando de las políticas de seguridad, estas definen el rol regulatorio general de la función de seguridad corporativa, establecen una guía clara para el actuar de los colaboradores en todos los niveles de la organización, también aplican para socios comerciales, proveedores y cualquier sociedad o individuo que tenga relación alguna con la empresa.

De la política surgen los procedimientos específicos de actuación, estándares, protocolos, lineamientos de cómo atender cada situación, incidente o acción de protección, prevención e identificación de riesgos.

Siempre debemos considerar una visión integral, completa, e incluyente de cada área y aspecto del negocio, ya que es crucial que las políticas de seguridad y otros procedimientos operativos trabajen en conjunto, creando una red de protección integral para la organización.

Para establecer políticas de seguridad efectivas desde cero es un proceso crítico que requiere una planificación meticulosa y una implementación estratégica. Aquí tienes los pasos clave que una organización debe seguir:

• Evaluación de Riesgos: Realiza un análisis exhaustivo de los riesgos para identificar las amenazas y vulnerabilidades que enfrenta la organización.
  
  
• Definir Objetivos de Seguridad: Establece objetivos claros que las políticas de seguridad deben lograr. Estos objetivos deben estar alineados con la misión y visión de la organización.
  
  
• Desarrollar Políticas: Redacta políticas de seguridad específicas y detalladas que aborden los riesgos identificados. Asegúrate de que sean claras, concisas y comprensibles para todos los empleados.
  
  
• Obtener Aprobación: Presenta las políticas a la alta dirección para su revisión y aprobación. Esto garantiza que las políticas cuenten con el respaldo necesario para su implementación.
  
  
• Implementación: Comunica las políticas a todos los miembros de la organización y proporciona la capacitación necesaria para asegurar que todos entiendan y cumplan con las nuevas políticas.
  
  
• Establecer Procedimientos: Crea procedimientos específicos que describan los pasos exactos a seguir para cumplir con las políticas de seguridad.
  
  
• Monitoreo y Auditoría: Implementa mecanismos de monitoreo y auditoría para asegurar que las políticas se estén cumpliendo y para identificar cualquier incumplimiento.
  
  
• Revisión y Actualización: Revisa y actualiza regularmente las políticas de seguridad para adaptarse a los cambios en el entorno de amenazas y en la organización misma.
  
  
• Gestión de Incidentes: Establece un plan de respuesta a incidentes que detalle cómo la organización debe reaccionar ante eventos de seguridad.
  
  
• Crear una Cultura de Seguridad: Fomenta una cultura organizacional donde la seguridad sea una prioridad para todos, desde la alta dirección hasta los empleados de nivel operativo.

Seguir estos pasos te permitirá desarrollar un conjunto de políticas de seguridad robustas y efectivas que protegerán a tu organización de diversas amenazas.

Existe la costumbre o creencia que las políticas de seguridad corporativa y procedimientos solo son para las grandes corporaciones, pero cualquier organización, por pequeña o mediana que sea, deberá contar con procesos y normas claras para su desempeño si busca el éxito en sus operaciones.

Las PYMES, con estándares que buscan excelencia en su operación y en su ejecución, normalmente son los proveedores más solicitados por las grandes empresas.

Me gustaría citar a una de las voces de mayor liderazgo en la industria de la seguridad en México y América Latina, Enrique Tapia Padilla, socio director Altair Security Consulting & Training, quien ha señalado en distintos foros y ensayos que la cultura de la seguridad en las organizaciones es fundamental y una responsabilidad compartida:

“Al implementar una cultura de seguridad, se protege a las personas, se reduce el riesgo de pérdidas financieras, se salvaguarda la información confidencial y se asegura la continuidad de las operaciones”.[i]


---------
[i]  Tapia Padilla, Enrique MA CPP. La Importancia de la Cultura de Seguridad en las organizaciones. Seguridad en América.pp.98

Cuando hablamos de un enfoque sistémico, entendemos que debemos atender una meta u objetivo mayor considerando todas las partes del sistema y sus interrelaciones, en lugar de centrarnos solo en elementos individuales. Este enfoque tiene que asegurar que las partes interactúan, se alinean, se retroalimentan y aseguran el óptimo funcionamiento de un todo. Este enfoque es sin duda, es el que debemos aplicar a las políticas de seguridad corporativa, que no puede operar en un silo, sino que debe correlacionarse.

Es imposible pensar en:

• Proteger a las personas.
• Proteger las instalaciones.
• Proteger infraestructuras críticas.
• Proteger la información.
• Proteger los bienes tangibles e intangibles.
• Proteger su reputación e imagen.
• Proteger a la marca.
• Proteger la materia prima.
• Proteger los bienes, servicios o productos que comercialice.
• Proteger los sistemas de gestión, control y comunicaciones.

Sin que estas acciones formen parte de una estrategia general en las que están consideradas todas las áreas críticas que integran la empresa -a la que concebimos como el sistema- y sus procesos. Para todo ello, es absolutamente indispensable alinear las políticas en materia de seguridad corporativa.

Ahora bien, ¿cómo se logra en la práctica? Asegurándose de establecer este enfoque sistémico en las estrategias y objetivos a mediano y largo plazo, con un liderazgo que tenga visión integral, con procesos operativos claros que den seguimiento puntual al cumplimiento de objetivos.

También con un liderazgo integral que permee en cada nivel de la organización, iniciando por la alta dirección, vicepresidencias, direcciones ejecutivas, gerencias, supervisores y líderes en cada proceso, administrativo, productivo, comercial, financiero y operacional de una empresa.

Por ello adoptar un enfoque sistémico no solo fortalece la seguridad de la organización, sino que también crea una base sólida para un crecimiento y una evolución sostenibles en un entorno de amenazas en constante cambio.

Integrar las políticas de seguridad en los procesos de gestión y toma de decisiones es fundamental para garantizar que las estrategias de seguridad se apliquen de manera efectiva y coherente en toda la organización; en mi experiencia, esta es una explicación de cómo lograrlo:

Pasos para la Integración de Políticas de Seguridad

1. Involucrar a la Alta Dirección: Es crucial que la alta dirección esté comprometida con las políticas de seguridad. Su apoyo garantiza que la seguridad se considere una prioridad en todas las decisiones estratégicas.
   
   
2. Alineación con Objetivos Organizacionales: Las políticas de seguridad deben estar alineadas con los objetivos y la visión de la organización. Esto asegura que la seguridad no sea un obstáculo, sino una parte integral del logro de metas.
   
   
3. Incorporar Seguridad en la Planificación Estratégica: La seguridad debe ser un componente clave en la planificación estratégica y en la elaboración de planes de acción. Esto incluye evaluar riesgos y asignar recursos para mitigar amenazas.
   
   
4. Establecer un Comité de Seguridad: Crear un comité o equipo de seguridad que se encargue de supervisar la implementación y cumplimiento de las políticas. Este comité debe incluir representantes de diferentes departamentos.
   
   
5. Integrar en Procesos Operativos: Asegurar que las políticas de seguridad se integren en los procesos operativos diarios, como la gestión de proyectos, el desarrollo de productos y la administración de recursos humanos.
   
   
6. Evaluación y Monitoreo Continuo: Implementar mecanismos de evaluación y monitoreo para verificar que las políticas se estén cumpliendo y que sean efectivas. Esto incluye auditorías periódicas y análisis de incidentes.
   
   
7. Formación y Concienciación: Proporcionar formación continua a los empleados para que comprendan la importancia de las políticas de seguridad y sepan cómo aplicarlas en su trabajo diario.
   
   
8. Incorporar en la Toma de Decisiones: Asegurar que la seguridad sea un factor clave en la toma de decisiones. Esto puede incluir análisis de impacto de seguridad para nuevos proyectos o iniciativas.
   
   
9. Revisión y Mejora Continua: Las políticas de seguridad deben revisarse y actualizarse regularmente para adaptarse a nuevos desafíos y cambios en el entorno de amenazas.

Considerando la experiencia en una organización que migra de una empresa familiar a una regida por gobierno corporativo con una participación importante de capital extranjero; imaginemos que esta reciente organización está desarrollando un nuevo producto para el mercado extranjero. El éxito de un proceso integral de seguridad corporativa y de la toma de decisiones deberá incluir:

• Evaluación de riesgos: Analizar los riesgos de seguridad asociados con el nuevo producto.
  
  
• Involucrar a expertos en seguridad corporativa: Consultar con el equipo de seguridad durante las etapas de diseño y desarrollo.
  
  
• Implementar controles de seguridad: Establecer controles y medidas de seguridad desde el inicio del proyecto.
  
  
• Monitoreo y pruebas: Realizar pruebas de seguridad y monitorear el producto durante su desarrollo y después de su lanzamiento.
  
  
• Capacitación: Capacitar al personal sobre las nuevas medidas de seguridad implementadas.

Si en cada proceso logramos integrar la política de seguridad en la gestión y toma de decisiones, lograremos que la seguridad corporativa sea una parte integral e inherente del ADN de la organización, creando un entorno más seguro y resiliente.

Entonces, en el ámbito de la aplicación de las políticas de seguridad corporativa, debemos establecer su alcance, ejecución y cumplimiento de la siguiente manera:

1. Finalidad de la política.
2. Ámbito de aplicación de la política.
3. Principios básicos de actuación de la política.
4. Definiciones y conceptos claros de la política.
5. Mecanismos de control de la política.
6. Sistema de gestión de la política.
7. Indicadores de cumplimiento de la política.
8. Indicadores de control de la política.
9. Definir el programa de seguridad en la política.
10. Actualización y mejora continua de la política.

Implementar políticas de seguridad y asegurar que todos los empleados las comprendan y respeten es fundamental para mantener la seguridad de una organización.

Como un sistema de aplicación sistémico por fases que permita el diseño, creación, comunicación y aplicación de las políticas de seguridad corporativa en una organización.

Considerando lo anterior, comparto un método y las estrategias de cómo podemos desplegar e implementar una campaña enfocada a la aplicación de políticas de seguridad:

1. Comunicación clara y efectiva:
   1. Documentación accesible: Asegúrate de que todas las políticas de seguridad estén claramente documentadas y sean accesibles para todos los empleados.
   2. Lenguaje comprensible: Redacta las políticas en un lenguaje claro y sencillo, evitando tecnicismos que puedan confundir a los empleados.
      
      
2. Capacitación y concientización:
   1. Programas de formación: Implementa programas de formación regulares para educar a los empleados sobre las políticas de seguridad y su importancia.
   2. Simulacros y ejercicios prácticos: Realiza simulaciones y ejercicios prácticos para que los empleados puedan aplicar lo aprendido en situaciones reales.
      
      
3. Implementar una cultura de seguridad:
   1. Liderazgo ejemplar: La alta dirección debe demostrar su compromiso con la seguridad, siguiendo y promoviendo las políticas.
   2. Reconocimiento y recompensas: Reconoce y recompensa a los empleados que cumplan consistentemente con las políticas de seguridad.
      
      
4. Monitoreo y evaluación:
   1. Auditorías internas: Realiza auditorías internas periódicas para evaluar el cumplimiento de las políticas de seguridad.
   2. Retroalimentación continua: Establece canales para recibir feedback de los empleados y ajustar las políticas según sea necesario.
      
      
5. Integración de procesos diarios:
   1. Procedimientos específicos: Integra las políticas de seguridad en los procedimientos diarios de la organización, asegurando que sean parte del flujo de trabajo normal.
   2. Roles y responsabilidades claras: Define claramente los roles y responsabilidades de cada empleado en relación con la seguridad.
      
      
6. Uso de tecnología:
   1. Herramientas de seguridad: Implementa herramientas y soluciones tecnológicas que refuercen las políticas de seguridad, como software de gestión de riesgos y sistemas de monitoreo.
   2. Actualización y mantenimiento regular: Asegúrate de que todos los sistemas y software se mantengan actualizados y con los parches de seguridad necesarios.
      
      
7. Respuesta a incidentes:
   1. Plan de respuesta: Establece un plan de respuesta a incidentes que detalle los pasos a seguir en caso de una violación de seguridad.
   2. Simulacros de incidentes: Realiza simulacros regulares para practicar y mejorar la respuesta a incidentes.

Implementar estas estrategias no solo fortalecerá la seguridad de la organización, sino que también asegurará que todos los empleados comprendan su importancia y se sientan responsables de mantener un entorno seguro.

Establecer y hacer cumplir políticas de seguridad puede ser un desafío para muchas organizaciones debido a diversas barreras de distinta índole; en mi experiencia una de las más comunes también de mayor peso es la resistencia y negativa al cambio.

El rechazo continuo por desconocimiento de la cultura de seguridad, los malos hábitos, la costumbre se vuelve ley y política; sólo recordemos que una de las fuentes del Derecho es la costumbre, en las sociedades las costumbres han generado normas y leyes; por tanto, en las organizaciones no suele ser diferente.

Otro gran enemigo de la aplicación de las políticas de seguridad es la cultura de “siempre se ha hecho así” y “nunca ha pasado nada” esos dos malísimos hábitos en las organizaciones de cualquier tamaño atentan contra la seguridad de una organización más allá de los impactos, económicos o reputacionales, acaba fomentando una cultura permisividad en todos los colaboradores y de tolerancia al riesgo insostenible a lo largo del tiempo.

También por supuesto debemos considerar los factores técnicos que son más comunes en casi todas las organizaciones, voy a citar algunos como ejemplo:

• Resistencia al cambio.
• Falta de conocimiento y concientización.
• Recursos limitados.
• Complejidad técnica.
• Cumplimiento y monitoreo.
• Falta de apoyo de la alta dirección.
• Legislación y regulaciones cambiantes.

Pero no es imposible si consideramos que los retos, así como los riesgos, se traducen en oportunidades que nos permitan utilizar nuestro ingenio para que apliquemos las mejores prácticas, experiencia y conocimiento, como lo hemos citado en los ejemplos y métodos anteriores.

Superar la resistencia al cambio es fundamental para una implementación exitosa de nuevas políticas de seguridad, considero que lo más importante es establecer una cultura de seguridad no solo mediante una política de, sino de crear conciencia de la seguridad de los entornos inseguros, de los riesgos latentes que enfrenta una organización,

Siendo muy persistentes en la capacitación, sensibilización de una cultura de seguridad y haciendo que toda la organización corresponsable de la seguridad de todos. Hacerles entender que no depende de una sola persona, ni de un equipo, sino de todos y cada uno de sus miembros.

Al generar una cultura de seguridad se involucra a cada nivel de la organización, desde los consejos de administración, presidentes, directores ejecutivos, equipos de liderazgo, niveles gerenciales, supervisores hasta que la cultura permee en las bases en cada uno de los colaboradores.

En la actualidad los delitos cibernéticos van al alza, afectando a todos los colaboradores de una organización; un ejemplo práctico es la aplicación de una nueva política de seguridad en contraseñas digitales, podías implementarla en pasos sencillos:

• Realizar una reunión de lanzamiento donde se explique claramente la importancia de la nueva política y cómo protege a la organización.
  
  
• Invitar a empleados clave a participar en la definición de la política.
  
  
• Organizar talleres prácticos para enseñar cómo crear y manejar contraseñas seguras.
  
  
• Establecer un sistema de reconocimiento para empleados que sigan las mejores prácticas de seguridad.
  
  
• Recoger feedback regularmente para ajustar y mejorar la política con base en la experiencia de los empleados.

La cultura organizacional juega un papel crucial en la efectividad de las políticas de seguridad, ya que influye en cómo los empleados perciben, adoptan y cumplen con las medidas de seguridad.

Si consideramos que el fin de las políticas de seguridad corporativa son implementar políticas efectivas y asegurarse de que todos los empleados las comprendan y respeten requiere una combinación del respeto a la cultura organizacional, para que dé está emanen las estrategias técnicas y de gestión del cambio.

Una organización que busca y logra el compromiso de una cultura organizacional que valora la seguridad motiva a los empleados a comprometerse de manera consciente en cumplir con las políticas de seguridad de manera natural y constante.

Cuando la constante es la identificación y reducción de riesgo, la seguridad es parte integral de la cultura organizacional, los empleados están más atentos a posibles riesgos y actúan proactivamente para mitigarlos.

La colaboración y responsabilidad de la cultura de seguridad fomenta la colaboración y la responsabilidad compartida, donde todos se sienten responsables de la protección de la organización.

Si nos ocupamos de la mejora continua, tenderemos una cultura organizacional que prioriza la seguridad, promueve la mejora continua, adaptándose a nuevas amenazas y cambiando las políticas según sea necesario.

Con el éxito que tuvo la implementación de la política de contraseña en un país; imagina que tu organización te pide la implementación de la política de seguridad para el uso de contraseñas a nivel continental.

Para considerar tus primeros pasos, podrías usar los siguientes indicadores y métricas:

• Tasa de cumplimiento de cambios de contraseñas: Monitorear cuántos empleados cambian sus contraseñas regularmente.
  
  
• Incidentes de accesos no autorizados: Evaluar si ha habido accesos no autorizados debido a contraseñas comprometidas.
  
  
• Evaluaciones periódicas: Realizar revisiones anuales de la política para adaptarla a nuevas amenazas o tecnologías de autenticación.

Evaluar la efectividad de las políticas de seguridad y saber cuándo revisarlas y actualizarlas es crucial para mantener la seguridad de la organización en un entorno dinámico y en constante evolución.

Todos hemos escuchado la frase de lo que no se mide no se puede mejorar porque al implementar políticas de seguridad efectivas debemos asegurar que todos los empleados las comprendan y respeten, requiere de las combinaciones que hemos señalado estrategias técnicas y de gestión.

Para ello es fundamental el diseño de un plan de comunicación en todos los niveles de la organización, también establecer un sistema de monitoreo continuo y auditorias de seguridad si mantenemos de manera constante y periódica este proceso preventivo y correctivo podremos verificar el cumplimiento de las políticas de seguridad corporativa al mismo tiempo que entrenamos y capacitamos a los colaboradores.

En la que refuerzas los aspectos más importantes de las políticas de seguridad corporativa, fomentando una cultura de seguridad, en la que los valores de la organización armonicen con cada aspecto de la política, a la vez que permiten el cumplimiento de esta.

Finalmente, estos conceptos que pudieran parecer abstractos, he tenido la oportunidad de aplicarlos como directrices en corporaciones internacionales con sistemas muy robustos de gestión y administración corporativa; pero también de establecerlos desde su diseño, creación e implementación.