La seguridad se debe entender como un proceso, es decir que el mismo es continuo y se busca un resultado específico mediante la realización de actividades interrelacionadas. Es erróneo pensar la seguridad como un producto, es decir que tiene un inicio y un final.
Muchas veces se considera que mediante la adquisición, instalación o contratación de soluciones de seguridad ya se resuelve cualquier inconveniente, pero esto es una falla de error de concepto de lo que es la seguridad.
En una organización, el fin último del personal abocado a tareas de seguridad (en sus distintas jerarquías) consiste en la protección de los distintos activos de la organización. Para poder realizar esta protección todos los integrantes de la organización tienen que conocer, comprender e internalizar estos activos.
En muchas ocasiones la falta de conocimiento en puestos operativos respecto de la visión estratégica de la organización, genera una afectación directa al propio objetivo de la misma.
En si es importante considerar varias cuestiones respecto de la gestión de recursos humanos y la gestión orientada a procesos.
A continuación se desarrollan de forma breve algunos fallas recurrentes en los servicios de seguridad.
- Falta de compromiso institucional: la ausencia de la comprensión de que las actitudes que se llevan a cabo en el ámbito laboral influyen (de forma positiva o negativa) en la institución en su conjunto. La visión compartida respecto de todos los integrantes de la institución hace al correcto funcionamiento de la misma.
- Fallas en la comunicación interna: muchas veces generadas por mecanismos de comunicación anticuados o poco efectivos, la falta de información, la suposición de conocimiento de otros generan conflictos en el proceder y situaciones conflictivas. En muchas ocasiones la cultura del oscurantismo en la seguridad terminan jugando en contra de la mismas tareas de seguridad. Esta comunicación interna debe ser tanto ascendente como descendente. Se debe percibir correctamente los lineamientos de la conducción a su vez como conocer y actuar en consecuencia frente a la información que otorgan las áreas operativas. Para que exista una correcta comunicación debe haber confianza entre las partes.
- Exceso de confianza: el exceso de confianza genera, con el correr del tiempo, la fallas en el proceder. Es por esto que el cumplimiento de las normativas internas debe mantenerse más allá de cualquier afinidad con otro individuo de la organización.
- Poco seguimiento y control: las tareas de supervisión son fundamentales, es por esto que el seguimiento y control debe ser permanente, generando indicadores que permitan tomar decisiones sobre acciones a corregir.
- Falta de Retroalimentación: una advertencia a tiempo o un reporte adecuado puede evitar muchos conflictos a futuro. Es por esto que la retroalimentación (feedback) es importante. Cualquier sugerencia u opinión se debe considerar para poder mejorar la calidad del servicio de seguridad. No se debe entender a estas observaciones como “una afectación a la imagen” ni una “crítica al honor”, sino como parte de un proceso de mejora continua para desarrollar mejor las tareas.
- Documentación de incidencias: una falla frecuente es la falta de documentación de las incidencias de seguridad. En si toda actividad debe estar registrada para su correcto seguimiento, pero el registro no suele tener información integra. También sucede que estos registros son realizados en formatos de difícil procesamiento que genera una demora tanto en su producción (escritura) como acceso (lectura). Los llamados “libros de guardia” que aún persisten en la actualidad son elementos que en ocasiones no reflejan la realidad en su conjunto y que se deben contrastar con otros medios (supervisión in situ, videovigilancia, entrevistas, etc). Una alternativa posible es el libro de guardia en formato digital, pero no es implementado y a su vez algunas normativas no lo avalan.
- Desconocimiento o falta de normas internas: la definición de Políticas (documentos de alto nivel) y de Procedimientos (escritos de forma secuencial para llegar a objetivos determinados), son fundamentales para un correcto accionar. Estas normas deben estar escritas, comunicadas y mantenerse actualizadas, a la vez que estar definidas mediante el esquema de asignación de responsabilidades.
- Falta de definición de responsabilidades: el desconocimiento respecto de la pregunta “¿cual es mi trabajo?” genera muchos malos entendidos, es por esto que es importante tener definiciones claras a la vez que contar con un canal adecuado para en caso de una duda poder consultar a alguna otra persona. Acá es importante conocer la función (es decir una estructura acorde a la especialidad) y el rol que se cumple, entendiéndose al mismo como el conjunto de actividades y responsabilidades asignadas. El modelo RACI es muy útil para poder tener definiciones claras. En última instancia es saber que las acciones tienen consecuencias.
- Flexibilidad: es frecuente que los deseos teóricos no coincidan con la realidad empíricas, es ahí donde debe existir una flexibilidad acorde a las circunstancias. En consecuencia debe haber una adecuación a las necesidades a la vez que se mantienen la visión estratégica de la organización.
- Capacidad de anticipación: adelantarse a determinadas situaciones con la finalidad de reducir incidencias. Consiste en plantear escenarios y soluciones posibles.
Es importante considerar que esta lista no es taxativa, sino que de acuerdo al ámbito y las circunstancias pueden existir otras falencias más marcadas.
Más allá de los conflictos lo importante es considerar los mecanismos de corrección y que estos sean adecuados. De nada sirve una sanción si luego las fallas persisten. A la vez se debe considerar que en general en todo conflicto las responsabilidades son compartidas (con distintos grados de responsabilidad claro está), pocas veces son de una sola persona. Tal como dice el dicho «la culpa es del chancho y el que le da de comer».
Es por esto que se debe realizar un correcto diagnostico de las fallas estructurales y planificar mecanismos de corrección con el fin de resolver el problema desde su raíz. Respecto de esto último es frecuente que una falla en un rol operativo en realidad demuestre una falla en otras instancias de gestión o incluso externas a la organización.
La falta de una adecuada planificación y anticipación, genera que se termine constantemente “apagando incendios”, esto en ocasiones se produce por un desconocimiento de los recursos disponibles, su sobre exigencia o su falta de control y corrección. Otros factores como la falta de comunicación o condiciones no adecuadas pueden producir la baja en la calidad del servicio, es ahí donde el conocimiento del personal a la vez que determinar mecanismos de motivación son importantes (enfoque orientado a las denominadas “habilidades blandas”).
En ocasiones un exceso normativo es contraproducente ya que es confuso y poco aplicable, además que es propicio hacia la arbitrariedad (cuanto más compleja es la norma más posibilidad de contradicciones e interpretaciones variables). También se deben considerar distintas factores como los recursos humanos y técnicos disponibles, lo que pueden generar un rango de tolerancia mayor o menor a la realidad del lugar y momento determinado.
Para concluir, se puede afirmar que la seguridad, como un proceso continuo, cuenta con varios mecanismos para generar mejoras. Pero en ocasiones las mismos no son implementadas, entre otras razones, por no contar con canales adecuados de comunicación. También en ocasiones fallan los seguimientos. La planificación de una estrategia de mejora puede generar una mejora al servicio de seguridad beneficiando a toda la organización.
Por último se deja un concepto fundamental de ITIL “Medir para poder Gestionar”:
“– No se puede gestionar lo que no se puede controlar.
– No se puede controlar lo que no se puede medir.
– No se puede medir lo que no se puede definir.”
A continuación se comparten documentos donde se pueden profundizar el tema y en el cual se basaron algunas de las cuestiones descriptas:
- Política de Seguridad de la Información Modelo – ONTI Disposición 1/2015
- Manual de Competencias Cardinales para el Personal de las Fuerzas Policiales y de Seguridad – MINSEG Resolución 324/2018 – Versión Simplificada
- Texto Ordenado A4609 (Banco Central República Argentina)
- Procesos,Funciones y Roles en ITIL (Information Technology Infrastructure Library)
- La gestión por procesos: un enfoque de gestión eficiente
- ITIL, Conceptos y principios