Entrada destacada

PRESENTACION

“Toda idea nueva pasa inevitablemente por tres fases: primero es ridícula, después es peligrosa, y finalmente… ¡todos lo sabían!.      ...

miércoles, 30 de mayo de 2018

La seguridad informática en el nuevo reglamento de seguridad privada: oportunidades y obligaciones (II)


MEDIDAS DE SEGURIDAD INFORMÁTICA 


Vamos a estudiar las oportunidades de negocio que se inician debido a las obligaciones de terceros: Las medidas de seguridad informática a adoptar, con carácter general, por los sujetos obligados a ello, consistirán en: 

a) Política de gestión de incidentes que defina su resolución y la relación con otros centros operativos de seguridad. 

b) Definición de roles y funciones de seguridad que garanticen que la ciberseguridad forme parte de su estructura organizativa. 

c) Plan de formación e información sobre responsabilidades asignadas al personal en materia de ciberseguridad. 

Y estas medidas comprenden, según el caso y adaptado a su nivel de criticidad: 
  • Medidas específicas de detección y protección contra el software dañino. 
  • Dispositivos o herramientas de monitorización y control de accesos a la red, cuya configuración permita establecer restricciones y protecciones adicionales sobre los flujos de datos permitiendo o bloqueando los accesos en función del nivel de autorización requerido. 
  • Normas y procedimientos robustos específicos de protección de la información mediante técnicas de control de accesos y/o cifrado. 
  • Redes privadas virtuales (VPNs), con fines de extensión segura de la red local sobre una red pública o no controlada, para permitir accesos o conexiones virtuales punto a punto, autorizados. 
  • Elementos, dispositivos o medidas de control de accesos, con sistemas de autenticación robusta o fuerte, en su caso, que permitan a las personas autorizadas el acceso a los activos, recursos del sistema o zonas o áreas protegidas e integren soluciones de detección de accesos no autorizados en tiempo real. 
  • Medidas de configuración segura de elementos técnicos, mediante el establecimiento de normas de seguridad, disponiendo de planes de actualización que minimicen las eventuales vulnerabilidades detectadas. 
  • Protección de activos y copias de respaldo, aplicando medidas específicas en todo su ciclo de vida, incluyendo su destrucción. 
  • Medidas de protección específica de los servicios del sujeto obligado expuestos en redes públicas, como accesos remotos, servicios y aplicaciones webs, o servidores de mensajería o correo electrónico. 
  • Establecimiento de normas y configuraciones seguras para los equipos portátiles y dispositivos móviles del sujeto obligado y protección de sus accesos desde redes públicas a redes internas. 
  • Tecnologías o dispositivos específicos de detección y prevención de intrusos, (IDS/IPS), con finalidades de detección y bloqueo de accesos no autorizados y/o actividades maliciosas y posibilidad de respuesta automatizada. 
  • Zona desmilitarizada, (DMZ). Entendida como zona segura ubicada entre la red interna de una organización y una red externa o pública, para la ubicación de elementos expuestos a redes públicas o privadas ajenas al sujeto obligado con finalidades de intermediación de los accesos externos a la red protegida. 
  • Tecnologías que permitan la captura de eventos y su correlación y gestión inteligente de logs, (SIEM). Con finalidades de establecer mecanismos de supervisión, control y auditoria del uso realizado sobre los sistemas de información. 
  • Establecimiento de medidas técnicas y organizativas para prevenir, detectar y contener ataques de denegación de servicio, sobre los sistemas de información del sujeto obligado. 
  • Monitorización de la integridad del sistema, eventos de seguridad de la información y comunicaciones y de las medidas de seguridad informáticas, entendidas como el conjunto de actividades necesarias para supervisar el funcionamiento permanente de las medidas de seguridad informática y el uso legítimo de los sistema de información, permitiendo garantizar la disponibilidad y la continuidad de los servicios que prestan los sujetos obligados y la confidencialidad e integridad de la información tratada por estos sistemas. 
  • Medidas específicas de segmentación y aislamiento de redes de datos, con la finalidad de reducir los riesgos de exposición de los activos informáticos frente a amenazas internas o externas. 
  • Establecimiento de registros de accesos, con fines de almacenamiento de la información sobre los accesos y uso de los usuarios, conforme a sus privilegios o perfil.
MEDIDAS DE SEGURIDAD A ADOPTAR POR EMPRESAS DE SEGURIDAD INFORMÁTICA 

  • Organizativas 
    • Plan de integral de seguridad 
    • Procedimientos de seguridad 
  • Físicas 
    • Puertas de accesos grado 5 
    • Protección de escaparates, huecos y ventanas exteriores 
    • Área restringida 
    • Control individualizado de acceso de personas 
  • Electrónicas 
    • Sistema de alarma grado 3 
    • Doble vía comunicación 
    • Conexión a central receptora de alarmas 
    • Doble sistema de alarma o partición activa 
    • Detectores sísmicos en paredes medianeras, en su caso 
    • Detectores volumétricos 
    • Detectores magnéticos 
    • Pulsadores atraco 
    • Sistema de videovigilancia conectado a central receptora de alarmas 
    • Sistema de registro de imágenes 
    • Sistema de alimentación ininterrumpida 
  • Informáticas 
    • Medidas de detección y protección contra software dañino 
    • Herramientas de control de accesos a la red 
    • Procedimiento de cifrado 
    • Redes privadas virtuales (vpns) 
    • Control de accesos - autentificación 
    • Configuración segura de elementos técnicos 
    • Protección de activos y copias de respaldo 
    • Medidas de protección servicios web y correo electrónicos. 
    • Normas de protección de equipos portátiles y sus accesos
    • Tecnologías de detección de intrusos (ids/ips) 
    • Zona desmilitarizada (dmz) 
    • Correlación eventos y gestión de logs (siem) 
    • Medidas de protección ataques ddos 
    • Monitorización de integridad/ eventos 
    • Medidas de segmentación y aislamiento de redes 
    • Registro de accesos 
Las empresas que están obligadas a tomar algunas o todas de las medidas anteriores son: 
  • Empresas de seguridad
    • Vigilancia y protección.
    • Acompañamiento, defensa y protección 
    • Deposito, custodia de fondos y valores
    • Transporte de seguridad y distribución de fondos y valores 
    • Deposito, custodia de explosivos, armas y cartuchería y sustancias peligrosas 
    • Transporte y distribución de explosivos, armas y cartuchería 
    • Instalación y mantenimiento 
    • Explotación de central receptora de alarmas 
  • Detectives 
    • Despachos y sucursales 
  • Empresas de seguridad informática 
    • Instalación, integración y mantenimiento de medidas 
    • Alojamiento virtual y almacenamiento de datos 
    • Análisis, monitorización, y/o respuesta a incidentes
  • Sector financiero 
    • Entidades bancarias, financieras o de crédito 
    • Centro de proceso de datos de entidad bancaria o financiera o de crédito 
    • Oficina/sucursal bancaria 
    • Cajeros desplazados 
    • Bancos móviles 
    • Módulos transportables 
    • Oficina cambio divisas 


CONCLUSIONES 

No es un texto definitivo, se pueden mandar sugerencias a ucsp.reglamento@policia.es

Si tienes una empresa de seguridad informática o relacionada con las nuevas tecnologías, contrata un director de seguridad te hará la vida más agradable y generará nuevas líneas de negocio. 

Si tienes una empresa de seguridad privada, contrata a un experto en dirección y gestión de la ciberseguridad, a partir de ahí analiza el cumplimiento normativo y analiza la posibilidad de ampliar líneas de negocio. 


Salvador Gamero 
Director y Jefe de Seguridad 
Máster en Dirección y Gestión de la Ciberseguridad 


lunes, 28 de mayo de 2018

La seguridad informática en el nuevo reglamento de seguridad privada: oportunidades y obligaciones (I)


El Ministerio del Interior ha hecho público oficialmente el borrador del nuevo reglamento de seguridad privada, por fin un texto sobre el que trabajar, y con una previsión de aplicación inminente. En el sector de la seguridad privada es una normativa muy necesaria puesto que teníamos una ley de 2014 y un reglamento de 1994 (las leyes marcan directrices y los reglamentos especifican como llevarlas a cabo), un chorreo de órdenes ministeriales de adaptación a los tiempos y normativas varias. Esto impedía la transparencia en una actividad en la que interfieren: derechos fundamentales de la ciudadanía, derechos de los clientes que contratan los servicios y la seguridad ciudadana. Me atrevo a realizar este análisis debido a que la extensión del documento, 444 páginas, y lo heterogéneo de su contenido, no lo hacen apetecible para los responsables de empresas de seguridad informática. Las empresas de informáticas en general, en las que destaca el dinamismo y la capacidad de adaptación, van a ser engullidas por un sector muy encorsetado y sometido a régimen sancionador, auditorías externas, etcétera. 

DISCLAIMED: Yo no he hecho el reglamento, únicamente me dedico a su estudio de impacto para la comunidad de seguridad informática. 

Para las empresas de seguridad informática tiene un lado positivo y otro negativo: 

1. PARTE NEGATIVA: Las obligaciones que llegan a las empresas de seguridad informática no son pocas, y además conceptos desconocidos. Para empezar a tomarnos esto un poquito en serio os pongo el cuadro de medidas obligatorias tanto organizativas, físicas, electrónicas e informáticas, que más adelante se desarrolla. Con conceptos como “plan integral de seguridad”, “procedimientos de seguridad”...Estarás pensando “esto va a costar dinero”. 
2. PARTE POSITIVA: Dentro de las medidas obligatorias de otros sectores se incluye medidas informáticas, por ejemplo; un despacho de detectives tendrá que tener un IDS Sistema de Detección de Intrusos en la Red, y muchas otras medidas. Ahora deberías estar pensando “a esto se le puede sacar dinero”. 

PREÁMBULO 

Esta es la justificación: 

Otra de las novedades más importantes de este título viene constituida por la definición de las actividades que, a efectos de este reglamento, se consideran de seguridad informática, imponiendo a las empresas que las lleven a cabo, sean o no de seguridad privada, el cumplimiento de requisitos específicos para garantizar la calidad de sus servicios en función de los usuarios concretos a quienes los presten. De esta manera, la seguridad informática encuentra su primer desarrollo reglamentario en España, desde el más absoluto respeto a la normativa sobre protección de las redes y sistemas de información que pueda elaborarse. 

Siguiendo con el preámbulo te va cortando el cuerpo cuando habla del Título IX (Control e inspección): 

Otra importante novedad introducida en este título es el establecimiento de un régimen de auditoría externa obligatorio para las empresas de seguridad informática, las empresas de seguridad privada que pretendan prestar servicios de seguridad privada en sectores estratégicos definidos en la normativa de protección de infraestructuras críticas y las empresas de seguridad privada prestadoras de determinados servicios, así como para ciertos sujetos obligados al cumplimiento de medidas de seguridad privada. 

Si tenemos en cuenta que el Título X detalla el Régimen sancionador, creo que el interés en este análisis debería de ir subiendo por parte del lector. 

Pues empecemos, ¿Qué se hace al principio del primer día de clase? Pasar lista: 

Disposición transitoria decimocuarta. Anotación registral de actividades de seguridad informática. 

1. Las empresas que lleven a cabo las actividades de seguridad informática definidas en este real decreto, a su entrada en vigor deberán proceder a interesar su anotación en el registro correspondiente dentro del plazo de adecuación fijado en el mismo. 

“””Pueden vestir a la mona de seda, pero esto se llama control. Siendo evidente que nace de la preocupación general sobre la seguridad de la información. Había que hacer algo por parte de los responsables de garantizar la seguridad y han hecho esto, el tiempo dirá si ha sido acertado.Este control no va a ser llevado mayoritariamente por informáticos, pero se generan esos logs para identificar si fuera necesario estudiar según que escenarios...“”” 

Disposiciones Comunes 

La Secretaría de Estado de Seguridad tiene entre sus competencias “controlar e inspeccionar a las empresas que realicen actividades de seguridad informática”. La Dirección General de la Policía, la anotación registral de las empresas de seguridad informática. 

Ejercicio de funciones profesionales de seguridad privada 

Veo necesario explicar la figura del Director de Seguridad para que, si el lector es profano en la materia pueda valorar este actor con la relevancia que puede tener dentro de las empresas de seguridad informática. El director de seguridad, siendo una habilitación de seguridad del Ministerio del Interior, sin embargo, trabaja en las empresas que NO son de seguridad privada. Algunas empresas tienen la obligación de tenerlo contratado (constituyendo un departamento de seguridad), como por ejemplo las infraestructuras críticas. No es el caso de las empresas de seguridad informática, aunque si podría contratarlo y formar el departamento de manera “facultativa”, incluso esta figura puede ser externa, sin tener que pertenecer a la plantilla, como si ocurre en las organizaciones que tienen la obligación de disponer de un departamento de seguridad. 

Su importancia radica en la confianza que en su figura deposita la administración, sirva como ejemplo el siguiente dispendio, que los estudiosos de la constitución considerarán extraordinario: 

De acuerdo con el artículo 36.1i) de la Ley, el director de seguridad podrá realizar comprobaciones tendentes a acreditar la solvencia técnica y honorabilidad de las personas que puedan tener acceso a áreas o informaciones sensibles de la misma. Estas comprobaciones podrá realizarlas por sus propios medios o mediante la contratación de servicios de investigación privada. Por su parte, las Fuerzas y Cuerpos de Seguridad podrán facilitar al director de seguridad las informaciones necesarias para prevenir un peligro real para la seguridad. 

Entre sus funciones, está la de ser enlace con las Fuerzas y Cuerpos de Seguridad y con otras instituciones oficiales cuando sea requerido. Ser el responsable de la seguridad a todos los niveles y de los planes formativos y de concienciación en seguridad. Para que nos entendamos, hace de intermediario y aglutina la confianza de ambas partes, empresa/administración. Su trabajo se canaliza a través de los planes de seguridad que el mismo desarrolla. 

Planes de seguridad (Textual del reglamento) 

La planificación de seguridad es la principal herramienta de prevención, protección y respuesta de seguridad, destinada a realizar las previsiones oportunas sobre posibles riesgos y amenazas y la forma de atajarlos, disminuirlos o eliminarlos, mediante la programación detallada del conjunto de acciones a realizar y de los medios disponibles para alcanzar el objetivo de seguridad fijado. Los planes de seguridad privada, que podrán ser planes específicos de seguridad para eventos o acontecimientos concretos, o planes de seguridad corporativa, destinados a proteger el normal desarrollo de las actividades empresariales. La función de planificación atribuida a los directores de seguridad en el artículo 36.1c) de la Ley, se concreta en la elaboración y actualización permanente del Plan Integral de Seguridad de la empresa o entidad en la que preste sus servicios. 

Un reto apasionante, más si cabe al tener que gestionar perfiles humanos creativos o con habilidades técnicas muy desarrolladas, características que no siempre van unidas al ceñimiento a este tipo de normativas.
Medidas de seguridad privada I 

Ya en el artículo 199, catálogos de sujetos obligados, nos encontramos con esta clasificación, entre otros: 

a) Sector seguridad: 

1º. Empresas de seguridad. 

2º. Despachos de detectives. 

3º. Empresas de seguridad informática. 

# Actividades a las que se les llama de seguridad informática, en el siguiente punto 

CAPÍTULO V 

Seguridad informática 

Artículo 225. Actividades de seguridad informática. 

1. De acuerdo con el artículo 6.6 de la Ley, se consideran actividades de seguridad informática las siguientes: 

a) La instalación o integración y mantenimiento de medidas de seguridad informática, físicas o lógicas, señaladas en el artículo 52.1c) de la Ley, incluida la configuración y actualización de soluciones tecnológicas. 

“””Para que no queden cabos sueltos, esto es lo que dice ese artículo de la ley: 

De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.””” 

b) Los servicios de alojamiento virtual y compartido o almacenamiento de datos digitales prestados a terceros. 

c) Los procesos destinados al análisis, monitorización, operación y administración de los sistemas de seguridad informática y, en su caso, respuesta a incidentes o eventos de seguridad de la información en el ámbito de las tecnologías de información y de las comunicaciones, prestados a terceros, a través de centros operativos de seguridad o equipos de respuesta a incidentes de seguridad de la información. 

La gestión y notificación de incidentes en este ámbito se regirá por la normativa sectorial de aplicación que regule la seguridad de las redes y sistemas de información. 

d) La fabricación o desarrollo de software y hardware de seguridad, siempre que no sea de propósito general. 

e) La consultoría, entendida como el asesoramiento experto en el diseño de plataformas tecnológicas, modelos de gestión de la seguridad, de soporte al cumplimiento legal, de estrategias, de gobierno, o cualquier otro relacionado con la seguridad informática. 

f) La auditoría de seguridad informática y diagnósticos especializados, entendidos como las acciones de revisión del cumplimiento de la política de seguridad, de su cuerpo normativo y procedimental y de los controles establecidos, así como la verificación del cumplimiento de las obligaciones legales vigentes en cada momento. Incluye actividades de búsqueda de vulnerabilidades para su solución, análisis forense, vigilancia digital u otras de similar naturaleza. 

REQUISITOS, REGISTRO, INFRACCIONES y AUDITORÍAS 

Los requisitos de las empresas, registros y régimen de infracciones, deben ser producto de un análisis personalizado de cada empresa, por lo que no se incluyen en este primer análisis, aunque se puede entresacar entre otros muchos: 

Las empresas prestadoras de servicios de seguridad informática, de conformidad con lo dispuesto en el artículo 6.6 de la Ley, para garantizar la calidad de los servicios que presten deberán disponer, en función de los mismos como requisitos específicos, de las certificaciones de calidad, seguridad, continuidad de negocio y gestión de riesgos, expedidas por entidades de certificación acreditadas, en los términos que establezca una orden ministerial, que, en todo caso, incluirá. como exigencia común a todas ellas, la obligación de disponer de un sistema de gestión de calidad certificado en base a la norma UNE-EN ISO/IEC 9001, relativo a los procesos operativos de sus servicios, así como, en relación a las actividades del artículo 225.1, párrafos a), b) y c) 

Y como ejemplo de infracciones: 

Artículo 240. Infracciones muy graves. 

La prestación de servicios de seguridad privada sin haber obtenido la preceptiva autorización para la clase de actividades o servicios de seguridad privada de que se trate, o presentado la correspondiente declaración responsable. 

Respecto a las auditorías, deriva a que se analizarán que se está cumpliendo, además de lo referente al propio reglamento de seguridad privada, el cumplimiento con el resto de normativa de la seguridad de la información, aunque primero dice “Digo”: 

La auditoría, se realizará sobre aspectos exclusivamente relacionados con las obligaciones, requisitos y medidas de seguridad privada, a que estén obligados, o que hayan implementado adicional o voluntariamente, las empresas de seguridad informática. 

En los requisitos específicos dice “Diego”: 

La empresa de seguridad informática, en relación con la gestión y notificación de incidentes en este ámbito, se rige por la normativa específica de aplicación reguladora de la seguridad de las redes y los sistemas de información. 

El cumplimiento de las disposiciones y protocolos de gestión y notificación de incidentes establecidos por la normativa específica de aplicación reguladora de la seguridad de las redes y los sistemas de información, se acreditará mediante presentación de declaración responsable por el representante legal de la empresa, o en su caso, por el titular del departamento de seguridad de la empresa de seguridad informática, evaluándose, al menos, un tercio de los procedimientos de gestión de incidentes, así como de las notificaciones realizadas por la empresa de seguridad informática, seleccionados aleatoriamente por el Organismo Auditor 

Salvador Gamero
Director y Jefe de Seguridad
Máster en Dirección y Gestión de la Ciberseguridad





lunes, 21 de mayo de 2018

Del Vigilante de Seguridad al Agente de Seguridad Privada


El gran emprendedor Richard Branson nos advierte que “la  complejidad es tu enemigo. Cualquier tonto puede hacer algo complicado. Lo difícil es mantener las cosas simples”.

Cuando se echa la vista atrás, no hace falta ir mas allá de 25 años, se puede ver lo rápido que ha evolucionado la ciencia, la tecnología, la sociedad, y con ellas adaptándose a las nuevas realidades y necesidades de la ciudadanía, el mundo financiero y de los “negocios”. 

Es evidente la evolución de los modelos de negocio, que ha favorecido a aquellos que mejor se han adaptado a las nuevas tecnologías y necesidades sociales en detrimento de otros, grandes en su momento, pero incapaces de adaptarse a las nuevas realidades, debido a su falta de flexibilidad y creatividad, convencidos de que su mero tamaño les hacia invulnerables cual grandes dinosaurios del Jurásico. Apple, Microsolft, Google, Amazon, Virgin o Facebook, fueron creadas casi de la nada con los mejores recursos posibles; la imaginación y la creatividad.

Curiosamente el sector de la seguridad privada en España ha pretendido vivir ajeno a estas nuevas realidades, únicamente preocupado por maximizar los beneficios empresariales aun a costa de precarizar el sector, arrastrar a  la miseria a sus profesionales y reducir la calidad del servicio prestado con el único fin de obtener suficiente margen de maniobra para sostener infraestructuras y jerarquías.  

Sin embargo, la sociedad moderna, exige nuevos estándares no solo de calidad en la seguridad, pública y privada, sino también  lo que desde ya hace un par de décadas viene denominándose responsabilidad social corporativa, es decir una concienciación de que no todo vale a la hora de obtener lucro económico. Conviene recordar que a fin de cuentas la seguridad privada es en gran medida complementaria, que no sustitutiva, de la seguridad pública, atendiendo a la satisfacción de una necesidad social y como tal firmemente regulada por la Administración.

La crisis económica no hizo sino agravar esta situación. Las empresas en lugar de adaptarse reduciendo costes innecesarios, especialmente ejecutivos y de ineficiencia operativa, decidieron recortar salarios, formación y derechos sociales a sus empleados, cuando no despedir al personal más cualificado y experimentado para sustituirlo por jóvenes inexpertos e inmaduros , con la consiguiente degradación del servicio que conlleva la desmotivación y falta de preparación de buena parte de los vigilantes, personas que conviene recordar, portan un arma y deben velar por la seguridad de todos. Tristemente la respuesta de la Administración Pública a esta degradación de la calidad de la seguridad privada no ha estado a la altura, llegando incluso a aprovechar el subastéo de precios de las licitaciones para reducir costes sin atender a los criterios de calidad de los servicios públicos.

A todo este desolador panorama sectorial ajeno a las necesidades sociales de sus clientes internos y externos, hay que unir los retos de las nuevas amenazas a la seguridad pública y privada en Europa, especialmente las concernientes al terrorismo internacional, pero también otras como el crimen organizado y la violencia de género o la proliferación de movimientos políticos racistas, excluyentes y xenófobos, o la necesidad de garantizar el funcionamiento de las infraestructuras de transporte y comunicaciones, tan necesarias para el desarrollo económico.  

Estas amenazas, requieren una respuesta adecuada en primer lugar por parte del Gobierno y la Administración Pública, que son los responsables de garantizar con las máximas garantías posibles, la seguridad de la ciudadanía, es decir aquellos que con sus impuestos, pagan los recursos que gestionan en su nombre.

Es evidente que las Fuerzas de Seguridad del Estado (FCSE) no están en condiciones de garantizar el cumplimiento de los nuevos estándares de seguridad pública que exige la ciudadanía de un país occidental moderno, al no regirse su gestión por criterios de eficiencia.

Las FCSE son parte de la Administración Pública española y comparten sus mismas carencias e ineficacias que se pueden resumir en absoluta falta de flexibilidad, incluida su política de plantillas, puestos y destinos,  ausencia de asunción de responsabilidades y disciplina laboral, falta de decisión, cadenas de mando interminables, falta de criterios de merito en los procesos de ascenso, métodos de reclutamiento y selección propios del siglo XIX, falta de motivación, y mi favorita, ausencia de toda conciencia de ser un servicio a la ciudadanía, considerando a los ciudadanos súbditos al servicio de la Administración Pública.

Bajo estos parámetros, y por mucho empeño que ponen los agentes de la seguridad pública en cumplir abnegadamente su función a pie de calle y de cara al ciudadano, su eficacia se ve comprometida por las cargas que impone una gestión pública ineficaz. Por cada agente en la calle en tareas de seguridad ciudadana hay al menos otros 3 funcionarios en puestos burocráticos, de mando o dedicados a tareas auxiliares. De esta forma el coste real de cada agente de seguridad ciudadana efectivo se eleva a costes difíciles de cuantificar.

Cataluña ha puesto en evidencia los límites de la respuesta de la seguridad pública a los problemas puntuales o emergencias de seguridad, eso sin contar con el riesgo de su posible cronificación.

La posibilidad de ser reforzadas o respaldadas por las Fuerzas Armadas (FAS) es poco realista. Las FAS ya están al límite de su operatividad, con unas plantillas demasiado ajustadas y una estructura burocrática y logística similar a la de las FCSE que supone que solo podría aportar unos escasos miles de efectivos reales operativos, a cambio dejarlas incapaces de asumir sus fines de defensa de los intereses nacionales.

Tampoco parece que el sector de la seguridad privada nacional esté en condiciones de dar respuesta a los nuevos retos de la seguridad. Con unas empresas con modelos de gestión y decisión del siglo pasado, con unos gastos de estructura y necesidades de lucro económico que suponen más del 50% de los ingresos, y buscando compensar su ineficiencia empeorando condiciones laborales de los vigilantes de seguridad, expulsando del sector a los más eficaces y experimentados para sustituirlos por bisoños poco exigentes, mas complacientes y menos motivados, no parece estar a la altura de los estrictos requisitos que requiere el respaldar a las FCSE en sus labores de seguridad al servicio de la ciudadanía. En ese contexto, el conflicto laboral de los servicios de seguridad privada contratados por la empresa pública AENA, no es más que la punta del iceberg que se esconde tras la precarización del sector.

Por todo ello la solución a los nuevos retos de la seguridad pública deben ser afrontados con nuevas perspectivas. En primer lugar está claro que sería negligente por parte de los responsables de gestionar la seguridad pública, no planificar adecuadamente los posibles escenarios de seguridad posibles a corto, medio y largo plazo, para determinar en que medida, puestos y escenarios la seguridad privada puede y debe colaborar en garantizar a la ciudadanía su derecho a la seguridad.

Existe un gran abanico de ámbitos en los que la seguridad privada puede sustituir o respaldar a las FCSE, especialmente considerando las nuevas amenazas de seguridad pública. Desde la protección de infraestructuras criticas, de transporte y comunicaciones a la protección de intereses nacionales en el extranjero, pasando por la seguridad de las víctimas de violencia de género.

No es nada nuevo. En el pasado ya la seguridad privada asumió competencias tan sensibles como a escolta de personalidades publicas en respuesta a amenazas terroristas, y ahora lo hace en tareas de protección de mujeres amenazadas por violencia de género. Incluso ha asumido competencias de seguridad en el exterior de España protegiendo los pesqueros nacionales en el Índico, incluso con el empleo de armas de guerra. Dicha labor ha sido desempeñada fundamentalmente por exmilitares experimentados.

Sin embargo la realización eficaz de estas tareas en los nuevos entornos de seguridad  requiere avanzar en la figura tradicional del vigilante de seguridad, tal y como es concebido y sobre todo considerado y maltratado por el sector de la seguridad privada y la administración pública. Igual que en su día se realizó con otras figuras de la seguridad privada como son los escoltas, es preciso establecer una nueva figura y requisitos que se adapten a las nuevas necesidades. Hay que crear y dar contenido al concepto del Agente de Seguridad Privada. Un profesional altamente cualificado, motivado y capacitado para asumir nuevas responsabilidades, pensando siempre en el servicio público a la ciudadanía como único objetivo de su trabajo. Un tipo de profesional que encaja con el perfil que ofrece el personal con amplia experiencia de servicio en las FAS, los escoltas que garantizaron la continuidad del Estado de Derecho enfrentando la amenaza terrorista y muchos veteranos profesionales de la seguridad altamente preparados y experimentados, desechados por un sistema cuyo único fin es primar los intereses económicos y el lucro  sobre la calidad del servicio y los intereses públicos.

Está claro que es todo un reto que precisa de amplitud de mente, capacidad de decisión y valentía por parte de los responsables de gestionar la seguridad en España. Pero sobre todo es necesario ser muy cuidadosos a la hora de establecer los requisitos que se exijan al sector de la seguridad privada para gestionar semejante responsabilidad.

“La  complejidad es tu enemigo. Cualquier tonto puede hacer algo complicado. Lo difícil es mantener las cosas simples”. Las nuevas formas de gestión empresarial, basadas en la excelencia, la flexibilidad,  el compromiso y la formación, con jerarquías planas y sin gastos de estructura, son la única fórmula para que el sector de la seguridad privada se adapte a las nuevas realidades y necesidades que imponen los nuevos retos de la seguridad.

Un hombre triunfador es aquel que puede hacer una base firme con los ladrillos que otros le han tirado.


Jose Federico Villamil Calva
fedevillamil@fortiumsc.eu
Coordinador del blog
Coordinador de la División Fortium ITS

miércoles, 9 de mayo de 2018

La instrucción de tiro en la seguridad privada

Winston Churchill afirmaba que “las actitudes son más importantes que las aptitudes”.

Una de las mayores satisfacciones que me ha dado mi vida militar es haber podido disfrutar de excelentes oportunidades para la ejercitación del tiro, una de mis grandes aficiones, que además también practico en sus modalidades deportivas civiles. La cosa más importante que he aprendido en tantos años de instrucción y entrenamiento, es que nunca se sabe lo suficiente.

Durante  años he sido responsable de la instrucción de tiro militar en las unidades en las que fui destinado. Una tarea en la que me he esforzado siempre por lograr la máxima eficiencia para obtener los mejores resultados de mis pupilos empleando los cada vez más menguantes recursos para la instrucción de tiro, entiéndase escasez endémica de munición.

Tantos años, y cientos de ejercicios de tiro dirigidos, me han dado una cierta experiencia a la hora de determinar las causas de los errores típicos de tiro, así como de la mejor manera de instruir técnicamente a los tiradores para que lleguen a las prácticas con la suficiente base de conocimientos como para poder garantizar un buen rendimiento que permitirá una pronta corrección de los errores comunes, especialmente en el empleo de armas cortas, y un rápido progreso hacia técnicas más complejas.

Hace unos años me decidí a sacar la habilitación como instructor de tiro de seguridad privada, en el proceso esperaba aprender nuevos conocimientos que aplicar a mi propia instrucción de tiro. Sin embargo lo cierto es que mas allá de legislación y recordar algunos conceptos muy rudimentarios de las técnicas de tiro, poco mas pude sacar de provecho de la fase teórica, que escasamente requiere más de 10 días para su preparación. 

Antes de asistir al examen práctico, pedí permiso para poder observar  una de las prácticas de tiro de seguridad privada en el campo federativo. Sinceramente, fue bastante frustrante la experiencia. A mas de cierto descontrol y relajación de las normas, todo con el fin de agilizar la sesión y sin amenazar en absoluto la seguridad, lo que me llamó la atención fue que los “instructores” simplemente se dedicaban a anotar los impactos obtenidos por los vigilantes y escoltas sin tomarse el mas mínimo esfuerzo en explicar las causas de los errores observados en las agrupaciones de tiro.

Durante la realización de la prueba práctica de la habilitacion, dado el retraso en la prueba tuve oportunidad de departir con el resto de candidatos, dándome cuenta entonces de la razón de la baja capacitación general que observé en los ejercicios de tiro de los vigilantes de seguridad.

Uno de los candidatos, que logró además su habilitación, apenas sabía disparar lo justo que se le había enseñado en un fugaz cursillo de tiro impartido en una academia de seguridad semanas antes. Ver su agrupación dispersa o mejor dicho esparcida por toda la silueta daba buena cuenta de sus carencias, más allá del mero conocimiento teórico que debe suponersele, habiendo aprobado el examen tipo test. Salvo un Guardia Civil, con amplia experiencia en tiro, el resto apenas tenían algo más de conocimiento del que dan las tiradas semestrales de calificación. Todos ellos hoy son instructores de tiro habilitados y por tanto se consideran o se les considera capacitados para la formación en técnicas de tiro.

La conclusión que pude sacar de esta experiencia es que la habilitación de instructor de tiro de seguridad privada debería llamarse más bien habilitación de jefe de línea de tiro de seguridad privada, ya que en realidad dicha habilitación en nada asegura que el poseedor disponga de los conocimientos y experiencia necesaria para impartir verdadera instrucción de tiro, al menos tal y como yo la entiendo en base a mi experiencia.

No me cabe la menor duda de que existen grandes profesionales de la instrucción de tiro en la seguridad privada, incluso conozco alguno, el cual por cierto no ejerce dado que es un mundo muy cerrado donde solo una minoría de “adecuados” a los ojos de las empresas de seguridad ejerce esa función. Pero hay que considerar dos cosas a la hora de valorar la verdadera aptitud para la instrucción de tiro.

La primera es que para poder instruir, hay que tener una gran experiencia previa y una práctica frecuente de la actividad.

La segunda y aun mas importante, es que no basta con tener experiencia suficiente, hace falta además ciertas habilidades pedagógicas y un buen plan de instrucción. Saber no garantiza saber enseñar.

Esto último es especialmente importante porque la instrucción de tiro es algo más que ir a la galería de tiro a “pegar unos tiros”. Es todo un proceso con forma triangular, cuya base o cimientos son unos buenos conocimientos teóricos sobre los fundamentos del tiro, que deben ser luego aplicados en sesiones de instrucción técnica de tiro, el “odioso” tiro en seco. Es recomendable también, siempre que se pueda, la práctica del tiro con aire comprimido, y de ser posible el uso de entrenadores técnicos de tiro, como el SCATT. Solo cuando el alumno está suficientemente capacitado y ha interiorizado todos los conceptos básicos que fundamentan la práctica del tiro, se le debe enfrentar ante la diana con munición real.

Hay que tener un programa claro y preciso de tiro, que permita al alumno  avanzar progresivamente en su capacitación a la vez que se mantienen las habilidades previamente obtenidas.

Es fundamental corregir los vicios y defectos del tiro, antes de intentar avanzar en el aprendizaje. Hay que dedicar cuanto tiempo sea necesario a esta tarea. No hay que ser conformista a este respecto. Y por supuesto hay que desterrar las típicas excusas autocomplacientes de esto no es lo mío, tengo un mal día, la luz no es la adecuada, o esta pistola es una mierda.

Mi experiencia me indica que los principales defectos en los que suele incidir la mayoría de los neófitos, y muchos de los que han sido mal instruidos son:

El famoso gatillazo, o forzar el disparo con el consiguiente cabeceo del arma al disparar, dando como resultado disparos muy bajos. Este problema es el primero que debe resolverse. Inicialmente en la instrucción técnica de tiro en seco, repitiendo la operación de disparo hasta que se convenza que no se mueve el arma al disparar, pero aun así el neófito al enfrentarse al tiro real muchas veces es incapaz de reproducir correctamente el proceso de disparo debido a la tensión generada. Lo peor es que el disparo real impide ver el movimiento del cañón propio de la acción incorrecta. Es por ello que se debe alternar de forma aleatoria en las primeras series de disparos munición real con casquillos ya disparados, que al efectuar la acción sobre el gatillo permitan observar la correcta realización de la acción.

Ausencia de, o mala alineación de los puntos de mira. Es otro problema que suele surgir a pesar de todo lo que se insista en la instrucción técnica de tiro. El tirador nobel, o no tanto, se obsesiona con hacer encajar permanentemente el punto de mira en el exacto 10 del blanco desentendiéndose de la alineación con el alza, con las evidentes catastróficas consecuencias de dispersión o desparrame, muchas veces más allá de lo observable en el blanco. Accesoriamente hay otro error muy típico que es la mala alineación en altura del punto de mira con el alza, que produce disparos relativamente agrupados, pero altos o bajos.

Estos errores una vez detectados se pueden corregir enfrentando al tirador a un blanco vuelto, es decir sin referencia alguna para apuntar, obligándole simplemente a tirar dentro del blanco, y centrarse solamente en apuntar correctamente y disparar sin pensar en nada más. Este método también es útil para corregir simultáneamente los problemas de gatillazo ya que el tirador se siente menos presionado con el momento preciso de accionar el disparador.

Errores en el empuñamiento. Son diversos, pero los más comunes son el incorrecto agarre del arma, apretar demasiado, no tener bien alineada el arma con la mano y mi favorito, relajar la presión sobre la empuñadura en el momento de realizar el disparo. Estos errores evidentemente tienen también su traducción en la agrupación o falta de ella dentro de la diana. Es importante por tanto observar bien al tirador durante el proceso de disparo para detectarlos.

Mala posición del dedo en el gatillo o arrastre al efectuar el disparo. Otro error muy común que debería ser eliminado en la fase previa de instrucción técnica de tiro, pero que suele resurgir al iniciar el tiro con fuego real. Normalmente este tipo de errores suelen ser aleatorios y se muestran como disparos alejados de la agrupación a izquierda o derecha. Para detectarlos bien es conveniente que el tirador saque el dedo del gatillo cada vez que efectúa un disparo, y desencare. De esta forma se le obliga a volver a situar correctamente el dedo en el gatillo a cada nuevo disparo.

Intentar compensar la relevación. Otro error muy común y que enraiza con el del gatillazo. Suele darse en aquellos casos en los aun no se ha perdido el miedo al arma. Se tiende a apretar con mucha fuerza y tirar hacia abajo del arma para intentar controlar la relevación del arma. Da lugar a disparos absurdamente bajos.

Fallos en el proceso respiratorio. Da como consecuencia disparos bien centrados pero desagrupados en altura. Es otro error que por mucho que se insista en la instrucción técnica de tiro vuelve a resurgir y es muy difícil de evitar, ya que es consecuencia de la falta de costumbre. Solo una frecuente práctica del tiro acaba con este vicio, siempre que sea descubierto y evidenciado.

Hay otros muchos errores, que pueden y deben ser detectados en la fase de tiro inicial, pero evidentemente haría falta hacer todo un manual de tiro para describirlos y ver su solución.

En mi opinión, el 90% de los errores de tiro básicos podrían corregirse previamente mediante una fase previa de tiro con aire comprimido o sesiones de tiro técnico con entrenador SCATT, pero desgraciadamente estas herramientas raramente han estado a mi alcance para la instrucción.

A partir de aquí, una vez evitados estos vicios, en el tiro de precisión, es cuando se puede ir avanzando en el tiro de combate o instintivo, lo cual requiere nuevamente muchísima instrucción técnica de tiro en seco, frecuente practica de tiro en galería, y por supuesto gasto, o inversión, en munición.

En mi opinión, una persona jamás debería poder portar un arma en público sin realizar al menos una práctica mensual de tiro de al menos 50 disparos, que son 15 euros en munición a precios de mercado minorista. Es evidente que con estas premisas, la inmensa mayoría del personal de seguridad público y privado debería llevar un plátano en lugar de pistola o revolver en la funda de su arma.

El hecho cierto, que denota las carencias de la instrucción de tiro o mejor dicho el desinterés por su corrección desde la Administración Pública, es que realmente no hay una conciencia de la necesidad de la misma, dando por hecho que rara vez se va a producir un enfrentamiento armado. Una vez más estamos ante el típico proceso de asunción del riesgo ante la falta de responsabilidades penales o administrativas por las consecuencias del hecho.

Un vigilante o policía mal entrenado, no solo puede poner en peligro su vida, sino la de los demás, sea por el hecho de alcanzar a un inocente, o porque de su incapacidad de anular la amenaza  provoque el contrario. Eso en el contexto de las nuevas amenazas que supone el terrorismo islámico, con individuos a veces fogueados en conflictos reales, dispuestos a todo, incluido la inmolación, puede llevarnos un día a situaciones dramáticas.

 “Las actitudes son más importantes que las aptitudes”. El aprendizaje y perfeccionamiento de las habilidades de tiro requieren una adecuada actitud fundada en la perseverancia, la constancia y el entrenamiento para obtener la necesaria aptitud para portar un arma de fuego y lo que es más importante estar en condiciones de usarla de requerirlo las circunstancias

Una disciplina es una senda de desarrollo para adquirir ciertas aptitudes o competencia

Jose Federico Villamil Calva
fedevillamil@fortiumsc.eu
Coordinador del blog
Coordinador de la División Fortium ITS


miércoles, 2 de mayo de 2018

El reto de la seguridad de la información

Sir Francis Bacon afirmó ya en el siglo XVI que “el conocimiento es poder”.

La seguridad de la información y de las comunicaciones tiene por finalidad poder garantizar la seguridad disponibilidad integridad y actualidad de la información que maneja la organización y sus integrantes.

En la sociedad postindustrial moderna, la información y el conocimiento es el verdadero motor que mueve el mundo. Su valor cada vez adquiere mayor relevancia y su gestión es fundamental para el desarrollo empresarial. En este contexto, hoy en día el robo, bloqueo, manipulación o eliminación de la información adquiere una importancia capital que supera con creces la del mero robo monetario. 

La gestión de la seguridad de la información tiene además otra vertiente cada vez más importante, la legal y las responsabilidades que enfrenta la empresa o institución pública o privada que no invierte el debido celo en su custodia, especialmente si está referida a datos personales.

Por último pero no menos importante está el daño a la cada vez mas importante imagen pública que puede suponer la interrupción de servicios informáticos a los clientes o el robo de su información privada.

Normalmente se pone mucho énfasis en la protección informática y sobre todo en lo referente al robo de datos a través de internet.  Así los cortafuegos, las copias de seguridad, el respaldo redundante de servidores, los antivirus y demás panoplia de medidas de protección en red son hoy en día la estrella de la seguridad de la información.

Es evidente que muchas empresas precisan de internet  para el desarrollo y gestión de sus operaciones. Las grandes empresas con múltiples centros de trabajo distribuidos geográficamente en el país o el mundo entero, las nuevas empresas fundadas en el negocio electrónico, y otros muchos modelos de negocio como hoteles, bancos, empresas de transporte… etc, son altamente vulnerables a los ataques o incidentes informáticos que afecten a su corriente continua de información, poniendo en riesgo su continuidad de negocio, que puede verse comprometida a veces incluso por meros minutos de caída de sus servidores informáticos. Conviene recordar por ejemplo el fallo global sufrido por British Airways hace unos meses por un mero error de un empleado que apago un servidor.

Sin embargo como este mismo ejemplo pone de relieve, muchas veces, por no decir las más de las veces, los riesgos de seguridad de la información no se deben tanto a amenazas externas como a las internas, sea por acción deliberada o accidental. Es por ello, que toda la seguridad informática que podamos pagar jamás garantizará la seguridad de la información y las comunicaciones, siendo imprescindible la adopción de medidas de gestión de la información que reduzcan o eliminen los riesgos intrínsecos del manejo de información por parte de los clientes internos y externos de las empresas.

Es evidente que las grandes empresas y organizaciones, así como aquellas que fundamentan su ventaja competitiva en las nuevas tecnologías, invierten ingentes cantidades de dinero para internar garantizar su seguridad. Sin embargo la mayoría de la empresas pequeñas y medianas ni tienen la capacidad ni sienten la amenaza, o más bien la asumen como una lotería que simplemente esperan no toque a su puerta.

Por otro lado, la vulnerabilidad se acrecienta con la popularización de nuevos dispositivos portátiles con conexión a internet, capaces  de almacenar y tratar información y recibir información. Tablet y smartphones y su uso discrecional, despreocupado y abusivo incrementan exponencialmente el riesgo de ataques a la seguridad de la información. Eso sin contar con la amenaza adicional de sus cámaras y dispositivos de grabación en manos desleales.

Los recientes ataques informáticos recibidos por muchas empresas, especialmente las pequeñas y  medianas, mucho más vulnerables, a las que se les llegaba a chantajear para recuperar su información o directamente veían borrados datos irremplazables pone de relieve la importancia de una adecuada política de protección de seguridad de la información y las comunicaciones en cualquier organización por pequeña o poco vulnerable que se sienta.

Existen una serie de sencillas medidas que pueden ser tomadas por cualquier empresa por pequeña que sea:

La primera es un análisis de los riesgos y su impacto para priorizar cuales son los más graves y así poder reducirlos o minimizarlos. En base a ello habrá que realizar el oportuno plan de seguridad de la información.

Es fundamental la formación y concienciación del personal para que puedan cumplir las normas que se establezcan.

Hay que establecer un sistema de clasificación de la información que determine su relevancia y criticidad en base a tres elementos:
  • Quienes deben conocerla. Normalmente la información más critica sólo debe ser conocida por un numero reducido de empleados.
  • El impacto económico de su perdida, filtración o modificación.
  • Las consecuencias legales de su perdida filtración o modificación..
En base a ello hay que ser muy cuidadoso a la hora de determinar que información y documentación va a estar disponible en servidores públicos o privados vía internet o intranet, y como va a estar disponible, para quien y en su caso, como se va a registrar el acceso a dicha información.

Hay que aislar la información sensible evitando usar para su visionado y tratamiento dispositivos vulnerables, básicamente aquellos con acceso a internet. La información sensible no debe estar contenida dentro de los propios dispositivos, a pesar de lo cómodo que resulte, sino en dispositivos de memoria externos, preferiblemente memorias solidas y a ser posible con algún mecanismo que limite su posible acceso no autorizado. Cuando se deba tratar esta información en dispositivos con acceso a internet este debe ser inhabilitado mientras se trabaja con dicha información. Además conviene tener duplicada esta información y por supuesto guardada a buen recaudo cuando no se esté usando. Y por supuesto jamás usar dispositivos de almacenamiento que nos hayan regalado o prestado, solo aquellos que provea la organización o comprados personalmente.

Debe establecerse una adecuada política de acceso de la información, solo aquella que se  necesita, pero toda aquella que sea necesaria. De esta forma se evita la saturación informativa, garantizando que todo el personal tiene la información precisa para realizar su trabajo con eficacia y eficiencia a la vez que se reduce el riesgo de filtraciones así como se facilita acotar la fuente de las mismas.

Es necesario llevar un registro de quienes acceden o se le facilita información relevante o legalmente protegida como es la de carácter personal.

Los equipos de tratamiento de información deben estar protegidos contra accesos no autorizados. Es deseable implementar sistemas de seguridad más avanzados que la mera contraseña, como puede ser sistemas de lector de tarjetas o de huellas dactilares. Además los equipos deben de bloquear la sesión automáticamente cuando estén inactivos.

Hay que mostrar la necearía disciplina en el uso del correo electrónico, sabiendo diferenciar claramente los usos personales y profesionales en cuentas separadas. Conviene copiar los correos que se desee guardar de forma rutinaria en memoria externa, borrar aquellos que dejan de tener valor y conservar en el buzón de correo solo los necesarios para el trabajo operativo o que se deban responder mientras sea estrictamente necesario. Por supuesto, el personal debe estar instruido sobre no abrir correo alguno de fuentes no conocidas o sospechosas.

Llegado el caso hay que valorar que información puede ser compartida a través de internet, y cual por su trascendencia puede ser conveniente enviar de forma excepcional mediante correo físico certificado,  para garantizar su integridad y privacidad.

Es muy conveniente llevar un buen registro de equipos informáticos profesionales, incluyendo tablets y smartphones. Lo deseable es facilitar a los usuarios de información los equipos precisos para su trabajo, sin privilegios de administración, y con las herramientas de software precisas para las tareas encomendadas. A partir de ahí se pueden adoptar múltiples medidas informáticas de control del uso de los dispositivos, según sean las necesidades.

Es deseable que no se maneje y trate o comunique información relevante desde dispositivos particulares. Cuando ello sea preciso, es necesario inhabilitar previamente el acceso a internet y el bluethood para garantizar la seguridad de la información y nunca dejarla en el propio equipo, sólo en una memoria externa con las debidas medidas de seguridad contra uso indebidos.

En función de la información manejada se debe valorar la posibilidad de impedir el acceso de dispositivos móviles o portátiles particulares a determinadas áreas. Incluso facilitar a determinado personal smartphones de empresa debidamente limitados en sus funciones de grabación y reproducción de imágenes, para su uso en estas áreas restringidas. Hoy en día cualquier reunión o llamada telefónica puede ser grabada con suma facilidad gracias a los dispositivos móviles.

Uno de los temas a los que generalmente menos importancia se dá, es al control de la actualización de la información. Normalmente la información y documentación rápidamente pierde valor  o debe ser actualizada. De no llevarse a cabo una efectiva política de actualización y distribución, registro y destrucción de información, siempre se corre el riesgo de que circule simultáneamente diversas versiones de un documento o se maneje información obsoleta creando malos entendidos, confusión e incluso toma de decisiones erróneas.

Por supuesto también hay que impedir la posibilidad de modificaciones no autorizadas de la información. La información solo debe poder ser revisada y alterada por quien esté debidamente autorizados. Se deben emplear para su distribución formatos que impidan su alteración.

Por último, se deben establecer mecanismos que permitan garantizar la autoría y responsabilidad de la creación o autorización de la  introducción de la información en los canales de la organización, sean mediante firma impresa, electrónica o cualquier otro método.

Por supuesto como todo programa de acción, debe ser evaluado, auditado y revisado para comprobar su eficacia y mantener su vigencia ante los cambios tecnológicos y de la organización.

A partir de ahí y en base al tamaño, importancia o necesidad del empleo de servicios on line para la gestión o el desarrollo de los negocios, existen muchas más medidas que evidentemente precisarán personal altamente cualificado para su planificación e implementación efectiva.

Como bien podrán ver, garantizar un mínimo de seguridad de la información, no solo es vital para la continuidad de negocio de cualquier organización por pequeña que sea y una obligación legal en muchos casos, sino que además es posible invirtiendo escasos recursos materiales, con un poco de organización junto a disciplina y buena fé por parte de los usuarios.

“El conocimiento es poder”, y como tal puede ser usado de muy diversas formas y para muy distintos fines. Proteger nuestro conocimiento, saber usarlo, e impedir que sea empleado en nuestra contra, es no solo necesario, sino imprescindible en la nueva sociedad del conocimiento y la información.

El conocimiento se adquiere leyendo la letra pequeña de un contrato, la experiencia; no leyéndola.


Jose Federico Villamil Calva
fedevillamil@fortiumsc.eu
Coordinador del blog
Coordinador de la División Fortium ITS