Las
luces de neón de los casinos cercanos se reflejaban en el parabrisas
del lujoso auto Lincoln que se iba acercando y en la brillante limosina
que lo seguía. El auto se desvió pegándose a la orilla de la acera,
paró y dos guardaespaldas corpulentos usando trajes y lentes oscuros
bajaron. La limosina los alcanzó y de ésta emergieron tres hombres más.
Una multitud de curiosos iba creciendo y obstruyendo la entrada
al hotel. Cuando un distinguido hombre mayor y una mujer mucho más
joven bajaron de la limosina, inmediatamente fueron rodeados por los
cinco guardaespaldas. Con el agente líder gritando para abrir paso
entre la multitud, la escolta avanzó hacia la entrada. Los espectadores
murmuraban acerca de la identidad de la pareja y los destellos de las
cámaras se encendían. Para necesitar tanta seguridad, obviamente eran
“alguien”. La escolta se abrió paso por el piso donde estaba el casino
hacia un restaurante de cuatro estrellas. La pareja fue ubicada en un
lugar apartado en la parte posterior. Dos guardaespaldas ocuparon sus
posiciones delante de su apartado; uno se quedó parado junto al
mostrador de atención y los dos restantes esperaron afuera. Pero en
pocos momentos, a pesar de toda esta protección, la pareja VIP y dos de
sus guardaespaldas fueron asesinados. Yo los maté.
Este
incidente fue, afortunadamente, sólo un ejercicio. Desgraciadamente,
refleja de manera precisa las prácticas deficientes de algunos que
forman parte del personal de protección de ejecutivos. Debido a que dan
la apariencia de una sólida protección, con frecuencia sus errores
pasan desapercibidos hasta ser demasiado tarde.
Existe un dicho
en ciertos círculos de seguridad: “Algo de entrenamiento es mejor que
nada de entrenamiento.” Los VIPs “asesinados” y sus guardias son la
prueba de la ridiculez de esa filosofía, sobre todo cuando se trata de
la protección de ejecutivos. Los individuos que han sido mal escogidos
y entrenados pueden crear la peligrosa ilusión de seguridad. Pero,
¿cómo puede saber una empresa que busca protección para sus ejecutivos,
si está contratando a agentes profesionales? Por no dejar la vida de
sus altos ejecutivos en manos no calificadas, las empresas que buscan
proteger a sus altos ejecutivos deben investigar exhaustivamente el
entrenamiento y la experiencia previa de los agentes por contratar.
Entre los pasos que deben seguir están: verificar la fuente, revisar
las credenciales, examinar puntos específicos de entrenamiento,
comprender la actitud mental, saber si trabajan medio tiempo,
determinar sus condiciones físicas, realizar entrevistas, revisar
referencias y hacer una revisión posterior de los ejercicios.
Revisar la fuente
Al
escoger un servicio contratado, la primera pregunta que el cliente debe
formular es si el proveedor proporcionará los agentes para protección
de ejecutivos o los va a subcontratar de otra empresa. Por ejemplo, es
común que en sus avisos las compañías de agentes de seguridad ofrezcan
servicios para protección de ejecutivos, cuando no cuentan con personal
propio entrenado en ese campo. La investigación revela que los agentes
son prestados por otras compañías que realizan trabajos de protección
de ejecutivos. Este tipo de compañía de agentes de seguridad actúa como
frente, como intermediario de una especialidad que ella no puede
proporcionar.
El intermediario agrega una capa entre el cliente
y la fuente (la subcontratista), que puede hacer más difícil asegurar
la calidad. Si una empresa decide hacer uso de un intermediario, debe
insistir en la documentación de la fuente que especificará los niveles
de entrenamiento y la experiencia de los individuos en particular a los
que se les asignará el puesto. Pero cuando es posible, es mejor
negociar directamente con los proveedores y verificarlos personalmente.
Verificar las credenciales
Luego
de confirmar que el contratista de seguridad utiliza su propio
personal, la empresa deberá pedir el currículum de cada agente que se
encargará de proteger a sus ejecutivos. Un proveedor honorable estará
en capacidad de proporcionar esta información, que debe incluir un
resumen de la educación, entrenamiento y experiencia previa del agente
de protección de ejecutivos. Si un contratista alega que sus agentes
son veteranos de un organismo del gobierno y que sus currículos son
información secreta, la empresa en busca de protección de ejecutivos
debe dirigir su búsqueda hacia otro lugar.
Examinar el entrenamiento.
La
firma contratada puede indicar que todos sus agentes han completado un
programa de entrenamiento interno. Si es así, los posibles clientes
deben preguntar si el programa ha sido aprobado o al menos revisado por
una fuente exterior de confianza. Algunos estados cuentan con un
organismo que está a cargo de revisar todos los programas educacionales
y de entrenamiento postsecundarios que llevan a una licencia o
certificación. Si el proveedor está ubicado dentro de un estado que
cuenta con tal tipo de organismo, su programa interno de entrenamiento
debe haber sido aprobado.
Aun si el programa de entrenamiento ha
sido acreditado, ello sólo garantiza que sus graduados han logrado un
conocimiento mínimo en teoría de la protección. Por lo general, el
programa del entrenamiento interno es extraído de textos y muestra
videos en lugar de ofrecer experiencia práctica y real. Por eso, el
posible cliente deseará ir más allá de las pruebas sobre este nivel de
entrenamiento, tal como se menciona más adelante.
La protección
de ejecutivos también adolece de su propio pasado. Desde la década de
los 60 hasta los 80, la industria rebosaba de escuelas paramilitares y
de artes marciales convertidas en academias de entrenamiento para
agentes de protección. Aunque afortunadamente estas escuelas ya no
prevalecen, el vacío no ha sido completamente llenado por academias de
calidad.
Hoy en día el mejor entrenamiento disponible se
encuentra en el sector privado a cargo de un grupo pequeño de academias
nacionales y regionales establecidas. En estas escuelas y en otras de
su mismo calibre, los programas educacionales fueron delineados por
practicantes expertos con años de experiencia en el campo.
Una
empresa en búsqueda de protección de ejecutivos debe preguntar si las
evaluaciones de la labor realizada por las diversas fuentes de
entrenamiento de los agentes están archivadas en la agencia. Si el
contratista dice que no o que nunca han contado con tal información,
eso debe poner a la empresa en alerta.
El cliente también debe
pedir pruebas de la verificación de antecedentes. El proveedor debe
estar en capacidad de ofrecer la documentación que pruebe que se ha
efectuado una exhaustiva revisión del historial criminal, de manejo y
de crédito del agente que cubra los diez últimos años. El agente además
debe haber tenido recientemente un análisis de drogas ilegales para
detectar sustancias controladas.
Si los agentes van a usar
armas, el posible cliente también debe pedir la documentación de los
cursos de entrenamiento con armas de fuego que los agentes deben
aprobar y la frecuencia de las prácticas de tiro y pruebas de destreza.
Hoy en día, muchos agentes civiles de protección ya no llevan consigo
armas de fuego. En su lugar utilizan armas paralizantes, rociadores de
pimienta, y otros dispositivos no letales. En los casos en que los
agentes utilizarán estos dispositivos, el cliente también debe pedir
las pruebas de que los agentes han recibido el entrenamiento
especializado adecuado.
Conocer la actitud mental
Un buen
equipo de protección de ejecutivos es más que la suma de sus partes.
Por tanto, sus miembros deben estar actuando dentro de las mismas
líneas filosóficas. Esto puede que no suceda si los guardaespaldas han
sido formados con diversos antecedentes de entrenamiento. Por eso, aun
si los agentes del proveedor provienen de una mezcla de las mejores
escuelas privadas y del gobierno para la protección de ejecutivos, una
combinación de las actitudes mentales que propagan estas escuelas puede
causar desacuerdos sobre estrategia y metodología. Un ex-agente del
FBI, por ejemplo, tiende a actuar de manera muy diferente durante una
operación que un agente que ha sido entrenado por una institución civil
o un agente entrenado en una academia local de policía.
Según
mi experiencia, los graduados de programas federales son pragmáticos,
tecnológicamente avanzados y altamente hábiles, con una actitud de
“hagamos el trabajo”. No son intimidados por la policía local u otras
autoridades. Por otro lado, un agente civil está entrenado para ser más
conocedor de temas como aspectos legales, responsabilidad,
incumplimiento del contrato, excesos de costos y el efecto que tiene la
mala publicidad en la reputación de un cliente. Como un ejemplo de
las diferencias que existen entre las actitudes, en una ocasión trabajé
en un destacamento de protección de ejecutivos con alguien que había
sido policía. En ese momento, nuestro trabajo era seguir al vehículo
que llevaba al cliente. Desafortunadamente, el chofer del cliente iba a
una velocidad alta y pasándose las luces ámbar, haciendo muy difícil
poder seguirlo.
Mi compañero de trabajo, el ex-policía, era un
conductor muy hábil y no tenía ningún problema en pasarse la luz roja y
las señales de paro para poder seguir al auto del cliente. En su
trabajo anterior estaba acostumbrado a los seguimientos policiales en
el centro de la ciudad, siempre y cuando no matase a nadie,
Por
otro lado, yo me retrasaba, obedeciendo el límite de velocidad y las
leyes de tránsito porque, como agente civil, estaba preocupado por las
consecuencias de ser detenido por la policía. Mi cliente era un
individuo de alta importancia y podría recibir malos comentarios de la
prensa si sorprendieran a su escolta manejando imprudentemente por las
calles. Es cuestión de opinión saber cual enfoque era mejor para el
cliente.
Los agentes que son productos de academias de policía
también tienen una actitud característica. Algunas agencias de
protección de ejecutivos no contratarán a oficiales de policía porque
creen que su orientación es reactiva y no planean por anticipado. Dada
la naturaleza de su trabajo, no están condicionados para actuar hasta
que ocurra algo ilegal, mientras que a menudo, la mayoría de los
agentes civiles pensarán anticipadamente cómo impedir una situación
antes de que ocurra.
Además, los agentes con antecedentes
federales y policiales actuarán a veces como si aún fueran oficiales
bajo juramento. Por ejemplo, pueden darle órdenes a la gerencia y a los
empleados del hotel donde se está hospedando un cliente, no hacer caso
a las normas de la empresa que los ha contratado o las leyes y
ordenanzas locales en nombre de la protección del cliente.
Esto
ocurrió cuando un conocido cantante fue contratado para actuar en la
gran inauguración de un enorme lugar de recreo en Las Vegas. El
destacamento de protección de la estrella estaba compuesta de
ex-agentes israelíes y oficiales de la policía de California fuera de
servicio. Actuaban como una fuerza de ocupación, intimidando y
encolerizando al personal de seguridad y demás personal del lugar de
distracciones. También llevaban consigo armas escondidas aun cuando su
autorización para llevarlas no era válida en Nevada.
Finalmente,
hubo una confrontación en la oficina del director de seguridad durante
la cual se le dijo al líder del destacamento que sus oficiales eran
invitados dentro de una propiedad privada - se encontraban por una
invitación y no porque tenían derecho - y se les advirtió que si
continuaba su comportamiento agresivo serían echados del lugar. En
general, los agentes civiles se dan cuenta que son ciudadanos privados
que deben trabajar con el personal de un local para proteger
adecuadamente a sus clientes. También comprenden la necesidad de usar
tacto y diplomacia para lograr la cooperación de otros. Por el
contrario, los agentes con antecedentes federales y policiales
generalmente han enfrentado situaciones de vida o muerte y están mejor
preparados para manejar amenazas reales que aquellos del sector civil.
Otro
tema surge cuando hacen de guardaespaldas los oficiales que están
actualmente en la policía. Los oficiales de la policía trabajan bajo el
mandato del estado o del condado para el cual tienen jurisdicción. Por
ejemplo, si un oficial de la policía actuando como un agente de
protección detiene a una persona, el agente debe leerle a esta persona
sus derechos Miranda. Los agentes civiles no necesitan hacer esto ni
deben preocuparse de que sus acciones serán juzgadas como hechas bajo
la protección de la ley si se lleva un incidente a la corte.
Conocer los trabajadores a medio tiempo.
Un
cliente potencial debe darle atención particular al entrenamiento y
experiencia de cualquier oficial de protección que trabaja en el campo
sólo la mitad del tiempo. Si un proveedor le ofrece a una empresa
agentes que no son policías y que trabajan medio tiempo, el posible
cliente debe averiguar las proporciones de tiempo de los dos trabajos
del agente y la naturaleza del otro empleo del agente.
Por
ejemplo, no es extraño que muchas agencias dividan las
responsabilidades de su personal entre efectuar investigaciones
privadas y realizar protección personal. Esta ecuación puede funcionar
bien para la agencia; sin embargo, para el cliente puede que no sea tan
deseable. Esto es especialmente cierto si una parte significativa del
tiempo del agente se utiliza en trabajos no relacionados con
protección. En algunos casos, el personal que trabaja a tiempo completo
en la seguridad de tiendas comerciales, hoteles o establecimientos de
salud, trabaja extra como agente a medio tiempo para la protección de
ejecutivos. La desigualdad del tiempo entre estas disciplinas
diferentes puede producir un agente de protección que no sea totalmente
competente para manejar entornos con un alto nivel de peligro comparado
con un agente a tiempo completo.
Aun si el otro trabajo del
agente a medio tiempo es en la policía, es apropiado examinarlo. Existe
el mito en el mercado de protección de ejecutivos de que los oficiales
de policía reciben entrenamiento específico para la protección de
dignatarios y ejecutivos en la academia de policías. Esto es falso.
Algunos
oficiales sí toman un entrenamiento complementario que guarda relación,
ya sea porque su departamento lo exige o porque desean avanzar en sus
carreras pagando ellos mismos el entrenamiento y asistiendo a una
academia civil. Por ejemplo, Las Vegas, que es una escala acostumbrada
de las celebridades, políticos haciendo campaña y otros VIPs, ha
enviado un selecto grupo de oficiales a la Academia del Servicio
Secreto de los Estados Unidos.
Los clientes deben asegurarse si
alguno de los oficiales de la policía que podrían contratar está
entrenado específicamente para la protección de ejecutivos. Y si es
así, el cliente debe preguntar donde se entrenó. Como se mencionó
anteriormente, la calidad de la escuela es de mucha importancia.
Evalúe las condiciones físicas
En
muchos casos, los agentes de protección de ejecutivos son contratados
por los proveedores debido a su impresionante estatura, peso y
contextura. Levantar 350 libras no puede compensar la incompetencia al
realizar el trabajo de protección de ejecutivos, pero la condición
física de los agentes tiene importancia y debe ser examinada con
regularidad. ¿Qué condiciones físicas debe tener un agente? El o
ella debe estar en forma adecuada para manejar las contingencias de un
trabajo en particular. Los agentes deben tener la capacidad de caminar
y correr distancias regulares, pero lo que es más importante, deben
poder estar de pie por largos periodos de tiempo sin tener una
incomodidad excesiva.
Algunos clientes sí requieren agentes que
son, efectivamente, atletas profesionales. Actualmente muchos
ejecutivos y celebridades están muy interesados en los deportes o lucen
un perfil alto cuando toman sus vacaciones, apasionados por el ski, el
buceo, la caída libre, el alpinismo y otras actividades físicas
extremas. Una empresa que protege a este tipo de ejecutivo debe
asegurarse de contratar a agentes adecuados.
En
general, sin embargo, las buena habilidad de comunicación es más
importante que la destreza física. He visto a agentes que no están en
la mejor condición física pero que prácticamente pueden palabrear el
arma de un perpetrador. La capacidad de comunicarse también le permite
a un agente persuadir a un propietario, gerente u otra autoridad para
que reciba a un grupo privado de protección.
Otra habilidad
esencial es un juicio excelente. En el trabajo los agentes deben
filtrar varios flujos de información antes de decidir, por ejemplo, si
una persona que se acerca es un genuino conocido o alguien decidido a
causar daño al VIP.
En tercer lugar, los agentes deben ser
personas maduras. Muchos agentes están acrecentando sus propios egos o
están ahí para hacerse de un nombre en el mercado. Son propensos a
lucirse, sobreactuar y ver amenazas en todos sitios. Esta mentalidad de
“reacción rápida” casi siempre termina en una vergüenza cuando el
“mozo” realmente resulta ser el mozo.
Realice entrevistas
La
empresa debe pedir entrevistas personales con los agentes para
establecer la compatibilidad entre el cliente y el agente. Por ejemplo,
en un proyecto a largo plazo, un agente tiende a convertirse en “parte
de la familia,” y el cliente suele relajar su personalidad profesional.
El agente puede llegar a enterarse de información que avergonzaría al
cliente si se hiciera pública (siendo la infidelidad en el matrimonio
un ejemplo clásico). Por tanto, la lealtad puede ser el mayor atributo
que necesite un cliente en particular.
Si el trabajo incluye
proteger a la esposa e hijos del ejecutivo, el ejecutivo puede querer
un agente que no atemorice a sus niños ni que se interponga entre él y
su esposa. Un cliente con quien trabajé específicamente no quiso un
agente bien parecido, justo por esta razón.
En otro caso, un
ejecutivo que se movía en círculos refinados deseaba un agente que se
desenvolviese correctamente en comidas de alta sociedad y otros
eventos. Otro quería que su agente de protección pudiese hacerse pasar
por un asistente administrativo. En todos estos casos fue importante
que el cliente y el agente estableciesen si congeniaban el uno con el
otro, a través de un intercambio personal.
Revisar las referencias
Nunca
debe contratarse a un proveedor sin revisar las referencias de sus
clientes. Muchas firmas manifiestan que la confidencialidad del cliente
les prohibe proporcionar referencias. Sin embargo, si la firma ha
realizado un buen trabajo para los clientes previos, algunos habrán
aceptado servir como referencias. Si el contratista no ha arreglado
nada por adelantado y se rehusa hasta intentar encontrar a un cliente
anterior que esté dispuesto a hablar, la empresa quizás debe
reconsiderar darle su trabajo a este proveedor.
Haga una revisión posterior de los hechos
Luego
del simulado asesinato de la pareja VIP y sus guardaespaldas mencionado
al inicio de este artículo, durante dos horas se hizo una revisión de
los hechos. En ese ejercicio, yo había sido contratado para dar el
golpe al interpretar un papel para probar la protección de los
ejecutivos de una gran corporación fabricante de productos químicos,
ubicada en Nevada.
Al rendir cuentas, hice la crítica al
equipo. Una de las fallas más obvias era que no se había ejecutado una
evaluación de seguridad por anticipado. Más aún, los clientes
originaron un espectáculo público cuando llegaron al lugar de
distracciones, causado en gran parte por sus propios agentes de
protección que no tenían idea alguna de qué y quién estaría esperando
al cortejo.
Antes de llevar a su clientes al restaurante, los
agentes no habían solicitado una mesa en la zona de máxima seguridad,
permitiendo una rápida salida por una puerta trasera. No hicieron los
arreglos con el gerente para obtener los servicios de algunos empleados
de confianza a quienes luego se les tendría que haber entregado un
prendedor, brazalete, ramillete o algún otro método que los
identificase como servidores aprobados.
Debido a que el
destacamento de protección no hizo lo anterior, pude deslizarme por una
puerta trasera, prestarme un traje blanco de mozo del closet de
uniformes y acercarme a la pareja VIP con el pretexto de
proporcionarles servilletas. Luego, de mi bolsillo saqué cuatro
etiquetas adhesivas manchadas de rojo. Coloqué las etiquetas a ambos
clientes y a dos agentes de protección y escapé tan fácilmente como
había entrado.
Los guardaespaldas habían recibido su
entrenamiento en una compañía cuyos jefes eran oficiales retirados de
la policía sin ninguna experiencia verdadera en protección de
ejecutivos, más allá de haber sido asignados ocasionalmente al alcalde
de la ciudad cuando aparecía en público. La compañía no sólo cometió el
error de no investigar más profundamente la capacidad de los agentes,
tampoco pidieron referencias. Como resultó ser, la compañía era el
primer cliente del proveedor.
Las empresas que buscan proteger a
sus ejecutivos deben realizar su propia evaluación de riesgo del
personal antes de contratar a los agentes. Si no siguen los pasos
adecuados para la selección, pueden hallar que lo que los agentes
proporcionan no es más que una falsa sensación de seguridad.
D.
Anthony Nichter, CPP, ARM (asociado en gerencia de riesgo) es analista
principal e instructor del Instituto para Desarrollo Estratégico de
Ejecutivos ( The Institute for Strategic Executive Development), Las
Vegas, Nevada. Es presidente del Consejo de ASIS para la Protección de
Juegos y Apuestas.
Una
noche de noviembre hace algunos años, William Joyner, un guardia de
seguridad armado del Giant Food en el Centro Comercial Blair Plaza de
Silver Spring, Maryland, observó a un hombre que llevaba una pistola,
robar al cajero del supermercado.Cuando el sujeto huyó del lugar,
Joyner lo persiguió por la zona de parqueo, sacó su arma de servicio y
le ordenó que se detuviese.
El hombre ignoró la orden, entró a
su carro y empezó a irse. Entonces Joyner hizo dos disparos al vehículo
que huía. Una bala, apuntada a la ventanilla lateral del conductor, dio
con el panel posterior del auto. La segunda bala, apuntada a la
ventanilla trasera, erró su blanco e hizo añicos la ventana del
departamento de Geraldine Scherry, ubicado en un quinto piso. Scherry,
pensando que alguien estaba tratando de matarla, se puso histérica.
El
trauma resultante de Scherry, que determinó su permanencia en el
hospital, se convirtió en motivo de una demanda contra el supermercado.
La tesis que presentó la demandante fue que el supermercado era
solidariamente responsable por la negligencia de Joyner al disparar el
segundo balazo. Scherry también planteó en el juicio que Giant Food era
directamente negligente por contratar a Joyner y confiarle un arma sin
tener el entrenamiento adecuado. Un jurado falló a favor de la
demandante en ambos cargos.
Como lo ilustran casos como éste,
las compañías quedan bien advertidas para invertir desde el inicio en
el entrenamiento de los guardias de seguridad en el uso apropiado de la
fuerza. No hacerlo puede salir caro, en términos de juicios y fallos
legales, sin hablar del posible daño a la reputación de la corporación
en el largo plazo.
El entrenamiento adecuado para el empleo de
la fuerza abarca una serie de opciones, desde la comunicación verbal
hasta la aplicación de fuerza mortal, dándoles a los guardias el
conocimiento que necesitarán para escoger el nivel apropiado de
respuesta frente a cada grupo de circunstancias. Puede ser adecuado
comenzar con conferencias en aula, discusiones o exposiciones de
videos. Pero por último, el entrenamiento debe ir del salón de clases
hasta escenarios que le den a los entrenados la oportunidad de aplicar
lo que se les haya enseñado, a situaciones del mundo real. Entre los
ejercicios que pueden cumplir este objetivo se encuentran: situaciones
en vivo, situaciones con fuego real, ejercicios que se basan en el uso
de laser, ensayos de escondite, prácticas con armas defectuosas y
ejercicios para retener el arma.
Estas situaciones hacen que el
guardia de seguridad interactue directamente con uno o más instructores
que actúan como espectadores inocentes o como amenazas. Deben idearse
diversas situaciones para colocar al oficial en la posición de exigir
su cumplimiento, inicialmente mediante órdenes verbales y después a
través de un posible empleo de la fuerza. Por supuesto, en cualquier
situación en donde se le pueda pedir al guardia de seguridad que emplee
la fuerza, el instructor debe asegurarse que todos los participantes
estén protegidos. Esto incluye emplear "armas rojas" (armas de plástico
incapaces de disparar proyectiles) y varas forradas. Los instructores
deben ser conscientes para no presentar situaciones en las que siempre
se requiera el uso de fuerza mortal, ya que esto no entrenará
adecuadamente a los guardias en la aplicación moderada de la fuerza,
una vez que estén en sus trabajos.
En una situación típica
planteada por Vance International, la compañía donde trabaja el autor,
un guardia de seguridad tiene que enfrentarse con una persona que es un
suicida violento posible, el cual es representado por un instructor. A
los guardias se les proporcionan armas rojas, varas forradas,
rociadores falsos de pimienta y quizás otras armas simuladas, y se les
dice que hay un guardia de apoyo. Dependiendo de la situación
específica, el instructor puede ser pasivo o belicoso o mostrar una
actitud intermedia. El instructor modificará su comportamiento en base
a las reacciones del guardia.
En las mejores situaciones, el/la
oficial de seguridad actúa correctamente y se va reduciendo la
situación tensa hasta que llega la policía, lo que concluye la
práctica. En otros casos, el guardia actúa incorrectamente y los
participantes reaccionan de acuerdo a ello, lo que lleva a agudizar la
tensión del evento. En un reciente caso cuando sucedió eso, el guardia
se ofuscó, el instructor, en su papel de protagonista le gritó al
guardia. En respuesta, éste atacó al protagonista con el falso rociador
de pimienta. Sin que lo supiese el oficial, el sujeto en este escenario
portaba un arma de fuego escondida, con la que apuntó al guardia de
seguridad.
En otro escenario que se aplica comunmente, a un
guardia se le asigna la tarea de asegurar que ningún invitado a una
fiesta privada porte armas. Luego, tres instructores ingresan como
invitados. Uno es un visitante normal y no tiene armas. Los otros dos
son, ya sea un guardaespaldas armado y un cliente privado, o un agente
del Servicio de Seguridad Diplomática (DSS) y el diplomático a quien
protege.
En el caso del guardaespaldas armado, el guardia de
seguridad debe hacer que deje el arma en su carro o que salga de la
propiedad (una persona privada tiene el derecho de llevar un arma
dentro de una propiedad privada sólo con permiso del dueño de la
propiedad). Si se niega, debe llamarse a la policía. Por otro lado, el
agente del DSS tiene derecho a portar su arma sin permiso del dueño de
la propiedad, así que el objetivo en ese caso es verificar las
credenciales del agente y dejarle ingresar armado a la propiedad.
En
un reciente escenario de prueba conducido por el autor, el guardia de
seguridad decidió detener al agente del DSS sin verificar su
identificación. El guardia de seguridad terminó desenfundando su arma,
lo que originó que el agente respondiese del mismo modo, un resultado
altamente indeseable.
Cada escenario en vivo termina con una
evaluación post-acción. En estos repasos, todos los entrenados tienen
la oportunidad, como grupo, de analizar lo que sucedió y aprender de
las experiencias de los demás. (Las evaluaciones post-acción también
deben efectuarse para cada uno de los siguientes tipos de ejercicios.)
Prácticas con "instrumentos no apropiados"
Desafortunadamente,
a menudo los nuevos guardias de seguridad tienen que olvidarse del
mensaje aprendido subliminalmente en la televisión, de que la mejor
forma de solucionar un conflicto es mediante el arma de fuego. Las
prácticas con instrumentos impropios, parecidos a los "escenarios en
vivo", ponen a prueba la discreción del guardia y lo obligan a pensar
cuál es el nivel de fuerza que es razonable en un momento dado. Un
funcionario de seguridad observa las prácticas para asegurar que los
participantes estén protegidos y para evaluar las decisiones del
estudiante.
En una práctica de prueba con instrumentos
impropios, a un guardia se le podría pedir que trate de poner bajo
arresto a un sospechoso desarmado y obediente, usando las esposas. El
instructor que representa al sospechoso aumenta la tensión de la
situación al mostrar un arma u oponer resistencia. El guardia de
seguridad debe decidir cómo reaccionar.
En esencia, las
prácticas con instrumentos no apropiados son como los juegos de
apuestas grandes "piedra, papel, tijeras". Si el instructor saca un
arma, el oficial también debe sacar un arma, no polvo de pimienta o una
vara. Pero esos otros instrumentos bien podrían ser más apropiados para
una amenaza de menor índole.
Situaciones con fuego vivo
Las
situaciones con fuego vivo involucran a instructores interpretando una
situación que es probable que enfrenten los guardias, la misma que
después se proyecta sobre una pantalla en un campo de tiro. Los
oficiales interactuan con las imágenes de la pantalla, empleando armas
y municiones reales contra los actores que aparecen en la pantalla.
Esos ejercicios precisan de una video cámara con capacidad de conexión
externa, un proyector LCD, una pantalla a la que se pueda disparar (el
papel de envolver sirve para el efecto), protectores adecuados de oídos
con micrófonos incorporados (por lo menos uno para el estudiante y uno
para cada instructor/actor) y gran cantidad de cordones de extensión.
La
pantalla debe ubicarse al extremo del campo de tiro, de suficiente
tamaño para proyectar imágenes de tamaño real, a donde el guardia de
seguridad debe dirigir su atención. El guardia interactúa con la
pantalla mientras los instructores, con la cámara detrás del guardia,
desarrollan la escena. Los instructores deben preparar un diagrama de
flujo con las acciones aceptables e inaceptables que desean probar
durante el ejercicio. Ellos, al interpretar los papeles, dirigirán al
estudiante a través de estas acciones.
Las situaciones con fuego
vivo son una forma excelente de evaluar el empleo de un arma por el
guardia en una situación de tensión. No es poco común encontrar que la
mayoría de las balas disparadas por el oficial han errado su blanco.
Un
ejemplo típico de una situación con fuego real involucra la toma de un
rehén y la decisión de intentar un rescate o esperar hasta que llegue
la fuerza policiaca. Cuando un guardia de seguridad intenta un rescate,
casi siempre dispara al rehén por equivocación. El agujero de una bala
en la frente de un instructor, proyectada sobre la pantalla, es una
lección gráfica de cómo NO actuar en una situación de toma de rehenes.
Ejercicios basados en uso de laser
Compañías
como Beamhit, de Columbia, Maryland, han diseñado sistemas que permiten
una interacción de persona a persona, así como una evaluación de la
precisión del tiro de los guardias de seguridad. Los sistemas vienen en
paquetes variados, pero consisten típicamente en un transmisor laser
montado en el cañón del arma y un blanco que recibe e interpreta la
señal laser. El blanco se adhiere con Velcro a un chaleco especial que
viste el sujeto a quien se dispara. Con estos ejercicios, los
instructores pueden aplicar blancos laser a personas en movimiento y
pueden reducir el tamaño del blanco (para representar distancias
mayores) y efectuar una variedad de otras aplicaciones.
Con
algunos sistemas los instructores pueden usar software, que por lo
general se instala en computadoras portátiles, para ver en tiempo real
dónde dió cada uno de los disparos. Ello puede revelar si un guardia
está jalando su arma de izquierda a derecha o si está cometiendo otro
error.
Estos sistemas se están haciendo más y más populares y
pueden instalarse en ambientes seguros, sin tener que emplear munición
real y ni hacer gastos adicionales por la munición y el tiempo de uso
de un campo de tiro. Los precios de los sistemas van desde $350 por
unidad (laser, chaleco y blanco) hasta $1,500 por sistemas que se
conectan a una computadora portátil.
Prácticas de escondite
En
la mayoría de los programas de entrenamiento, el tiro se realiza desde
un cubículo que existe en el campo de tiro. Los estudiantes reciben
poca o ninguna distracción o amenaza. Ese entrenamiento se vuelve más
realístico y efectivo si se agrega la carrera al programa para
incrementar la tensión.
En las prácticas de escondite, los
guardias corren casi 50 metros en el campo de tiro buscando un refugio
desde puedan disparar a los blancos. Un instructor acompaña al guardia
por el campo, gritándole o distrayéndole para crear mayor presión. Esto
origina que aumente la presión sanguínea y que se bombee adrenalina,
como si fuese un verdadero tiroteo. El instructor evalúa la forma como
el guardia emplea el refugio y su capacidad para dar en los blancos.
Este
entrenamiento se ha ideado para que los guardias de seguridad piensen
constantemente en su seguridad y en la de los demás. Estas prácticas
requieren una supervisión personal, pero el esfuerzo vale la pena.
Ayudan a inculcar en los guardias de seguridad el saber que con el uso
apropiado de un refugio, pueden tener el tiempo para efectuar un
disparo acertado.
Prácticas con armas defectuosas
Las
prácticas con armas que tienen funcionamiento defectuoso son
básicamente prácticas de refugio, en las que el instructor toma el arma
de un guardia y sin que él o ella lo sepa, le inserta cartuchos falsos.
Esto origina que el arma falle a medio ejercicio, creando una situación
de tensión. Las prácticas de este tipo le dicen mucho al instructor
respecto a un alumno. Resultará obvia su capacidad o incapacidad para
actuar con calma cuando las cosas no salgan bien.
La carencia de una respuesta mesurada puede poner en riesgo a otros si no se trata y corrige durante el entrenamiento.
Como
sucede con otros aspectos del entrenamiento de un guardia de seguridad
armado, aquellos que rindan en forma deficiente en esta práctica pueden
ser considerados incapaces para las funciones de guardia con arma. Los
instructores deben negarse a registrar ante el estado a estos guardias
(si es que se exige el registro de guardias de seguridad que usan
arma). A estos guardias normalmente se les da la opción de convertirse
en guardias sin armas.
Retención del arma
El Centro
Nacional de Entrenamiento de Fuerzas Policiales (NLETC), mediante el
desarrollo constante de programas de entrenamiento para retener el
arma, ha demostrado que los instructores pueden marcar la diferencia en
el número de guardias de seguridad muertos con su propia arma. Desde
que el programa del NLETC comenzó en 1978 el número de guardias que han
muerto de esa manera se ha reducido significativamente. El
entrenamiento para retener el arma, por tanto, debería ser aplicado en
todos los programas de entrenamiento de guardias de seguridad.
Un
guardia puede aprender las habilidades necesarias para conservar su
arma en caso de conflicto sólo a través de constantes recordatorios y
prácticas. Un buen programa de entrenamiento para conservar las
armas enseña a los guardias a asegurar, posicionarse y soltar. Los
guardias de seguridad aseguran sus armas en sus fundas, se posicionan
para mantener el equilibrio y sueltan el control del arma del criminal,
sea con un golpe en el codo o con una llave a la muñeca. Los guardias
deben pasar por diversas situaciones en las que un instructor trata de
apoderarse de su arma o el guardia debe recuperar su arma. Se repite
que estas lecciones se han diseñado para hacer que los guardias piensen
en su seguridad y en la seguridad del público en general.
Han
pasado los días en que se colocaba a los nuevos reclutas frente a un
televisor, se les daba unas pocas charlas y luego se hacía que
disparasen la cantidad mínima de tiros para poder calificarse como un
guardia armado. Las compañías que no quieran ver un incidente con un
mal desenlace cuando llegue a la escena el guardia de seguridad con su
arma, gastarán los fondos necesarios para el entrenamiento en el uso
adecuado de la fuerza, sea por personal propio o contratado. Es
probable que aquellos que no hagan este gasto lleguen a ser objetos de
unas costosas demandas.
Chuck Tobin es director de entrenamiento
en Vance International. Es responsable del desarrollo de los programas
de entrenamiento para los Oficiales Uniformados de Protección Vance y
es el instructor principal de los oficiales de seguridad con o sin
armas en Vance.
Manteniendo satisfechos a los guardias de seguridad.
El
entrenamiento no sólo es bueno para la compañía, sino también brinda
satisfacción al empleado. Los programas de entrenamiento que son
efectivos ofrecen retos intelectuales y desarrollo personal al alumno -
beneficios que pueden ocupar el lugar de, o ir de la mano con, las
oportunidades de ascender dentro de la compañía. De este modo, los
buenos programas de entrenamiento de guardias de seguridad pueden
ayudar a mejorar la capacidad de la compañía para retener al personal
de seguridad de alta calidad, lo que es un desafío constante para las
fuerzas propias y contratadas.
En la empresa a la que pertenece
el autor, han tenido mucho éxito al ofrecer sesiones o seminarios
educacionales para los empleados de todos los niveles de la
organización. Hemos encontrado que ofrecer seminarios sobre temas como
violencia en el centro de trabajo, terrorismo, tecnología de seguridad
y seguridad personal, ha motivado a los oficiales a que aprendan y se
superen.
Los seminarios estimulan más deseos de aprender.
Aquellas compañías que tienen personal propio para entrenamiento, deben
considerar obtener la certificación de sus clases al trabajar con la
institución superior de su localidad. También pueden encontrar clases
externas de entrenamiento (mediante escuelas de entrenamiento) para
oficiales de seguridad, que den crédito universitario.
Los
gerentes pueden argumentar que si entrenan a sus empleados, ellos se
irán buscando mejores oportunidades. Eso podría ser cierto, pero los
mejores, si son retenidos, serán aún más rápidos para irse en pos de
una mejor oportunidad. Todos se benefician cuando los jóvenes oficiales
de seguridad aprenden respecto a la industria y se desarrollan en su
profesión.
El
entrenamiento lo es todo, lo dijo una vez nada menos que el luminar
como Mark Twain. El observó que sin entrenamiento, “El durazno alguna
vez fue una almendra amarga”. Y lo mismo pasa con la seguridad. Un
departamento que espera obtener beneficios de los frutos del trabajo de
sus empleados, primero debe sembrar las semillas del buen rendimiento.
El
departamento de seguridad debe dirigir sus esfuerzos de entrenamiento
en dos direcciones: la fuerza de seguridad y el conjunto de empleados.
El entrenamiento de la fuerza de seguridad debe enfocar más las
destrezas prácticas, el desarrollo de destrezas, y la capacidad de
obrar reciproca y profesionalmente con los empleados, mientras que el
entrenamiento general del empleado debe tratar las técnicas de
conciencia y prevención.
Personal de seguridad
El
proceso de entrenamiento para el personal de seguridad debe incluir los
siguientes elementos: objetivos, conferencias, situaciones, ejercicios
de prueba, pruebas individuales, repasos y cursos de actualización.
Objetivos.
Antes de que pueda comenzar el entrenamiento, el departamento de
seguridad debe determinar sus metas; deben trazarse ciertos objetivos.
Luego, la administración debe usar un enfoque del tipo “bloques de
construcción”, en el cual se enseñan primero las destrezas
individuales, seguidas por las destrezas en equipo. Después de la
instrucción inicial, las lecciones aprendidas deben ser puestas en
práctica a través de ensayos o ejercicios, y sometidas a prueba durante
un ejercicio simulado de emergencia.
Si el objetivo es tratar
las emergencias médicas en forma rápida y efectiva, un programa de
entrenamiento probablemente ofrecería primero a los oficiales de
seguridad un entrenamiento individual básico para la certificación en
RCP, primeros auxilios, y posiblemente un entrenamiento respecto al
desfilibrador automático externo (DAE). En algunos lugares, cierto
personal podría ser entrenado hasta el nivel de técnico en emergencias
médicas (TEM) o paramédico. Luego, el programa podría requerir el
entrenamiento en equipo, en el cual cada persona aprende la función que
cumplirá al responder a una emergencia. Estas funciones pueden variar
según el puesto en donde está ubicada la persona, la hora del día, o el
lugar de la emergencia. Muchas de estas obligaciones pueden estar
orientadas a dar apoyo, como pedir una ambulancia por teléfono,
disponer que un ascensor funcione en forma independiente, o
proporcionar escolta para la ambulancia que está por llegar.
Conferencias.
Generalmente, se puede usar el entrenamiento basado en exposiciones
para dar una introducción y una perspectiva general de los temas
rutinarios. Posteriormente se pueden reforzar estos conceptos empleando
la capacitación práctica. Para mantener el interés de los guardias, las
conferencias deben integrar elementos de multimedia, tales como
presentaciones en PowerPoint y películas. Los instructores también
pueden usar sus exposiciones para atraer la atención de los
estudiantes; los instructores deben mencionar incidentes de seguridad
anteriores y hacer que los oficiales analicen cómo los enfocarían
ellos. El entrenamiento basado en conferencias debe concluir
generalmente con algún tipo de evaluación, por lo común una prueba
escrita.
Entrenamiento basado en situaciones. Aun la más
efectiva de las exposiciones sólo llega hasta cierto punto en términos
de entrenamiento. Muestra información pero no le permite al alumno
actuar en lo que ha aprendido y ver si ello funciona o cómo funciona.
Así que es mejor reforzar las presentaciones en clase mediante
adiestramiento y ejercicios prácticos de entrenamiento relacionados con
las habilidades.
Estos ejercicios son mejores si están basados
en estudios de caso extraídos de situaciones reales. Para encontrar
ideas para las situaciones, los gerentes de seguridad pueden acudir a
sus propios informes internos de incidentes, periódicos y revistas
profesionales, o inclusive diarios, aun cuando los entrenadores deben
saber que los informes de los medios de prensa en general, como los
diarios o revistas noticiosas, rara vez ofrecen el nivel de profundidad
que se necesita para un buen entrenamiento. Las publicaciones
profesionales y comerciales ofrecen mejores posibilidades. Como
orientación para seleccionar los casos, el gerente debe recordar que
mientras más tenga que ver el caso con el ambiente de los empleados,
más efectivo será el entrenamiento.
En Atlas Air, una
aerolínea de carga con oficinas en Nueva York (en donde el autor es
empleado), el equipo interno de evaluación de amenazas de la compañía
utiliza los estudios de caso para practicar los procedimientos, de
forma que el equipo pueda cometer errores en un ambiente simulado y
aprender de esos errores, antes de poner en peligro las vidas humanas.
Para
este entrenamiento, los miembros del equipo obtienen información de
situaciones que encuentran en los archivos de informes de incidentes de
la compañía, y de los incidentes con los que han tenido que tratar
personalmente en el pasado.
Por ejemplo, en un edificio de
oficinas de muchos pisos del área de Wall Street en Nueva York, el
personal de seguridad volvió a revisar un informe de incidente para
resolver un problema de procedimiento.
El incidente involucró
a un hombre que había atravesado el vestíbulo principal, rehusando a
inscribirse o a mostrar algún documento de identidad al oficial de
seguridad. El hombre caminó hacia la fila de ascensores y subió, sin
hacer caso a las órdenes del oficial para que se detuviese. El oficial
no pudo determinar de inmediato en que piso salió el intruso, así que
se enviaron rápidamente a otros oficiales para buscarlo. Luego de una
búsqueda exhaustiva en los pisos a los que servía la fila de
ascensores, dos miembros del personal de seguridad encontraron al
hombre discutiendo con un recepcionista. El hombre era conocido en la
compañía pero nunca se le había considerado como una amenaza.
Sin
embargo no tenía cita con la persona a quien deseaba ver ese día. El
personal de seguridad y el recepcionista persuadieron al hombre para
que programase una visita en una fecha futura y se registrase en el
puesto de seguridad del vestíbulo cuando llegase. Luego el hombre fue
acompañado fuera del edificio sin otro incidente. Aunque el hombre se
retiró pacíficamente del edificio, la incapacidad del cuerpo de
seguridad para evitar que llegase hasta los pisos superiores fue una
seria preocupación.
Se usó este incidente en una clase de
entrenamiento para los supervisores de turno. Cuando se le expuso la
situación y se le preguntó cómo respondería, un supervisor dijo que por
control remoto desde el puesto de vigilancia haría regresar los
ascensores hasta el vestíbulo apenas la persona se rehusase a
identificarse o a detenerse. Si bien esta solución podía originar
algunos problemas, especialmente cuando los ascensores están ocupados,
era de lejos la mejor solución. Por ejemplo, otra estrategia que se
propuso involucraba seguir a la persona hasta el interior del ascensor
y tenerla bajo observación, pero eso acarreaba el riesgo de una
confrontación física en el ascensor o en uno de los pisos.
Por
el contrario, hacer regresar a los ascensores permitía que el personal
de seguridad evitase que el individuo ingresase a las oficinas, sin
caer en el riesgo de un enfrentamiento físico con la persona, así como
el peligro y la responsabilidad legal asociados - el intruso no tendría
otra opción que salir del ascensor en el vestíbulo, y varios oficiales
de seguridad podrían asegurar que la persona fuese escoltada fuera del
edificio de manera segura. Esta medida fue incluida posteriormente en
forma oficial en las órdenes de los puestos.
Puede que estos
ejemplos de la vida real no estén disponibles para todas las
situaciones. En consecuencia, se deben desarrollar situaciones
hipotéticas para hacer frente a algunas necesidades de entrenamiento.
Pero es importante que las situaciones estén basadas por lo menos en
parte en situaciones verdaderas, para hacerlas más realísticas. Al
hacer esto, el instructor o el coordinador de entrenamiento puede
seleccionar un estudio de caso y modificar algunos de los detalles para
hacerlo más apropiado al ambiente en el que se está conduciendo el
entrenamiento.
Por ejemplo, mientras administraba el personal
de seguridad en el edificio de oficinas en Manhattan mencionado
anteriormente, el departamento de seguridad condujo un ejercicio de
entrenamiento empleando una situación basada en el ataque con bombas
ocurrido en agosto de 1998 en Omagh, Irlanda del Norte. La explosión
sucedió un sábado cuando mucha gente estaba de compras y haciendo otras
tareas en el área de negocios de Omagh.
Más temprano aquel
día, en la oficina de la BBC en Belfast se recibió una amenaza
telefónica creíble de bomba, en la cual quien llamó advirtió que se
había colocado una bomba cerca del juzgado de Omagh, ubicado a algunas
cuadras de distancia del atestado distrito comercial. Inmediatamente la
policía comenzó a evacuar el área que rodeaba el juzgado y comenzó a
alejar a las personas de la amenaza percibida, dirigiéndolas hacia la
zona comercial.
Casi veinte minutos después de recibirse la
llamada telefónica, una enorme explosión sacudió la zona comercial
justo donde la policía había estado reuniendo a los evacuados. El coche
bomba, que pesaba alrededor de 500 libras, mató a 28 personas y dejó
heridas a más de 200. El que hizo la llamada había engañado a la
policía para que evacuase la gente hacia la prevista zona mortal, para
causar más víctimas.
En el ejercicio, la amenaza telefónica
llegó a la consola de seguridad de un edificio que poseía una plaza
amplia al aire libre, que había que atravesar durante una evacuación
típica. Al recibirse la llamada, el oficial informó al supervisor,
quien decidió evacuar a todos los ocupantes del edificio a través de
dicha plaza. Se había colocado un dispositivo explosivo simulado en la
plaza, en el sector que tendrían que atravesar los evacuados para
llegar al área de reunión, fuera de una estación del subterráneo, a una
cuadra de distancia. El dispositivo “explotó”, causando grandes daños.
Varias
lecciones se aprendieron del ejercicio. Por ejemplo, que no todas las
amenazas ameritan una evacuación. Además, los oficiales de seguridad se
dieron cuenta que las búsquedas necesitarían incluir las áreas a las
que se podrían dirigir los evacuados, como la plaza al aire libre e
incluso las escaleras de salida de emergencia.
Los
participantes en el ejercicio aprendieron que se encuentran la mayoría
de las bombas en la parte exterior de los lugares escogidos como
blancos, porque es más fácil colocarlas allí. Por lo tanto, se enseñó a
los oficiales de que vigilasen especialmente las áreas exteriores.
Además, los oficiales se dieron cuenta de la importancia de considerar
rutas de evacuación alternas.
Una vez que se ha seleccionado
una situación, ésta puede también ser interpretada con varios
resultados o niveles de amenaza, para dar a los alumnos, a través del
desempeño de varias funciones, la oportunidad de aprender a manejar
cada situación. Este es un enfoque especialmente útil para los
problemas que probablemente surjan de las interacciones diarias, como
tener que lidiar con un visitante difícil.
En estos casos el
instructor puede desempeñar el papel del visitante y llevar al alumno a
través de las diferentes combinaciones de un encuentro. Este tipo de
entrenamiento puede incluir situaciones simuladas con visitantes
temperamentales o alterados, así como con visitantes que no hablan el
idioma, tienen limitaciones de audición, o de alguna otra manera
presentan preocupaciones especiales para la comunicación.
El autor ha visto este entrenamiento dar resultados.
Por
ejemplo, una mujer se presentó a una oficina de seguridad pidiendo
hablar con una persona del piso de arriba, aunque no se le esperaba.
Cuando seguridad telefoneó a la persona, esta se negó a verla. La mujer
insistió en quedarse hasta que él bajase, esperando a eso de las 3 p.m.
hasta las 7 p.m.
El oficial había sido entrenado justamente
para una ocasión como esa. Utilizó técnicas de reducir la tensión para
mantener tranquila a la mujer y llamó a la policía y a una ambulancia
para hacer frente a posibles problemas mentales. Sin este
entrenamiento, el oficial podría haber sido más agresivo y dispuesto al
enfrentamiento, en vez de tener paciencia y empatía, lo que podría
haber producido una confrontación cada vez más tensa y hostil,
terminando posiblemente con lesiones al oficial, la visitante o los
espectadores.
Ejercicios de prueba. Al entrenar a la fuerza de
seguridad, es crítico que la interpretación de funciones sea seguida
por ejercicios que comprueben el rendimiento del entrenado. Por
ejemplo, el autor condujo el equipo de seguridad a una propiedad en
donde todo el grupo de empleados había sido entrenado en los
procedimientos de control de acceso, pero diversos incidentes hicieron
evidente que esos procedimientos no eran siempre puestos en práctica.
Para
evaluar la eficiencia de la fuerza de seguridad para controlar el
acceso, se efectuó una prueba de penetración básica. Se escogieron
varios evaluadores que eran desconocidos para el personal del edificio.
A cada evaluador se le instruyó que llegase un lugar específico del
edificio-por ejemplo, el vestíbulo de los ascensores del 10o. piso.
Cada uno de estos lugares elegidos era controlado por CCTV. A los
evaluadores se les asignó horas escalonadas para intentar el ingreso y
estaban vestidos de ropa diversa--algunos usaban trajes de negocios y
otros ropa de calle.
A los evaluadores se les dio un diagrama
del edificio y una carta que explicaba el ejercicio, en caso de que
fueran detenidos por ingresar sin autorización y se llamase a la
policía. También se les pidió que llenasen un formulario de informe, en
el cual indicaron la hora y la entrada que utilizaron y, si alcanzaron
su objetivo dentro del edificio, la hora en que llegaron.
Los
informes, junto con un repaso de los videos de las diversas entradas y
lugares del edificio, le dio a la gerencia una imagen más clara de la
situación tanto de los procedimientos de control de acceso como del
entrenamiento de la fuerza de seguridad.
Los resultados de
este ejercicio en particular fueron esclarecedores - unos siete de cada
diez evaluadores fueron detenidos antes de llegar a sus destinos, lo
que sugiere que la mayoría de los oficiales de seguridad se encontraban
alertos, bien entrenados, y desempeñando sus obligaciones. Sin embargo,
se identificó diverso personal que necesitaba entrenamiento adicional.
Estos oficiales no cumplieron los procedimientos.
El
procedimiento exigía que los oficiales de seguridad pidiesen que los
empleados que llegaban después de las horas de trabajo mostrasen su
identificación. Luego el oficial observaría mientras los empleados
escribían sus nombres en letra de molde y firmaban una hoja de registro
en el vestíbulo. Se halló que los oficiales de seguridad problemáticos
les decían a los empleados que firmasen, sin comprobar sus documentos
de identidad o verificar que escribiesen sus nombres correctamente. (Se
encontró a un oficial de seguridad leyendo un diario, sin detener a las
personas en forma adecuada y firme. Fue sancionado y asignado a un
puesto con una supervisión más estricta).
Otro ejercicio de
entrenamiento práctico usado con buenos resultados en la misma
instalación implicó llevar al personal de seguridad por las diversas
fases de un potencial incidente de atentado con bombas.
Antes
del ejercicio, el personal de seguridad recibió entrenamiento en base a
conferencias sobre el trato de amenazas telefónicas de bomba. artículos
sospechosos, búsqueda de bombas, y cartas y paquetes sospechosos. El
entrenamiento cubrió estos temas en términos generales y en términos
específicos para las órdenes de los puestos de la instalación.
Después
de esta exposición, se hizo pasar a los miembros del personal por un
ejercicio de comprobación para ver hasta qué punto entendían lo que
tenían que hacer. Este ejercicio, a diferencia de la prueba de
penetración mencionada previamente, fue abierto pero sin anunciar. Unos
minutos antes de que comenzase se les dijo a los oficiales de seguridad
que era un ejercicio, y varios evaluadores con listas de verificación
estaban presentes para calificar el desempeño del personal.
Se
hizo una llamada simulada de amenaza de bomba a uno de los puestos de
seguridad del edificio. El evaluador calificó la capacidad del oficial
de seguridad que contestó para registrar la información del llamante en
forma precisa y su habilidad para describir la forma de hablar de quien
llamó y todo el ruido de fondo.
Después se comprobó la capacidad de los miembros del personal para transmitir la información al supervisor de turno.
El
supervisor, acompañado también por un evaluador, asignó diferentes
responsabilidades a los miembros del equipo. Una persona fue encargada
de hacer las llamadas para avisar al 911 y a la administración del
edificio (el ejercicio se desarrolló fuera de las horas de trabajo), y
otra fue enviada a que acompañe a los respondedores de emergencia, como
la policía y las compañías de bomberos.
Otro personal se
asignó a los equipos de búsqueda. Los evaluadores acompañaron a los
equipos de búsqueda durante todo el ejercicio. Un equipo ubicó un
objeto sospechoso y se calificó su capacidad para avisar al supervisor
y aislar el área en forma segura.
Después del ejercicio, las
listas de verificación fueron revisadas y se hizo la evaluación a los
oficiales de seguridad. La crítica se realizó en una atmósfera
constructiva en donde los participantes pudieron expresar observaciones
positivas y negativas de su propio rendimiento y el de sus colegas.
Como ejemplo, el supervisor de seguridad, que dirigía uno de los
equipos de búsqueda, descubrió un objeto sospechoso debajo de una mesa.
En ese momento, levantó su radio portátil y presionó una de las teclas
para alertar a la consola de seguridad.
Como el evaluador le
hizo saber de inmediato, esta acción fue un error porque iba contra lo
que el personal de seguridad había sido entrenado: les habían dicho que
evitasen usar radios portátiles en una situación de amenaza de bomba o
ante la presencia de un objeto sospechoso debido al riesgo de accionar
un sistema eléctrico de disparo. En la crítica que siguió al ejercicio,
se reiteró la lección a todos los oficiales.
Otro dispositivo
sospechoso fue localizado en la plaza exterior. Aunque los oficiales de
seguridad que descubrieron el objeto informaron en forma apropiada, no
cumplieron en aislar el área circundante. Varios meses después se
condujo un ejercicio de entrenamiento posterior utilizando un escenario
similar. Durante este ejercicio, el personal de seguridad trabajó en
forma mucho más consistente, y no se repitieron los problemas vistos
durante el primer ejercicio. Sin embargo, surgieron algunos problemas
nuevos. Por ejemplo, algunos oficiales recordaban los detalles exactos
de la amenaza mejor que sus colegas.
A partir de esa
experiencia, se hizo claro que ciertos oficiales estaban mejor
preparados que otros para manejar los teléfonos, aunque era imposible
restringir esas tareas para los oficiales más competentes. El resultado
de ambos ejercicios, empero, fue un mayor entendimiento de las
capacidades y puntos débiles del personal por parte de la gerencia y
una apreciación mayor de los participantes respecto a las dificultades
que encontrarían al responder a una situación de emergencia real.
Pruebas
individuales. Los que asisten al entrenamiento deben someterse a una
prueba después que han terminado el curso. La prueba debe ser efectuada
formalmente y con documentación de soporte. Una forma excelente para comprobar las destrezas individuales es utilizar una lista de verificación.
Durante
el entrenamiento, los objetivos deben ser estandarizados y establecidos
con claridad. Cuando se ha completado el entrenamiento, y a partir de
allí en forma periódica, un evaluador con una lista de verificación,
debe pedir al entrenado que demuestre las destrezas requeridas. Por
ejemplo, si el entrenamiento se trata de responder a un alarma en la
consola de seguridad, la lista de control puede detallar los pasos que
se necesitan tomar, como reconocer la alarma, enviar una patrulla para
investigar, y avisar al personal de supervisión o gerencia. El
evaluador puede entonces determinar en forma sistemática si todas las
acciones fueron debidamente ejecutadas. Mediante este análisis, el
gerente de seguridad puede identificar áreas en las que cada individuo
puede necesitar mejorar y cómo se puede efectuar el entrenamiento mejor
en el futuro.
Revisión periódica. Las lecciones para el
entrenamiento deben ser periódicamente revisadas y vueltas a probar. En
el edificio de oficinas mencionado anteriormente, por ejemplo, cada
seis meses se ofrece entrenamiento estructurado de seguridad contra
incendios, durante el cual el personal pasa por un incidente simulado.
Entrenamiento
de repaso. Generalmente, el entrenamiento de repaso sólo es necesario
cuando el personal de seguridad no puede realizar ciertas tareas o
cuando falla en el momento de explicar o demostrar un procedimiento
durante un repaso. En esos casos, el entrenamiento normalmente se da en
el momento.
Empleados
Los empleados que no trabajan en
seguridad tienen otras responsabilidades que reducen su atención a la
seguridad, pero a través del entrenamiento de concientización se les
puede dar una visión general de las consideraciones de seguridad
enfatizando cómo pueden contribuir a un centro de trabajo más seguro.
Se les puede dar ejemplos de cómo sus acciones pueden tener
ramificaciones de seguridad.
Es mejor dar el entrenamiento de
seguridad al personal que no es de seguridad en los inicios de su
período de empleo. Es de ayuda si el departamento de seguridad prepara
el programa conjuntamente con varios otros departamentos, como el de
recursos humanos. Atlas Air presenta los conceptos de seguridad a sus
nuevos empleados desde el primer día de trabajo. Un representante del
departamento de seguridad da una presentación de 15 minutos como parte
de cada orientación de empleados nuevos.
Esta introducción le
da al nuevo empleado una visión panorámica de la misión del
departamento de seguridad. También comprende la emisión de tarjetas de
acceso y las políticas de control de acceso, emisión de etiquetas de
estacionamiento y políticas sobre estacionamiento, presentación de
informes de incidentes, y algunas pautas generales sobre los programas
de seguridad de la compañía tales como seguridad de información e
información sobre contactos.
La charla de orientación inicial
brinda al empleado valiosa información relacionada con políticas y
procedimientos de seguridad. También debe hacer que los nuevos
empleados se sientan cómodos al iniciar contacto con seguridad en el
futuro si tienen cualquier preocupación.
Además, los temas de
seguridad se incluyen de vez en cuando durante los intercambios entre
empleados, una reunión del tipo de ayuntamiento, en donde los altos
funcionarios de la compañía abordan diversos temas con los empleados.
Otra herramienta para la conciencia de seguridad, aunque hablando
estrictamente no es una actividad de entrenamiento, es la revista de la
compañía, la que puede utilizarse para difundir el mensaje de
seguridad.
En Atlas Air, seguridad ha incluído artículos sobre
la protección de información privada, consejos de seguridad para hacer
compras, seguridad en el hogar, fraude con tarjetas de crédito, y robo
de identidad.
La meta es reducir la cantidad y gravedad de
diferentes tipos de incidentes, dándoles a los empleados las
herramientas que necesitan para evitar la situación en primer lugar o
para detectarla durante sus inicios.
Entrenamiento
especializado. Determinado personal no perteneciente a seguridad
necesitará entrenamiento especializado dirigido a los aspectos de
seguridad de sus trabajos. El entrenamiento puede ser dado en clases
orientadas a grupos específicos, de preferencia breves, presentadas por
un representante del departamento de seguridad.
Por ejemplo,
se deben entrenar a los ayudantes de ejecutivos y al personal de la
oficina de correo para detectar las señales que advierten una potencial
carta o paquete bomba. Esto es cierto incluso si la compañía emplea
equipos de rayos-X para revisar toda la correspondencia entrante. Los
representantes de servicio al cliente necesitan saber tratar las
llamadas telefónicas amenazadoras, y los recepcionistas de la compañía
deben ser entrenados para lidiar con visitantes encolerizados,
potencialmente amenazadores, que puedan encontrar cara a cara.
Un
buen ejemplo de este tipo de entrenamiento especializado es una clase
que puede darse a los recepcionistas. Los recepcionistas generalmente
realizan importantes funciones de control de acceso.
En
algunos casos, los recepcionistas pueden estar localizados en un área
en donde los visitantes tienen que atravesar un punto de control de
seguridad antes de llegar a ellos, o pueden estar ubicados al costado
de un puesto de seguridad. Sin embargo, con frecuencia, especialmente
en compañías más pequeñas, el recepcionista se sienta solo y es el
principal método de control de acceso durante las horas de trabajo.
Es
esencial que el recepcionista comprenda el elemento de seguridad de su
trabajo y que sea adecuadamente preparado para tratar situaciones
difíciles. Estas pueden fluctuar desde visitantes trastornados hasta
llamadas telefónicas difíciles o amenazadoras.
Se puede
proporcionar entrenamiento mediante una conferencia y una presentación
en PowerPoint. Si fuese conveniente, se puede insertar un estudio de
caso o una situación hipotética de entrenamiento. Es importante
mantener el entrenamiento relativamente breve y específico y tan simple
como sea posible, al mismo tiempo que aún se transmite la información
necesaria.
Después del entrenamiento, un evaluador puede
efectuar una prueba de penetración a través del área de recepción. La
prueba también puede ser una oportunidad para evaluar otros aspectos
del rendimiento del recepcionista, como sus habilidades para el
servicio a los clientes.
La prueba de penetración puede ser
efectuada casi de la misma manera como con la fuerza de seguridad. Se
pueden enviar a los evaluadores al sitio, con instrucciones de tratar
de ingresar mediante varios métodos diferentes. El evaluador puede
tratar de engañar al recepcionista para que le permita pasar o puede
simplemente tratar de evitar al recepcionista durante un momento
congestionado del día.
Este tipo de comprobación ayudará a
determinar si el entrenamiento ha sido efectivo. En el anterior lugar
de empleo del autor, las evaluaciones mostraron que la mayoría de los
recepcionistas estaban aplicando las lecciones del entrenamiento y
evitando que ingresase personal no autorizado, aunque se reveló alguna
deficiencia ocasional, como cuando el evaluador encontró dormido a un
recepcionista.
Asociándose. Para proporcionar este
entrenamiento en forma efectiva, el departamento de seguridad debe
trabajar conjuntamente con otros departamentos dentro de la compañía,
específicamente recursos humanos, operaciones, y comunicaciones
corporativas, ya que estos departamentos le ofrecen a seguridad el
mayor acceso a la masa de empleados. Con frecuencia, esto significa que
el departamento de seguridad tendrá que convencer a los jefes de estos
departamentos de la necesidad de este tipo de entrenamiento y tendrá
que demostrar que es aplicable al empleado ordinario.
A su
vez, estos departamentos pueden aconsejar a seguridad cómo presentar
este material de una manera que sea útil para los empleados sin crear
un clima de preocupación innecesaria o temor.
En Atlas Air,
por ejemplo, se le dijo a seguridad que su personal administrativo
estaba comunicando los conceptos en forma demasiado brusca. Desde
entonces han aprendido a agregar un toque de suavidad a las
exposiciones y a mantener una terminología sencilla.
En algunos casos, incluso se ha retirado la palabra “seguridad” del título de la sesión de entrenamiento.
En
la búsqueda de un lugar de trabajo más seguro y protegido, el
entrenamiento de seguridad debe ser dado del mismo modo a empleados de
seguridad y a los que no pertenecen a ella. Aunque el enfoque de este
entrenamiento y de los métodos y técnicas empleados puede ser diferente
para estos dos grupos, la meta final es una compañía en donde todos los
empleados tomen un papel activo para proteger al personal y a los
recursos de la compañía y reducir la frecuencia y severidad de los
incidentes.
Patrick R. Kane, CPP, es el director de seguridad
de Atlas Air, Inc., ubicada en Purchase, Nueva York. Es autor de
Practical Security Training (Entrenamiento Práctico de Seguridad).
También es miembro de ASIS. Conviene entrenar
El
entrenamiento puede ayudar a la compañía en diferentes frentes. Si
ocurre un incidente en el inmueble de la compañía y origina una acción
legal, por ejemplo, los registros detallados de entrenamiento pueden
ayudar a la compañía a demostrar que su personal de seguridad y
empleados estaban adecuadamente entrenados, lo cual puede reducir o
eliminar la responsabilidad.
El entrenamiento efectivo también
eleva la moral del empleado. Los oficiales de seguridad hacen un
trabajo que frecuentemente es rutinario y tedioso. Proporcionarles un
entrenamiento informativo y atractivo y tratarles de manera profesional
hará que se sientan mejor respecto a quiénes son y qué hacen.
Del
mismo modo, el entrenamiento general de conciencia de seguridad para
todos los empleados les facultará a sentirse más seguros dentro y fuera
del lugar de trabajo. Puede ser que muchas prácticas simples que
parecen ser de sentido común para los profesionales de seguridad no
sean muy conocidas para el empleado común. Por ejemplo, en una clase
reciente para los recepcionistas de Atlas Air, Inc., los recepcionistas
agradecieron a los entrenadores por darles consejos, como las técnicas
para reducir la intensidad de un evento, para ayudarles a sentirse más
tranquilos frente a situaciones fuera de lo común.
Una
conducta proactiva prudente también puede reducir los incidentes. Los
oficiales uniformados de seguridad que están entrenados en buenas
técnicas de patrullaje pueden impedir los incidentes, y los empleados
que adoptan las opciones correctas respecto a la protección de la
propiedad o prevención de situaciones o lugares potencialmente
peligrosos pueden evitar que sucedan los problemas.
Lamentablemente,
es imposible cuantificar estos logros porque no se puede saber con
certeza si un incidente habría ocurrido bajo circunstancias diferentes.
Sin embargo, lo que con frecuencia es cuantificable es el grado hasta
el cual se puede mitigar el daño cuando los incidentes llegan a
ocurrir. Por ejemplo, si el personal de seguridad ha ensayado
ampliamente los procedimientos de evacuación, y ocurre una situación
tal como un incendio, la capacidad del personal de seguridad para
evacuar eficiente y efectivamente el edificio validará el
entrenamiento.
Cuando el autor trabajó para una empresa en un
edificio de 40 pisos, los oficiales tenían que dar respuesta a los
problemas médicos urgentes de los huéspedes o invitados, tales como
ataques de ansiedad o dolores de pecho. Estos oficiales hacían mención
de medidas específicas de su entrenamiento para salvar vidas - más
notablemente cómo operar los ascensores independientemente y
mantenerlos en espera para que uno estuviera rápidamente disponible en
el piso correcto - por ayudar a agilizar el tratamiento.
El
entrenamiento es uno de un gran número de preocupaciones que mantienen
despiertos por la noche a los profesionales de seguridad. Aunque la
mayoría de los departamentos de seguridad tienen alguna forma de
entrenamiento autodidacto o en aula, la calidad de estos programas,
como la miden los objetivos de desempeño, varía en gran medida. ¿Cómo
se asegura un gerente de seguridad que el tiempo y el dinero que él o
ella gasta en el entrenamiento producen el necesario retorno de la
inversión? ¿Cómo puede saber un gerente que el entrenamiento recibido
por el personal hoy se traducirá en una acción positiva durante una
emergencia de aquí a seis meses? La clave es seguir un proceso paso a
paso para desarrollar el programa y asegurar que por lo menos una parte
del entrenamiento da participación a los estudiantes en actividades
basadas en escenarios.
Paso a paso
Muy a menudo, los
gerentes reconocen una deficiencia de desempeño e inmediatamente asumen
que la solución es el entrenamiento. Esto es un error. Los empleados a
veces no rinden como se esperaba por razones que no están relacionadas
con el entrenamiento. De hecho, a menos que el gerente pueda determinar
que la causa principal de la deficiencia observada es una falta de
conocimiento o habilidad, el entrenamiento no servirá para ningún
propósito.
Por lo tanto, los gerentes siempre deben hacer un análisis para evaluar la necesidad del entrenamiento.
Ese
es el primer paso en lo que se conoce como el modelo ADDIE para
desarrollar un programa de entrenamiento (el acrónimo es sacado de las
primeras letras de cada paso, comenzando con el análisis). Los otros
pasos son determinar el diseño del programa, desarrollar el programa,
implementar el plan y evaluar los resultados. Los siguientes estudios
de caso demuestran cómo los conceptos básicos de diseño de la
instrucción fueron aplicados y modificados para satisfacer las
necesidades de dos departamentos de seguridad diferentes.
Respuesta a emergencias
El
primer estudio de caso demuestra cómo fue usado el modelo ADDIE como
una herramienta de evaluación. En la compañía en cuestión, el
departamento de seguridad estaba compuesto de una fuerza propia grande,
bien equipada y bien entrenada. Dentro de sus obligaciones, el
departamento se concentraba en prestar asistencia médica de urgencia a
los empleados y visitantes que se enfermaban o lastimaban. Como parte
del programa básico de entrenamiento de oficiales de seguridad, se
habilitó a todo el personal como elementos de respuesta inmediata y,
con el apoyo y fondos de la compañía, algunos oficiales seleccionados
de seguridad se habían convertido en técnicos médicos de emergencia
(EMTs, en inglés).
En un esfuerzo proactivo por mejorar sus
capacidades de respuesta, el departamento comenzó a buscar las áreas
que necesitaban mejoramiento. Como parte de esta evaluación de
necesidades, una revisión de los informes de incidentes pasados
determinó que, aunque se había respondido exitosamente a un gran número
de emergencias médicas, ellas generalmente caían dentro de unos cuantos
tipos específicos de problemas médicos relativamente menores. La
pregunta si el personal, a pesar de su entrenamiento formal, podría
responder con éxito ante una emergencia más seria, necesitaba ser
sometida a prueba. Además, el departamento recientemente había
inaugurado un sistema de comando de incidentes dentro de sus
procedimientos estándares de operación y se necesitaban pruebas de
seguimiento para determinar si el personal estaba desempeñándose según
el estándar recientemente adoptado.
Como el objetivo era evaluar
dos asuntos separados, se diseñó el escenario hipotético de tal modo
que un incidente se desarrollase dentro de otro. La respuesta a una
alarma de incendio sería utilizada para examinar los protocolos del
sistema de comando de incidentes. Al llegar a la escena, los oficiales
de seguridad no encontrarían fuego alguno. En vez de ello, encontrarían
al ingeniero del edificio desplomado en el suelo como resultado de una
pequeña explosión proveniente de una caja eléctrica.
Antes de
diseñar los aspectos específicos del escenario, se efectuó un análisis
de tareas haciendo referencia a los procedimientos operativos
estándares de la compañía sobre emergencias médicas y el sistema de
comando de incidentes. Estos procedimientos operativos estándares
reflejaban el reglamento estatal sobre la atención médica de
emergencia. Se desarrollaron criterios específicos para determinar si
todos los aspectos de los protocolos de respuesta habían sido
cumplidos.
Por ejemplo, al llegar a la escena de la
emergencia, generalmente se esperaba que los oficiales de seguridad
realizasen funciones tales como revisar la escena del incidente para
ver si era seguro ingresar a la habitación y prestar ayuda; tratar de
averiguar el mecanismo de la lesión; realizar una encuesta médica
básica; inmovilizar el cuello y la cabeza de la víctima (si había razón
para creer que la emergencia era el resultado de una lesión como una
caída, en vez de una condición médica tal como un ataque al corazón); y
tomar y registrar los signos vitales de la víctima. Mientras tanto, se
esperaba que por lo general los elementos de respuesta que no eran
médicos notificasen al servicio médico local de emergencia, coordinasen
las comunicaciones entre todos los elementos de respuesta y con los
organismos públicos, se asegurasen que el personal del servicio médico
de emergencia pudiese localizar e ingresar a la instalación,
controlasen a las multitudes si fuese necesario y tomasen notas para
usar posteriormente en un informe de incidente
Estos
criterios fueron utilizados para conformar dos listas de control del
escenario. La primera lista de control cubría el sistema de comando de
incidente; esa lista se le entregó a un supervisor de seguridad con
experiencia en esa área. La segunda lista de verificación cubría la
parte de la respuesta médica del escenario y fue entregada a un oficial
de seguridad de alto nivel quien también era un EMT. Los dos miembros
del personal de seguridad a quienes se les habían dado las listas de
control eran los responsables de calificar las actividades enumeradas
en sus respectivas listas de verificación durante el transcurso del
escenario.
El planeamiento para la prueba era crucial, porque la
gerencia no quería que se afectasen las operaciones normales. El
ejercicio solo involucraría al equipo de seguridad y se conduciría
durante las primeras horas de la mañana.
El edificio de
seguridad fue elegido como el lugar del escenario porque el reglamento
local contra incendios no exigía que el sistema de alarma contra
incendios estuviese enlazada con el departamento de bomberos, si una
fuerza de seguridad local estaba presente. Además, se informó a los
operadores del centro de comando de seguridad de la emergencia para
evitar una llamada al servicio médico local de emergencia.
Habiéndose
reducido la probabilidad de que el escenario hipotético interrumpiese
las operaciones normales de la empresa, o de un informe inadvertido de
incidente a las autoridades locales, los planificadores desarrollaron
los aspectos específicos del ejercicio. Se tomó la decisión de filmar
el escenario hipotético con una cámara grabadora en un esfuerzo por
proporcionar, al rendir cuenta del escenario, una visión objetiva de lo
que había sucedido.
El ejercicio comenzó el día designado a las
2 a.m. cuando el operador del centro de comando recibió la activación
de una alarma en su pantalla. Según los protocolos normales, envió
oficiales de seguridad a la escena e intentó tomar contacto con el
ingeniero del edificio. El primer oficial en llegar a la escena
estableció un comando del incidente como requerían los protocolos, se
colocó junto al panel contra incendios y dirigió al segundo y al tercer
oficial hacia la activación de la alarma en el sótano. Los oficiales de
seguridad encontraron a los tres observadores que los esperaban. A los
oficiales se les ordenó que reaccionasen como si fuera un hecho real.
Los
oficiales procedieron a revisar la escena para determinar si era seguro
ingresar. Una vez que vieron que lo era, los oficiales se acercaron a
la víctima, quien yacía a una distancia de varios pies de un panel
eléctrico. Notando las marcas obvias de quemaduras en el cuerpo de la
víctima (hechas con maquillaje de teatro) y la distancia del panel
eléctrico, los oficiales asumieron correctamente que había ocurrido una
explosión, posiblemente causando lesiones en el cuello o la espalda a
la victima. Un oficial se puso al costado de la cabeza de la víctima y
le aplicó una estabilización en línea mientras que el otro realizaba
una revisión médica primaria, determinando que la víctima experimentaba
una respiración dificultosa y era poco sensible al estímulo verbal.
Después
de evaluar los signos vitales y administrar oxígeno de alto flujo, un
oficial realizó una segunda revisión y empezó a tratar las quemaduras y
otras lesiones relacionadas, según era necesario. Unos minutos más
tarde se tomaron los signos vitales de seguimiento y se continuaron
hasta las 2:20 a.m., cuando los observadores anunciaron que las
autoridades habían llegado a la escena y asumido responsabilidad por la
victima. Esto concluyó el escenario hipotético.
Poco después de
que se terminase el ejercicio, mientras la experiencia todavía estaba
fresca en la mente de todos, se llevó a cabo una reunión de
información. El supervisor abrió la reunión recalcando a cada uno de
los participantes que la situación hipotética se desarrolló para que
pudiesen aprender el uno del otro, estableciendo así el tono de la
reunión y evitando que ella se convirtiese en una situación estresante.
Luego, cada participante y observador dio su propio relato sobre lo que
había ocurrido durante el escenario planteado.
Un observador
notó que el oficial que efectuaba la estabilización en línea había, en
varias ocasiones, permitido que el cuello y cabeza se movieran. Si este
acto hubiera ocurrido durante una emergencia médica verdadera, la
víctima podría haber experimentado lesiones adicionales o posiblemente
parálisis.
El oficial que había realizado esta tarea no creía
que había hecho incorrectamente la tarea. Luego se revisó la cinta de
video de la cámara. La cinta mostraba que el oficial en efecto había
soltado el cuello de la víctima en una ocasión y que había aflojado
significativamente su asimiento varias otras veces.
Después de
que se completó la revisión del video y cada participante y cada
observador tuvo la oportunidad de hablar, se desarrolló una lista de
lecciones aprendidas. Encabezando la lista estaba más entrenamiento y
práctica en sostener la cabeza o cuello de una víctima durante la
estabilización en línea, cuando el mecanismo de lesión sugería un
problema de cuello o espalda.
Aunque había espacio para mejorar,
la determinación total de este escenario fue que el personal había
cumplido satisfactoriamente la mayoría de los criterios establecidos.
Otros escenarios hipotéticos posteriores mostraron una mejoría con
tiempo.
Control de acceso
El segundo estudio de caso
muestra como se utilizó el modelo ADDIE para mejorar la función del
control de acceso en una compañía grande que utilizaba personal de
seguridad contratada para proteger sus oficinas principales en el
centro de la ciudad. El personal contratado recibía su entrenamiento
básico de oficial de seguridad antes de ser asignado al lugar, y ya en
el empleo se les daba un entrenamiento específico sobre el sitio,
complementado por cursos autodidactos proporcionados por la compañía
contratada.
Cuando la compañía de seguridad asumió la
responsabilidad del contrato por primera vez, el arreglo funcionó bien.
La calidad del trabajo era apropiada para las necesidades de la
instalación. Sin embargo, al pasar el tiempo, el perfil de la amenaza
cambió. La compañía fue el blanco de manifestantes, y estas protestas
fueron cubiertas por los medios de prensa. Esta publicidad
incrementada, combinada con un número creciente de amenazas externas de
violencia laboral dirigidas contra los empleados, llevó a los gerentes
de seguridad a volver a evaluar el programa de entrenamiento de los
oficiales de seguridad y buscar oportunidades para mejorarlo.
Una
serie de incidentes menores brindó un punto de partida para este
esfuerzo al determinarse que los oficiales de seguridad operativos se
habían relajado al tratar los problemas de control de acceso. Los
procedimientos escritos exigían que los oficiales de seguridad
examinasen visualmente la insignia de identidad de cada empleado que
ingresaba a la instalación y sólo permitiesen el acceso a aquellas
personas que presentasen una insignia válida de la compañía con la
fotografía del empleado. Mientras tanto, se dirigían a los visitantes a
una entrada particular donde se verificaba su identidad y la razón por
la que se encontraban en el lugar.
En una ocasión, dos mujeres
que no eran de la ciudad confundieron las oficinas generales de la
compañía por un edificio del otro lado de la calle. Ellas ingresaron a
la instalación por la entrada principal y caminaron por delante de
cuatro oficiales de seguridad sin que se les pidiera su identificación.
Luego las mujeres entraron al ascensor y acabaron deambulando en un
piso superior, antes de ser detenidas por una secretaria alerta.
En
otro caso, un contratista llegó bastante antes de las horas de trabajo
para efectuar algo de trabajo en un área restringida de la instalación.
El oficial de seguridad conocía al contratista y le permitió continuar
al área sin una escolta porque el oficial tenía poco personal y no
quería causar inconvenientes al contratista al hacerlo esperar.
Para
abordar estas situaciones y otros problemas potenciales, los gerentes
de seguridad realizaron un análisis de necesidades de entrenamiento. Se
entrevistó informalmente a miembros del personal y se revisaron los
informes de incidentes pasados para descubrir la existencia de
cualquier tendencia.
Además, se creó y entregó a cada oficial
de seguridad un “Formulario de Evaluación de Conocimientos del Oficial
de Seguridad”, basado en las consignas de los puestos del lugar.
Varios
temas surgieron de la información recogida. En la entrada de empleados,
algunos oficiales no entendían del todo las órdenes del puesto. Otros
se concentraban tanto en los procedimientos escritos que fallaban en
aplicar un criterio firme cuando se veían frente a situaciones
inusuales. Aun otros se habían vuelto permisivos con el transcurso del
tiempo. Sin embargo, los guardias de seguridad ubicados en la entrada
para visitantes se desempeñaban en forma coherente, de acuerdo con los
procedimientos establecidos.
La terminación del análisis de
necesidades reveló dónde existían deficiencias de desempeño. Armados
con esta información los gerentes de seguridad desarrollaron objetivos
didácticos formales según el desempeño deseado que se esperaba de cada
oficial de seguridad. Debido a que la función de control de acceso era
un tema particularmente preocupante, los gerentes de seguridad
decidieron conducir una serie de escenarios de penetración.
En
estos escenarios, se les pidió a empleados seleccionados y a otros
voluntarios que intentasen ingresar sin presentar una identificación
apropiada. Algunos de estos examinadores presentaron licencias de
conducir y otros documentos, mientras que a otros se les entregó
insignias legítimas de antiguos empleados.
Además de ello, a
varios verificadores se les pidió que tratasen de convencer a los
oficiales de seguridad que les dejasen pasar. Los resultados de estos
ejercicios iniciales de penetración fueron excesivamente malos: De 16
intentos para ingresar a la instalación, 15 tuvieron éxito.
Las
razones por las que los verificadores pudieron penetrar en la
instalación cayeron de modo general en una de tres categorías: En la
primera, el oficial de seguridad no inspeccionaba visualmente la
insignia de identificación de cerca. Tales fallas permitieron que
ingresase con éxito una mujer de unos 30 años mostrando la insignia de
un empleado varón de unos 50 años.
En otras oportunidades, el o
la oficial de seguridad se dejaba distraer por la amabilidad de los
examinadores. Por ejemplo, una empleada de recursos humanos muy efusiva
se puso a conversar con el oficial de seguridad antes de entrar a la
instalación. El guardia se distrajo con la conversación y permitió que
ella entrase a la instalación sin enseñar una insignia de identidad.
La
tercera razón fue que el oficial de seguridad quedaba abrumado por el
número de empleados que ingresaban por el punto de control en un
momento dado: los que hacían la comprobación intentaban ingresar en los
momentos excepcionalmente ajetreados, escabulliéndose por el puesto
mientras el oficial estaba tratando con otros empleados o visitantes.
Lecciones.
A los guardias de seguridad se les informó los resultados de una manera
no acusatoria. En las situaciones donde había errores debido a una
falta de conocimiento, se tomó el tiempo para explicar las órdenes del
puesto y otros aspectos de la operación. En las situaciones en las
cuales los oficiales de seguridad no aplicaron un criterio apropiado,
se desarrolló y expuso ante los oficiales una serie de escenarios
escritos y verbales. Después de que los oficiales dieron sus respuestas
a estas situaciones, los oficiales y el supervisor analizaron el
problema hasta que el supervisor quedó convencido de que el oficial
había entendido lo que se esperaba.
Por ejemplo, se le
describiría al oficial una situación como aquella del contratista a
quién habían dejado entrar sin escolta en un área restringida en las
primeras horas de la mañana, y su respuesta sería registrada por el
supervisor. Las desviaciones en la respuesta del oficial con respecto a
las órdenes del puesto y a la política de la compañía, así como asuntos
más subjetivos como el criterio acertado, fueron anotadas y tratadas en
sesiones de tutoría individual o en ejercicios adicionales de
entrenamiento en grupo.
Este planteamiento puso a prueba a los
oficiales en una forma carente de crítica, permitiéndoles practicar y
aprender mejores técnicas para reaccionar en una situación real. Para
aquellos oficiales de seguridad que se habían vuelto complacientes con
el transcurso del tiempo, el simple hecho de que los escenarios de
penetración se efectuasen en forma regular, dio como resultado un
desempeño mejorado.
Después de que se condujeron los escenarios
y se identificaron las deficiencias en el desempeño, se condujo un
segundo conjunto de escenarios para evaluar el efecto del
entrenamiento. El desempeño de los oficiales de seguridad después de
los ejercicios de penetración fue comparado con los datos del análisis
de necesidades reunidos al inicio de la iniciativa. La comparación
mostró que el programa estaba produciendo resultados que se podían
medir.
Como dijo el filósofo Epictetus hace más de 2000 años,
“Sea lo que sea que quiere hacer habitual, practícalo”. Para el
departamento de seguridad eso significa hacer que el personal practique
los procedimientos en programas de entrenamiento adecuadamente
diseñados hasta que la respuesta correcta también se vuelva habitual.
Scott
Watson: CPP, CFE (Examinador Certificado de Fraudes), EMT (Técnico
Médico de Emergencias), es un analista senior de gestión de riesgos que
trabaja en Liberty Regional Agency Markets en Keene, New Hampshire.
Posee maestrías en administración de justicia penal y en diseño de la
instrucción y es el actual presidente del Capítulo Costero Tri-estatal
de ASIS.
Entrenamiento de la A a la E
Siga estos cinco pasos para elaborar un programa de entrenamiento:
Análisis
La
primera etapa del modelo ADDIE, el análisis didáctico, es la base sobre
la que se construye todo el programa. Aquí, el gerente de seguridad
necesita determinar si el entrenamiento es la solución apropiada y, si
lo es, cual será la meta o el resultado del entrenamiento.
El
gerente debe efectuar un análisis de necesidades de entrenamiento para
examinar otras causas posibles, como moral baja, compensación poco
convincente, problemas sistémicos, y supervisión deficiente. Mientras
efectua este análisis de necesidades de entrenamiento, el gerente debe
utilizar numerosas fuentes de información, incluyendo entrevistas y
cuestionarios a los empleados, una revisión de reportes de incidentes
anteriores, pruebas diagnósticas, y la observación.
Tomada en su
totalidad, esta información debe proporcionar suficientes datos al
gerente de seguridad para que determine si la deficiencia de desempeño
está o no relacionada con una falta de conocimiento o habilidad. Si lo
es, entonces el gerente debe determinar cuál es el conocimiento o
habilidad que falta y exactamente cuál es el objetivo final.
El
Dr. Robert F. Mager esboza un método simple para determinar estas metas
en su libro de 1997 titulado Preparando Objetivos Didácticos (Preparing
Instructional Objectives, publicado por CEP Press). Mager divide los
objetivos didácticos en cuatro secciones. El primero, conocido como
tema, generalmente contiene una afirmación tal como “Al término del
curso el estudiante podrá …(llenar espacio en blanco)”. Otras tres
secciones siguen la afirmación del propósito: desempeño, criterios y
condición.
La sección desempeño detalla exactamente lo que el
gerente o el creador del curso quiere que hagan los estudiantes,
identificando exactamente los comportamientos que se desean y cómo se
medirá su cumplimiento. (Durante la fase de evaluación del modelo
ADDIE, los resultados se juzgan según los estudiantes alcanzaron o no
los objetivos de desempeño). Al escribir un estándar para medir el
desempeño, uno debe evitar términos vagos que no puedan ser
cuantificados fácilmente.
Una de las palabras que más se debe
evitar es “comprender”. Es mejor escribir el objetivo en términos de
acciones observables que muestren claramente que el empleado comprende.
Por ejemplo, si un gerente de seguridad se quiere asegurar que los
oficiales entiendan cómo crear una insignia de identificación para un
empleado, entonces la medida de rendimiento deseado debe ser que el
empleado pueda crear una insignia y la comprobación de esto sería hacer
que él lo haga al final de la clase, a modo de examen.
La
sección condición describe las circunstancias bajo las cuales el
gerente desea que el empleado ejecute la tarea. Por ejemplo, la sección
condición podría leerse “Se creará una insignia usando el sistema
Badge-o-Matic 1200”.
La sección criterios incluye el grado de
calidad o los estándares que se esperan cuando se ejecuta la tarea bajo
las condiciones apropiadas. Siguiendo el ejemplo de crear una insignia
para un nuevo empleado, el criterio puede ser que la insignia tiene que
cumplir las normas corporativas generales para una insignia de
identificación de empleado.
Cuando esté escrito de manera
completa, el objetivo didáctico en este ejemplo podría leerse: “Al
final de esta sesión de entrenamiento, el oficial de seguridad podrá
crear una insignia para un nuevo empleado usando el sistema
Badge-o-matic 1200 de acuerdo con las normas corporativas para
insignias de empleado”.
Una vez que el gerente haya
establecido los objetivos didácticos para el entrenamiento, debe
revisarlos para ver si se pueden medir. En este caso, la respuesta es
sí; como se hizo notar anteriormente, el gerente puede observar a los
oficiales de seguridad que recibieron el entrenamiento mientras
producen la insignia de identificación, lo cual mide el conocimiento
adquirido según los estándares de rendimiento del objetivo.
Diseño
La
siguiente etapa trata el diseño del entrenamiento. Con los objetivos
didácticos ya escritos, el gerente de seguridad debe determinar qué
formato tendrá el curso de entrenamiento. La forma del entrenamiento
debe ser elegida según el tiempo disponible, los costos financieros y
al impacto operacional sobre el departamento. En ciertas situaciones,
puede ser una instrucción autodidacta o en aula. Otra opción es un
entrenamiento basado en escenarios hipotéticos, lo cual ofrece una
importante herramienta complementaria de instrucción que puede ayudar a
poner las lecciones de aula en una perspectiva de vida real para los
estudiantes.
¿Porqué entrenamientos basados en escenarios
hipotéticos? Los estudiantes adultos tienden a dirigirse por sí solos,
con objetos específicos en mente mientras aprenden un material nuevo.
Típicamente son motivados por un deseo de ejecutar alguna actividad o
alcanzar alguna meta en sus vidas privadas o profesionales. Además,
debido a que los estudiantes adultos ingresan a las actividades
educacionales con la riqueza de una experiencia externa de la cual
extraen conclusiones, frecuentemente aprenden más de las experiencias y
del conocimiento de otros estudiantes que de los instructores.
Infortunadamente,
la mayor parte del entrenamiento de seguridad que se da en los centros
de trabajo no toma en cuenta estos aspectos; en lugar de ello, está
basado en técnicas diseñadas para niños de escuela: conferencias en
aula o lectura de libros de texto, sin participación del alumno y sin
manera de adaptar el entrenamiento a problemas específicos del lugar.
El entrenamiento basado en escenarios hipotéticos resuelve muchos de estos problemas.
Debido
a que los escenarios están diseñados para poner a prueba la respuesta
del personal contra amenazas especificas del local, ellos estimulan al
aprendizaje activo del material pertinente. El entrenamiento basado en
escenarios hipotéticos también permite que el gerente de seguridad
compruebe tanto las capacidades del personal como los procedimientos
establecidos en situaciones que simulan la tensión de un evento real.
Desarrollo
El
jefe de seguridad necesitará determinar exactamente la apariencia del
curso o entrenamiento. Para este finalidad, el gerente de seguridad
usará los objetivos didácticos de la etapa de análisis y la decisión
sobre el formato adoptada en la etapa de diseño, y revisará los
recursos que tiene a su disposición. Los aspectos específicos del
entrenamiento dependen del tamaño del departamento y el nivel deseado
de formalidad para el producto final.
Implementación
Implementar
el programa es el próximo paso. Una vez más, según el tamaño de la
operación, los recursos disponibles y el nivel deseado de formalidad,
este paso puede tomar sólo un día o hasta varios meses para concluirse.
Evaluación
El
propósito de la etapa de evaluación es determinar si los estudiantes
han aprendido el conocimiento o las habilidades deseados. Los gerentes
pueden determinar el éxito del programa repitiendo la etapa de análisis
para observar si la deficiencia de desempeño ha sido eliminada. Pero el
gerente también debe revisar el programa de entrenamiento en sí,
considerando los resultados de desempeño en el transcurso del tiempo,
la retroalimentación de los estudiantes, los costos asociados y los
impactos operacionales sobre el departamento. Estos resultados, tomados
en su totalidad, deberán entonces ser utilizados para mejorar el
programa de entrenamiento.
Cualquier
intento de determinar cómo ha cambiado la seguridad corporativa durante
el último año debe comenzar en la fuente con una autoevaluación hecha
por los jefes de los departamentos de seguridad. Pero así como Alexis
de Tocqueville aportó la provechosa perspectiva de un forastero a la
América del siglo 19, ayuda ir más allá del profesional de seguridad
cuando se evalúa el estado actual de la seguridad. Con eso en mente,
Security Management ha considerado no sólo cómo los directores
superiores de seguridad evalúan sus propios papeles sino cómo se
percibe la seguridad entre los altos ejecutivos de las empresas,
analistas de Wall Street, y otros. El cuadro que surge es el de una
disciplina que ha dado pasos muy importantes, aunque todavía queda
mucho por hacer.
Un claro indicador de la nueva importancia de
la seguridad es que cuando la Mesa Redonda de Negocios (Business
Roundtable), una asociación de los presidentes ejecutivos (CEOs) de
corporaciones líderes, formaron un grupo de trabajo de seguridad, 41
CEOs se inscribieron en tres días, dice Mike Armstrong, CEO de
AT&T, el presidente del grupo de trabajo.
Seguridad es ahora
una estrella ascendente en el firmamento corporativo. Las personas
responsables de la seguridad “se han hecho más visibles para la
dirección de la empresa”, dice Armstrong, “y mucho más importantes para
la propia empresa”.
El cambio en las actitudes de las empresas
es también evidente en un informe de mercado sobre la industria de
seguridad, elaborado por Lehman Brothers. En ese informe, el analista
Jeffry Kessler escribe que la industria mundial de la seguridad “ha
pasado de una actividad periférica a un escenario central”.
Una
señal adicional de la naturaleza en maduración de la seguridad
corporativa es que la firma Boyden Búsqueda Mundial de Ejecutivos
(Boyden Global Executive Search) observó la necesidad del mercado de
una descripción de puesto formalizada de Chief Security Officer (CSO) o
funcionario principal de seguridad. La Comisión Internacional de Normas
de ASIS está ahora en el proceso de ayudar a desarrollar esa
descripción como una guía para las compañías que están buscando llenar
el puesto más alto de seguridad.
Así que, ¿quiénes son estos
nuevos centuriones que tienen ahora un papel más significativo en el
escenario corporativo, cómo se han modificado sus relaciones con la
alta gerencia después del 11 de septiembre, cuáles son sus nuevas
responsabilidades, y qué desafíos les espera por delante?
Quiénes son.
El
filósofo francés del siglo 18 René Descartes propugnaba que se tirasen
por la ventana todos los principios aceptados para que pudiesen ser
admitidos uno por uno por la puerta principal con el objeto de
asegurarse que estas ideas básicas fuesen válidas. Con el tiempo, la
seguridad ha desarrollado su propio conjunto de temas “asumidos” que
pueden merecer un nuevo examen. El primero entre ellos es el
imperativo, afirmado frecuentemente, que el jefe de seguridad ideal
para el siglo 21 no se aproxime a la seguridad privada como una segunda
carrera luego de años en la aplicación de la ley, y que en vez de ello,
esta persona posea ante todo una fuerte orientación empresarial porque
es crítico que hable el lenguaje de la sala de junta y porque la
seguridad privada no es un trabajo policial.
Hasta cierto punto,
el 11 de septiembre ha invertido esa ecuación, dirigiendo el reflector
sobre el conjunto básico de destrezas en seguridad. Conocer el negocio
sigue siendo importante, dice Frank V. Cahouet, Jr., un director
gerente en la firma de búsqueda de ejecutivos Korn/Ferry International.
Pero lo que piden los ejecutivos corporativos es que sus CSO
posean capacidad o experiencia en inteligencia, y quieren gente con más
habilidades de investigación. En consecuencia, observa Cahouet, muchos
de estos altos puestos se dan a gente de los organismos policiales
federales, de la comunidad de inteligencia, de ciertas áreas militares
y de las áreas de investigación dentro de una agencia como el
Departamento del Tesoro de los EEUU
Un ejemplo es Larry L.
Cockell, quien fue contratado el pasado enero como vicepresidente
senior y CSO de AOL Time Warner, Inc., una empresa con 90,000 empleados
y siete compañías diferentes mundiales. En el período posterior al 11
de septiembre, la dirección quería alguien con sólida experiencia
internacional y un enfoque estratégico para estructurar la función de
seguridad, dice Cockell, un veterano con más de 20 años en el Servicio
Secreto, quien se había retirado como director adjunto, y quien en
algún momento había estado a cargo de las operaciones de seguridad de
la Casa Blanca.
George Campbell, presidente de la Asociación
Internacional de Administración de Seguridad (International Security
Management Association, ISMA), la cual tiene miembros que ocupan cargos
de seguridad en corporaciones multinacionales, dice que observa ese
tema expuesto repetidamente en el tablero de anuncios de empleos en
línea de ISMA. “Cuando usted examina el perfil de experiencia tras del
cual van”, dice, “éste gira alrededor del cumplimiento de la ley....No
dice que quieren una MBA” (maestría en Administración de Empresas).
Kessler,
de Lehman Brothers, ha observado una tendencia similar. “Hay cerca de
cinco compañías aquí en la Ciudad de Nueva York, en un radio de una o
dos cuadras inmediatamente a nuestro alrededor, que han contratado
personal que han trabajado en seguridad en lugares que van desde el
Departamento de Policía de la Ciudad de Nueva York al FBI y a la CIA”,
dice. Y hace notar que si bien la mayoría de ellos tienen al menos
ciertos antecedentes en TI, su fundamento, en términos de los asuntos
en los que trabajaron en estas organizaciones, son de seguridad.
Finalmente,
sin embargo, el debate sobre los méritos relativos de la experiencia en
organismos policiales versus los conocimientos técnicos o de negocios,
representa una elección que no ofrece una alternativa real. Las
corporaciones no necesitan elegir entre estos antecedentes, observa
Campbell. Ni lo han hecho. La realidad entre los profesionales que
ocupan estos altos cargos es que ellos representan lo mejor de
múltiples mundos.
Regis W. Becker, CPP, director mundial de
seguridad y cumplimiento de PPG Industries, Inc., ofrece un ejemplo de
cómo se pueden tender puentes entre los mundos de la seguridad y de los
negocios. Becker, quien ha sido presidente de ASIS, comenzó su carrera
en la aplicación de la ley, en donde prestó servicios como agente
especial del FBI, pero también obtuvo un grado en derecho y una MBA.
“Usted
debe tener una amplia comprensión no sólo de la administración de la
seguridad sino de las prácticas generales de la administración de
empresas y una comprensión general del ambiente de los negocios”, dice
Becker.
Becker y otros también anotan la importancia de las
destrezas de comunicación. “Usted tiene que poder comunicarse en todos
los niveles de la organización”, dice. “Debe tener la capacidad de
sentarse frente al comité ejecutivo y presentarles un informe, y quizás
al día siguiente sentarse y tener una entrevista con un empleado de
producción”.
Pero cualquiera que sea la relación de destrezas
que uno pueda reunir para el jefe ideal de seguridad, el puesto nunca
será igual en todos los casos. Cada corporación busca la destreza que
encaja mejor en su entorno de negocios. De este modo, los profesionales
de seguridad pueden viajar por cualquier número de senderos
profesionales hacia lo más alto.
Considérese a Jack Fair,
vicepresidente senior y jefe de seguridad en Fidelity Investments, con
base en Boston, que tiene unos 30,000 empleados. El es un CPA (contador
público certificado) y posee una MBA, pero también es un CPP
(profesional certificado de seguridad) y un CFE (examinador certificado
de fraude). Aunque él también se inició en el gobierno (en este caso el
FBI, en donde sirvió seis años trabajando en casos de delitos
económicos), pasó gradualmente al sector privado en los inicios de su
carrera a través de la contabilidad pública.
Cuando primero se
incorporó a Fidelity hace 11 años, se inició como jefe de la unidad de
investigaciones. Pero dejó la división de seguridad para dirigir varios
otros departamentos de Fidelity, incluyendo el grupo de auditoría
interna en Inglaterra y operaciones continentales europeas en
Luxemburgo, antes de regresar finalmente para dirigir el departamento
de seguridad el pasado mayo, cuando se retiró su predecesor.
A
Fidelity le agradó su experiencia ajena a la seguridad, dice Fair,
porque había profundizado su comprensión de los negocios medulares de
la compañía. Sus períodos en otros departamentos también le mostraron
cómo era percibida la seguridad y le enseñaron la importancia de
brindar servicios más allá de los límites convencionales.
Tal
como el conocimiento de Fair de los principales negocios financieros de
Fidelity le ayudó a conseguir el puesto más alto de seguridad, Mary Ann
Davidson, la nueva CSO en Oracle Corporation, quien tiene un
bachillerato de ciencias en ingeniería mecánica y una MBA, llegó al
trabajo desde el sector de seguridad y desarrollo de productos de TI
(tecnología de información)--el núcleo del negocio de Oracle.
Davidson
fue la elección perfecta para el cargo por otra razón--ella escribió la
descripción de puesto. “Mi idea fue que sería muy importante tener
alguien con la autoridad y responsabilidad para elaborar políticas
globales de seguridad”, dice. “Hice la gestión para que tuviéramos
dicho cargo. Y me ofrecieron el puesto”.
El reconocimiento de
Davidson de la necesidad de un cargo de funcionario principal de
seguridad y su iniciativa para definirlo y vender la idea a la
administración, fue un indicio de su capacidad de liderazgo. Más allá
de cualquier habilidad específica en una materia, un CSO debe ser ante
todo un líder que pueda manejar las relaciones y ejercitar influencia
estratégica, dice Campbell, de ISMA. Como hace notar Davidson, “Usted
sólo es realmente tan bueno como la gente que desea trabajar con usted
y para usted”.
Relaciones ejecutivas.
El lugar otorgado
al ejecutivo de seguridad de mayor nivel en la jerarquía corporativa
está pasando por un cambio sísmico en muchas compañías. En la Encuesta
Anual Internacional de Empleo de ASIS, tomada a unos 480 gerentes de
seguridad, por ejemplo, 18 por ciento de los que respondieron dijeron
que los jefes de seguridad de sus compañías reportan ahora a una
persona de mayor rango que antes de los ataques terroristas de 2001.
La
tendencia, sin embargo, no comenzó con el 11 de septiembre, dice
Kessler de Lehman Brothers. Aún antes de ello hubo “un impresionante
crecimiento” en el número de ejecutivos que tenían la palabra
“seguridad” unida a sus nombres --vicepresidentes, vicepresidentes
superiores y vicepresidentes ejecutivos de seguridad fueron cada vez
más comunes en las oficinas centrales de las corporaciones. Un ejemplo
de tal progreso es Grant Crabtree, CPP, quien se convirtió en el
vicepresidente de seguridad corporativa de ALLTEL, una compañía de
telecomunicaciones, hace tres años. “Ellos vieron suficiente necesidad
para crear un puesto de funcionario de la compañía”, dice Crabtree. Le
dieron a seguridad “un asiento en la mesa”, expresa.
Crabtree
tiene un B.S. en justicia penal obtenido mientras desempeñaba una
función de apoyo en el FBI, pero dice que ganó su conocimiento práctico
de seguridad durante el trabajo en varias operaciones de seguridad
privada, y enfatiza la necesidad de dirigir el departamento de
seguridad como cualquiera de las otras funciones de negocios. Hace
notar la necesidad de desarrollar relaciones con las otras unidades de
negocios, así como hacia arriba y abajo de la escalera corporativa.
“Cada vez que me encuentro con alguien, verdaderamente quiero que
sienta que va a agregar valor, que entiende el negocio, y que va a
ayudarnos a hacer dinero”, dice.
Pero incluso Crabtree, quien es
un funcionario de la compañía, reporta al vicepresidente ejecutivo y al
asesor jurídico. No reporta directamente al CEO, un acuerdo que algunos
expertos de la industria propugnan. ¿Es ese nivel de reporte
suficiente para seguridad? Probablemente, dice Chad Callaghan, CPP,
vicepresidente de servicios de prevención de pérdidas de Marriott
International y co-presidente de la Comisión de Normas de Seguridad de
ASIS que está trabajando en la plantilla de descripción del puesto del
CSO. Por ejemplo, dice, “en una compañía como la mía, con 120,000
empleados, siendo realistas, no voy a reportar al CEO. Y no sé que
necesite hacerlo”.
Lo que importa es el nivel de apoyo de la
alta gerencia, dice Becker. La idea es establecer el puesto principal
de seguridad en la estructura de la administración, dice, de una manera
tal que seguridad “ pueda producir el cambio e impulsar a la
organización”.
El ámbito de seguridad.
Los asuntos de
seguridad claramente han subido de nivel en la agenda corporativa, pero
lo que sigue poco claro es quién es el propietario de este campo de la
seguridad, siempre en expansión y ahora más importante. Consta de
muchos elementos diferentes incluyendo seguridad física, seguridad
cibernética, gestión de riesgos, protección, y gestión de
desastres/continuidad de operaciones. El hecho que al cargo más alto de
seguridad se le ha ido subiendo cada vez más en la escala corporativa
no necesariamente significa que también se le ha dado autoridad sobre
la gama completa de estas responsabilidades.
Uno de los
objetivos de la descripción del puesto de CSO que está siendo
desarrollada por ASIS y Boyden Global Executive Search es consolidar
todas estas responsabilidades relativas a la seguridad bajo la
jurisdicción del CSO, de modo que quede claro quién está a cargo, dice
Sean Ahrens, CPP, gerente principal de seguridad de la firma consultora
Gage Babcock, y miembro de la Comisión de Normas de Seguridad de ASIS
que está trabajando en la definición del CSO.
Actualmente pocas
compañías se centralizan hasta ese extremo. Y más grande que sea la
compañía, más probable es que tenga una hidra supervisando las
operaciones de seguridad. Pero se ha hecho progresos. Considérese el
caso de PepsiCo, Inc. Esta bien conocida empresa mundial, que tiene
ingresos por más de 27 mil millones de dólares y más de 143,000
empleados, no tenía una persona de seguridad de alto nivel supervisando
la corporación antes del 11 de septiembre, dice David Carpenter, quien
se convirtió en dicha persona en julio del año pasado. Carpenter dice
que los ataques terroristas fueron una llamada de alerta que llevó a
que la junta de directores se preguntase “¿Cuán preparados estamos?
¿Hay alguien o debemos contratar a alguien para que supervise todas las
divisiones de PepsiCo?”
La junta respondió afirmativamente a la
pregunta y creó el puesto de vicepresidente de seguridad mundial, que
reporta directamente al CEO. “Fui contratado a un nivel ejecutivo para
interactuar no sólo con la dirección superior de PepsiCo sino también
con el directorio y los presidentes de todas las divisiones”, dice
Carpenter, quien llegó a ese cargo desde el Departamento de Estado de
los EEUU, en donde había sido secretario de estado adjunto.
Incluso
antes del 11 de septiembre, el papel de la seguridad en la corporación
se había vuelto más y más centralizado, dice Kessler, de Lehman
Brothers, a medida que las corporaciones han tratado de conseguir mayor
control de sus funciones de TI y de acceso físico.
Y,
contrariamente a lo que temían algunos profesionales de la seguridad
física, en la mayoría de los casos la seguridad no está siendo incluida
dentro de TI. Por ejemplo, Crabtree consiguió elaborar un caso para
llevar a la seguridad informática bajo su dominio. “Recomendé que
tuviésemos una evaluación de seguridad de TI por nuestros auditores,
Ernst & Young, y ellos hicieron eso. Vinieron e interrogaron a
muchas personas en toda la compañía sobre cómo la empresa estaba
manejando la TI, y descubrieron ... que probablemente TI debía estar en
mi organización”.
A Carpenter, de PepsiCo, también se le dio
la parte de seguridad de TI. Resulta interesante que ese fuera el
resultado de un estudio interno efectuado por el grupo de gestión de
riesgos de la compañía, sin ninguna insinuación del departamento de
seguridad. “Ellos habían hecho algunos estudios, considerado las
mejores prácticas en otras corporaciones, y creían que esa era la mejor
estructura de reporte”, dice Carpenter. Como resultado, el funcionario
principal de información (CIO) reporta directamente al presidente, como
lo hace Carpenter, pero el funcionario principal de seguridad de la
información reporta a Carpenter, no al CIO.
Y en donde las
funciones de TI y de seguridad física no están explícitamente bajo una
persona, dice Kessler, los dos grupos coordinan sus esfuerzos más
frecuentemente que en el pasado. Esta coordinación informal se extiende
más allá de TI y de seguridad física hasta los jefes de otras
divisiones, como planeamiento de crisis, auditoría, y gestíón de
riesgos, mediante equipos, comités, consejos y grupos de trabajo.
Mislock, de Du Pont, llama a esto la “administración por matriz”.
Ese
modelo es utilizado por AOL Time Warner, dice Cockell. “Debido a que
obviamente ninguna persona puede abordar el espectro de problemas que
surgiría en una compañía de este tamaño, es un esfuerzo de
colaboración. Yo trabajo con el CIO, recursos humanos, bienes raíces, y
los gerentes de las instalaciones para colaborar con ellos en
estrategias para mejorar nuestra situación de seguridad”.
Es lo
mismo en Philip Morris, dice George W. Bujac, vicepresidente de
seguridad corporativa. “Yo no hago seguridad de TI”, dice, “aunque me
desempeño en el consejo de seguridad de la información”. De modo
similar, advierte Bujac, los profesionales de seguridad de Philip
Morris laboran en grupos de trabajo para cada una de las unidades de
negocio. “Nuestra ocupación es brindar asesoramiento y consejo al grupo
de trabajo que podría estar elaborando un producto”, o involucrado en
el embarque o en otro proceso de negocios, dice, “pero no es nuestra
responsabilidad”. La responsabilidad descansa en las unidades de
negocio.
Davidson coordina la seguridad en Oracle a través de un
comité de dirección de seguridad corporativa que incluye no sólo a los
grupos de seguridad de TI, física, de desarrollo de productos --sino a
otros interesados, como recursos humanos, el funcionario principal de
privacidad, y el departamento jurídico. Ella anota: “Esa es realmente
una estructura que ha sido recomendada por la Estrategia Nacional para
Asegurar el Ciberespacio, un documento que está actualmente publicado
como anteproyecto” y que proviene del presidente Bush.
Un efecto
a largo plazo del 11 de septiembre es que “la función de seguridad se
está involucrando más en el contexto de gestión de riesgos y
continuidad operacional”, incluso en donde el grupo que maneja la
función no está bajo el dominio de seguridad, dice Don W. Walker, CPP,
presidente/ CEO de Pinkertons Inc., y co-presidente de la Comisión de
Normas de ASIS. El anota que antes del 11 de septiembre, la gestión de
riesgos estaba más identificada con el sector de gestión financiera de
la empresa. Ahora, dice, las compañías se preguntan, “¿Cómo hacemos
para que seguridad se involucre para ayudarnos a identificar y mitigar
esos riesgos?”.
Pero los efectos del 11 de septiembre en la
centralización de la seguridad han sido desiguales. Por ejemplo, en
Marriott, dice Callaghan, la gestión de crisis solía estar bajo su
responsabilidad, en el departamento de seguridad de la división de
alojamiento. Pero conforme cobró mayor importancia después del 11 de
septiembre, la compañía matriz decidió que debía haber un grupo
separado de planeamiento de crisis para garantizar la consistencia a
través de diferentes operaciones (hospedaje, alojamiento para personas
de edad, y club de vacaciones).
Continua habiendo tantas
variaciones en la estructura de la organización de seguridad como hay
compañías. Y eso tiene sentido hasta cierto punto, porque “la
organización de seguridad depende realmente del tipo de negocio en el
que se encuentra y de la organización de la compañía”, expresa Walker
de Pinkertons. Pero, en lo que concierne a la estructura que
funciona mejor, “en última instancia eso es cultural”, dice Davidson de
Oracle. “Si cada una de las personas en la compañía carece de noción de
su responsabilidad por la seguridad, no importa cuál sea su estructura,
usted no tendrá éxito”.
Economía.
Dada la situación
ajustada de la economía, quizás no sorprenda que muchos departamentos
de seguridad todavía no obtengan más dinero con el cual luchar contra
las crecientes amenazas, y que algunos incluso hayan sufrido recortes.
La encuesta de ASIS sobre empleo encontró que el 38 por ciento de los
que respondieron no habían tenido incremento en sus presupuestos,
mientras que el 7 por ciento informaron una reducción. “Incluso después
del 11 de septiembre, veo a directores de seguridad que no pueden
conseguir dinero para comprar una caja de clips”, dice Roy Bordes,
presidente y CEO de The Bordes Group, Inc.
Richard G. Hudak
director corporativo de seguridad y protección de Loews Corporation en
Nueva York, dice que si bien su estatus y esfera de influencia
crecieron como resultado del 11 de septiembre, la reducción de
actividades en la industria del hospedaje condujo a recortes en la
fuerza de guardias de seguridad. También hace notar que al nivel
corporativo, años atrás cuando era jefe de seguridad de ITT Sheraton,
tenía un grupo de empleados de 20 o 30 personas. Hoy, dice, “No tengo
empleados. No quieren que tengamos empleados”. En vez de ello, contrata
a terceros para todas las actividades, desde investigaciones hasta
control de acceso.
Algunos expertos de seguridad también han
encontrado una noticia preocupante en una reciente encuesta del Consejo
para la Competitividad (COC, por sus iniciales en inglés), efectuada a
230 ejecutivos corporativos de compañías con ingresos brutos de US $50
millones o más: 67 por ciento de los que respondieron no veían cómo una
seguridad mejorada los podría hacer más económicamente competitivos.
Pero
una pregunta separada en la misma encuesta presenta otra visión: 46 por
ciento dijeron que creían que los cambios en la seguridad mejorarían la
productividad de su compañía a largo plazo, un número bastante alto
cuando uno considera que la seguridad ha sido tradicionalmente vista
sólo como un gasto general. Lo que es más, la pregunta sobre
productividad ya no es la única pertinente. Todavía es cierto que,
“usted se puede proteger hasta acabar con el negocio”, como dice David
H. Nozensky, director de seguridad corporativa del FPL Group, Inc. Pero
en muchas más compañías que antes, ahora la sala del directorio
entiende que la seguridad representa lo esencial–la supervivencia de la
empresa. Como lo dice Armstrong, de AT&T, ahora las compañías deben
sopesar el costo de implementar la continuidad operacional contra el
costo de no garantizar la continuidad operacional.
Kessler está
de acuerdo. Hace notar que a Lehman Brothers, cuyo edificio estaba al
otro lado del Centro Mundial de Comercio, le tomó nueve meses recuperar
la participación en el mercado que perdió debido a los trastornos
creados ese solo día. Las compañías están empezando a darse cuenta,
dice, “que dado el costo total de propiedad de ese sistema de
seguridad, el rendimiento de eso puede ser enorme solamente por la
protección que proporciona”.
De las palabras a la acción.
En
lo que se refiere a los pasos específicos adoptados para proteger a la
empresa corporativa desde el 11 de septiembre, la tarjeta de
calificaciones no haría sentir orgullosos a muchos padres, pero por
otro lado, se puede observar progreso.
Por ejemplo, 90 por
ciento de los que contestaron la encuesta del COC dijeron que no veían
a sus compañías como blancos del terrorismo. Sin embargo, es alentador
que 70 por ciento dijesen que sus compañías habían revisado o analizado
las políticas de seguridad, y 53 por ciento habían efectuado cambios
basándose en gran medida en esas evaluaciones.
Es difícil
generalizar debido a que algunas compañías han hecho mucho y otras aún
tienen que comenzar, pero “Yo diría que en términos generales estamos
en el 25 por ciento inicial de dónde en última instancia necesitamos
ir”, dice Walker, de Pinkertons. Aunque todavía hay mucho camino por
recorrer, dice, “es un proceso a largo plazo y se han dado pasos
gigantescos”.
Desafíos futuros.
En general, como se ha
analizado, la percepción de la seguridad por parte de la
administración, por lo menos en las grandes compañías, ha cambiado a
causa del 11 de septiembre y debido a una multitud de otros riesgos que
van desde seguridad cibernética a integridad empresarial e intereses
empresariales mundiales. “Se está aceptando que la seguridad es más que
sólo manejar oficiales de seguridad, realizar investigaciones, y
llamarnos después que ha ocurrido un hecho”, dice Edward G. Casey, CPP,
director de seguridad corporativa de Procter & Gamble Company.
Eso
obliga a que los jefes de seguridad estén a la altura del desafío. Y
como una disciplina, la seguridad se está “volviendo mucho más
profesional de lo que ha sido anteriormente”, dice Raymond A. Mislock,
Jr., director de seguridad corporativa de Du Pont.
Campbell, de
ISMA, está de acuerdo. “Creo que se ha hecho un gran progreso en la
última década”. Mientras más conozcan los directorios los diversos
conjuntos de riesgos que enfrentan las corporaciones, dice, “más
demanda existirá para una persona con un puesto elevado en la compañía,
responsable de una variedad amplia de los servicios de seguridad ”. Y,
agrega, hay cientos de profesionales de seguridad que poseen lo que es
necesario para llenar estos puestos de seguridad de alto nivel.
Sin
embargo, también es cierto que “existe un segmento muy grande de la
población profesional de seguridad que con toda probabilidad no está a
la altura de estos estándares” que están siendo propuestos para la
plantilla del CSO, dice Timothy Connor McNamara, socio y director
gerente de Boyden Global Executive Search. “Es un nivel diferente de
educación. Es un balance diferente de habilidades técnicas y
educacionales. Es un nuevo juego de pelota”, dice.
Muchos
directores de seguridad corporativa, por ejemplo, no tienen experiencia
práctica en seguridad de la información, concuerda Mislock. Y muchos
expertos señalan a la falta de una trayectoria académica de postgrado
bien establecida como una barrera al progreso futuro de la profesión. “En
donde estamos ahora es que hay gran cantidad de trabajo por hacer”,
dice Kathy Lavinder, directora ejecutiva de Security and Investigative
Placement Consultants (Consultores de Empleo de Seguridad e
Investigación). “La profesión de seguridad tiene la oportunidad única
de elevar su perfil....Las corporaciones industriales de EEUU nunca han
estado tan concentradas en la seguridad, así que necesitan aprovechar
el momento”.
James Cohon, presidente de la Universidad Carnegie
Mellon, y miembro del Consejo Asesor de Seguridad de la Patria del
Presidente Bush está de acuerdo en que éste puede ser un punto
fundamental para la seguridad corporativa. Repara que el punto central
del enfoque de la administración Bush para la seguridad de la patria es
la asociación entre el sector público y el sector privado.
“Eso
tiene enormes implicancias para el funcionario principal de seguridad
(CSO) en términos de su papel dentro de las corporaciones”, dice Cohon,
“porque en efecto lo que estamos hablando es de conseguir que las
corporaciones hagan que la seguridad sea una parte natural y activa
para sus tomas de decisiones corporativas, especialmente en la toma de
decisiones estratégicas, y si ese es el caso, me parece que el CSO
tiene un papel muy importante que jugar”.
Ese papel, aunque
ampliado en su alcance y significado, sería el que siempre ha sido:
ayudar a que las compañías entiendan el porqué importa la seguridad y
luego ayudarlas a alcanzar ese objetivo. Y como antes, la labor
continuará siendo un desafío.
Sherry L. Harowitz es editora de Security Management.
Un
hombre joven se detuvo frente la tienda, mirando a su alrededor
cautelosamente. Ningún oficial de seguridad uniformado estaba a la
vista. De pronto, tomó una brazada de ropa y salió precipitadamente por
la puerta. Un oficial de seguridad que no vestía uniforme observó lo
que pasó y salió en su persecución. El ladrón corrió velozmente a
través del área de estacionamiento y se dirigió hacia un carro para
huir, seguido de cerca por el oficial. En un momento más, el ladrón
estaría bajo custodia y el oficial se convertiría en un héroe. Pero ese
momento nunca llegó. Dos cómplices del ladrón aparecieron detrás de un
auto estacionado y emboscaron al oficial de seguridad. Lo patearon y
golpearon, enviándolo al hospital con heridas que amenazaban la vida.
El ladrón y sus cómplices fugaron en el carro y nunca fueron
capturados.
Este fue una tragedia de la vida real que se
podría haber evitado si el oficial hubiera sido entrenado de forma
adecuada. Muchas veces los oficiales de seguridad tienen que hacer
frente a situaciones peligrosas como ésta, pero no siempre se les da la
orientación que necesitan para manejar el incidente en forma segura y
efectiva.
El entrenamiento debe ser diseñado para que los
oficiales estén al tanto de todas las opciones disponibles cuando se
vean ante una situación potencialmente hostil. Debe prepararlos mental
y fisicamente para que enfrenten el incidente con la respuesta moderada
correcta. Un programa de entrenamiento completo en tácticas defensivas
está diseñado para hacer eso. A pesar del nombre, este enfoque no exige
que los oficiales estén estrictamente a la defensiva reaccionar a un
encuentro violento.
Este programa abarca tanto tácticas ofensivas como defensivas. Además, no depende solamente de la acción física.
El
objetivo del enfoque de tácticas defensivas es entrenar a los oficiales
a resolver situaciones de manera pacífica, a menos que la persona
hostil lleve un encuentro a un nivel más alto de amenaza. Un aspecto
particular de este planteamiento es concentrarse en preparar a los
oficiales de seguridad tanto mental como físicamente.
Un
programa de concientización en tácticas defensivas debe contener dos
componentes primarios de entrenamiento: estrategias para evitar
conflictos y técnicas esenciales de autodefensa. Otros asuntos son el
entrenamiento en las políticas y procedimientos de la compañía,
aspectos de salud y seguridad y consideraciones legales.
Prevención del conflicto.
El
primer punto del concepto de las tácticas defensivas enfatiza las
estrategias para evitar el conflicto. En esta fase de instrucción, el
oficial aprende la gestión del enfrentamiento (incluyendo los métodos
de intervención verbal), señales del lenguaje corporal, posturas de
protección, zonas de peligro, procedimientos auxiliares de emergencia y
tácticas de negociación.
Gestión del Enfrentamiento. En
algunos casos, sólo acercarse a una persona potencialmente hostil puede
ser suficiente para incitar a ese individuo hacia una acción violenta.
Los oficiales necesitan entender que los esfuerzos por desactivar la
situación deben comenzar en el momento de contacto. Por ejemplo, los
oficiales deben adoptar un comportamiento sereno. Por ejemplo, pasos
suares y no amenazantes, movimientos controlados de manos y brazos, y
una distancia apropiada del sujeto pueden convencer a una persona
potencialmente hostil que el oficial de seguridad no es un peligro para
él o ella.
Los sí y no del lenguaje. Contra lo que se dice a
los niños--que las palabras nunca pueden hacerles daño--el uso mal
considerado del lenguaje puede incitar a una persona ya enojada a
adoptar una conducta violenta. A la inversa, las palabras respetuosas
pueden reducir el nivel de tensión, posiblemente evitando la violencia.
Los oficiales de seguridad que aprenden cómo el lenguaje y el tono de
voz pueden apaciguar a adversarios agresivos, serán mucho más efectivos
en su trabajo.
Lenguaje corporal. Los gestos y las acciones
físicas son también elementos vitales de la comunicación entre un
oficial y una persona potencialmente hostil. Las palabras calmadas del
oficial deben estar acompañadas de gestos apropiados. Por ejemplo, un
oficial que apoya la mano sobre el puño del bastón enfundado o que usa
excesivos gestos manuales, como apuntar mientras habla, enviará un
mensaje subliminal de agresión que podría provocar a la persona a la
que se está acercando.
Igualmente, el lenguaje corporal del
oponente del oficial de seguridad puede ser un presagio de acciones
hostiles. Los oficiales necesitan tener cuidado de puños cerrados, de
una postura tensa, de ojos punzantes o de una mirada molesta o
desafiante. Todos estos pueden ser indicadores de violencia.
Posturas
de protección. Aunque un lenguaje corporal no agresivo puede mantener
calmados a sus antagonistas, los oficiales de seguridad no obstante
deben estar físicamente preparados para un ataque súbito. Un oficial de
seguridad puede reducir la exposición del cuerpo como blanco al ponerlo
en un ángulo de 45 grados hacia el agresor potencial. Asimismo, los
oficiales deben retirar de los agresores el lado del cuerpo donde se
encuentran las armas de defensa personal como los bastones. Esta
posición puede evitar que los oponentes arrebaten esos objetos al
oficial antes o durante una lucha.
Zonas de peligro. Se les
debe enseñar a los oficiales la importancia de dominar el área entre
ellos y sus oponentes. Un oficial que se acerca demasiado a un sujeto
puede no sólo provocar a esa persona a la violencia sino también perder
el control de un conflicto si se inicia uno. Una distancia de
aproximadamente cuatro pies puede dar un espacio mínimo de seguridad,
permitiendo la comunicación directa sin los numeros temeroso o
sobreprotegido.
Apoyo. Las cantidades superiores son clave
para controlar en forma segura a un individuo hostil. Por lo tanto
deben estar establecidas las estrategias para asegurar que un oficial
pueda recibir rápidamente el apoyo adecuado de sus compañeros o de la
policía si el problema avanza. Los escenarios usados en el
entrenamiento deben ayudar a los oficiales comprend cuándo y cómo pedir
apoyo.
Negociaciones. No es infrecuente que las personas
empuñen un arma de fuego u otra arma cuando se les enfrenta un oficial
de seguridad. Por tanto, el personal de seguridad debe saber persuadir
a un individuo a que suelte el arma. Por ejemplo, los oficiales deben
aprender qué decir para convencer a un oponente armado que no se le
hará ningún daño.
Autodefensa.
Como no todos los
intentos para evitar enfrentamientos violentos tendrán éxito, los
oficiales deben de estar preparados para defenderse. Si los oficiales
están armados, el entrenamiento debe incluir algunas situaciones donde
el oficial tiene un arma y algunas en se le ha quitado el arma o no la
tiene disponible.
Para quien se va a defender, las técnicas
deben incluir la preparación física para el entrenamiento de
autodefensa y movimientos básicos como amortiguación de caídas,
acciones evasivas, y técnicas para bloquear, golpear y patear. También
debe abarcar formas de derribar, técnicas de sujeción, técnicas de
pelea supina y medidas preventivas especiales, como retención de armas
y estrategias defensivas contra cuchillos y armas de fuego.
Si
bien se puede aprender la mayoría de estas técnicas en clases de artes
marciales o en otro entrenamiento de autodefensa, el instructor debe de
entender las funciones, las actividades y el ambiente de los oficiales
de seguridad. El instructor debe concentrarse en enseñar aquellas
técnicas aplicadas que se puedan llevar a la práctica el próximo turno
en que el oficial se presente a cumplir su obligación. Un análisis de
la situación de trabajo del oficial revelará que algunas técnicas son
más efectivas que otras, pero en general los criterios que se usan para
seleccionar las técnicas deben incluir los siguientes factores.
Simplicidad.
Las tácticas de autodefensa deben de ser fáciles de aprender,
practicar, recordar y ejecutar. Una maniobra complicada puede parecer
impresionante en la práctica, pero es mucho menos probable que funcione
efectivamente en la vida real.
Versatilidad. Las tácticas
necesitan adecuarse al ambiente normal del oficial de seguridad. Por
ejemplo, los movimientos deben ser efectivos de cerca si el espacio del
oficial es limitado; pero también deben ser útiles para el oficial en
una variedad de lugares y situaciones. Además, las técnicas de
autodefensa necesitan ser igualmente efectivas para oficiales
masculinos y femeninos y deben ser seguras en situaciones de alta
tensión.
Flexibilidad. Cualquier maniobra de autodefensa
necesita funcionar bien cuando los oficiales llevan el uniforme, los
cinturones portaaccesorios u otro equipo de trabajo que pueda limitar
el alcance del movimiento. Los movimientos deben ser efectivos cuando
se usan ofensiva o defensivamente y deben permitir el retroceso rápido
para permitir la adopción de una nueva posición de lucha. Algunas
técnicas de autodefensa comprometen mucho al cuerpo del oficial a un
movimiento específico, con la posibilidad de hacer que el oficial
pierda el equilibrio.
Tácticas callejeras. Hoy muchas personas
son hábiles en las tácticas de lucha callejera, y al encontrarse ante
la amenaza de una persona hostil, el oficial de seguridad debe estar
preparado para todas y cada una de las formas de treta del atacante. Un
entrenamiento apropiado puede ayudar a evitar que un oficial caiga
víctima de tales tácticas. Muchas veces la policía local puede ser útil
en este campo. Por ejemplo, en el ejemplo al inicio de este artículo,
si el oficial que fue emboscado por los cómplices del ratero de tiendas
hubiera sabido que ésta era una táctica callejera común, habría evitado
lesiones físicas graves.
Otro componente de esta parte de la
instrucción incluye el armamento oculto. Todas las formas de armas,
fabricadas o improvisadas, actualmente están disponibles. Pueden estar
escondidas y usadas repentinamente contra un oficial. Nuevamente, la
policía local puede ser un recurso invalorable para ayudar en este tipo
de entrenamiento. Ellos tienen experiencia con, e inclusive pueden
tener ejemplos de, varios dispositivos que se pueden analizar y exhibir
en una clase de entrenamiento.
Políticas.
El
entrenamiento en la conciencia de tácticas defensivas debe incluir una
explicación de las políticas y procedimientos del empleador respecto al
uso de la fuerza. La política debe detallar específicamente las
tácticas defensivas aprobadas, las cuales estipularán lo que es una
conducta aceptable por parte de los oficiales. Se debe usar el análisis
en clase de los procedimientos para aclarar cualquier preocupación o
concepto erróneo del oficial de seguridad. Esta instrucción brinda a
los oficiales el marco esencial en el que se basan las futuras acciones
en el caso de un encuentro hostil.
Además, las declaraciones
de las políticas y procedimientos deben de describir los parámetros del
uso de la fuerza necesaria y especificar la conducta que no será
tolerada. Por ejemplo, la política pueda prohibir que los oficiales
ataquen el área de la ingle de un agresor, porque tales ataques pueden
provocar una grave lesión e inclusive la muerte. También pueden estar
prohibidas las tomas de estrangulación
El personal de seguridad
también necesita una explicación práctica de cuándo es apropiado usar o
aumentar el uso de la fuerza. Una explicación del incremento de la
fuerza ilustra a un oficial el tipo de fuerza que es apropiada conforme
crece el nivel de amenaza. Por ejemplo, cualquier situación
probablemente comienza con estrategias vocales de intervención ideadas
para neutralizar una situación que involucra a un sujeto verbalmente
enojado. Si el antagonista lleva el asunto a un nivel más alto de
amenaza, el oficial puede entonces responder de acuerdo a ello,
recurriendo a un nivel de fuerza no mayor que el requerido para
controlar la situación.
La instrucción debe tratar
adicionalmente las condiciones bajo las cuales debe cesar el uso de la
fuerza, y debe abordar por completo el tema del abuso de la fuerza que
puede originar problemas, como demandas legales, contra el oficial y el
empleador
Informes. La documentación de los incidentes de
seguridad es importante en general y es aún más crítica cuando ha
sucedido un incidente violento. Las políticas deben, por lo tanto,
incluir de estos informes debe ser transmitido a los oficiales durante
el entrenamiento. Se les debe enseñar a los oficiales que documentar
rápida y directamente el uso de la fuerza en un evento demuestra
profesionalismo y un deseo de que se conozcan todos los hechos.
Se
debe entrenar al oficial a reportar todos los detalles que rodean un
incidente, en particular aquellos hechos que llevaron a la
participación del oficial. Un factor especialmente importante en este
proceso de hacer la crónica de los hechos, es el acto o acción
específica, por parte del agresor, que motivó que el oficial recurriese
a la fuerza física.
Salud y seguridad.
Un altercado en
el puesto de trabajo del oficial puede causar heridas al oficial y al
agresor. Los oficiales deben tener suficiente entrenamiento en primeros
auxilios para poder tratar dichas heridas antes de que llegue la ayuda
médica de emergencia.
Otra consideración importante es la
posibilidad de contacto con sangre u otros fluidos corporales. Como
parte de su preparación de protección personal, los oficiales necesitan
reconocer la presencia potencial del VIH/SIDA y necesitan estar
preparados para tomar las precauciones necesarias conforme lo exige la
Administración de Salud y Seguridad Ocupacional (OSHA). Por ejemplo,
las botiquines de primeros auxilios deben estar abastecidos de un
compuesto desinfectante aprobado así como guantes de látex, y los
oficiales deben estar totalmente entrenados para proporcionar primeros
auxilios mientras cuidan su propia seguridad.
Los objetivos
corporales constituyen otra consideración importante de seguridad y
salud para los oficiales de seguridad. El cuerpo humano tiene varios
puntos vulnerables que si son golpeados por un agresor pueden causar
heridas graves o inclusive la muerte.
Los ataques contra estos
lugares sensibles pueden causar daños graves que pueden empeorar si no
reciben tratamiento. Los oficiales necesitan conocer estas áreas
físicamente sensibles; hasta el más leve contacto con estas áreas puede
requerir atención médica inmediata.
Asuntos legales.
El
proceso de instrucción también debe incluir al consejero legal del
empleador, quien puede brindar conocimientos y advertencias
relacionadas al uso de la fuerza así como las consecuencias del uso de
fuerza excesiva. Todas las leyes locales y sus ramificaciones civiles y
penales requieren una explicación completa por profesionales de la ley.
Entrenamiento continuado.
El entrenamiento en el
programa de tácticas defensivas implica habilidades que se deterioran
en gran medida en un ámbito en el que las amenazas cambian
constantemente. Si los oficiales no conservan actualizadas y agudas sus
habilidades defensivas, la precisión y la ejecución serán afectadas o
desaparecerán. Por lo tanto, las clases periódicas durante el servicio
deben asegurar que todos los oficiales se mantengan competentes y
conscientes de los cambios en la política o en las técnicas. Los
oficiales de seguridad deben estar preparados para protegerse a sí
mismos sin exponer a la compañía a una responsabilidad legal
innecesaria. Un programa completo de tácticas defensivas puede dar a
los oficiales el entrenamiento mental y físico que necesitan para
manejar cualquier situación con el menor nivel de fuerza requerido.
Richard
A. Haynes, CPP, CFE (examinador certificado de fraude), es un capitán
jubilado del Departamento de Policía de Charleston y co-fundador de la
Asociación de Artes Marciales para Oficiales de Seguridad. Ha trabajado
como consultor de seguridad para empresas e industrias. Es miembro de
ASIS. El autor solicita a los lectores que observen que este artículo
sólo tiene el propósito de dar información general.
Contratar
no es una tarea fácil aún en la mejor de las circunstancias, pero se ha
hecho aun más difícil en la economía actual de casi empleo pleno. La
compañía Servicios de Investigaciones de los EEUU (USIS), que
proporciona servicios de investigación y de verificación de
antecedentes para clientes comerciales y gubernamentales, incluyendo al
gobierno federal, su mayor cliente, ha tenido que enfrentar este
problema de primera mano durante los últimos cinco años, mientras ha
aumentado su fuerza laboral de 700 a 3,000 empleados. Sólo en los
últimos 18 meses la compañía ha procesado más de 60,000 resúmenes
personales y efectuado 12,000 entrevistas a candidatos para trabajos
que van desde trabajos de oficina de nivel inicial hasta puestos
altamente especializados y técnicos de seguridad. La iniciativa de
contratación más grande ha sido para investigadores de campo, y es la
experiencia de USIS en esta área la que ofrece la base para este
artículo.
USIS empezó su iniciativa de contratación de
investigadores definiendo claramente sus objetivos en términos de la
calidad delos nuevos investigadores que buscaba, la puntualidad del
proceso decontratación, y la productividad del equipo de contratación.
Estos tres aspectosproporcionaron la base para la administración
exitosa de la compañía de estemasivo esfuerzo de contratación.
Alistándose.
Los
gerentes que contratan sólo ocasionalmente tiendena responder a una
necesidad de contratación meramente colocando un aviso yhaciendo
entrevistas. Sin embargo, esteenfoque pierde algunos pasos preliminares
que pueden incrementar en mucho laprobabilidad de encontrar un buen
candidato para el puesto. Este trabajo comprende el desarrollo de
unadescripción de trabajo, la identificación de las competencias y
característicasnecesarias, y la selección de preguntas para las
entrevistas que mejoridentifican a los candidatos fuertes. USIS
emplea descripciones de trabajo de una página que incluyen una lista de
cinco a siete responsabilidades principales, una descripción de cómo se
medirá la eficacia en cada una de estas responsabilidades, y los
detalles de las competencias necesarias para tener éxito en el trabajo.
(Las competencias son las habilidades y características que aporta una
persona al trabajo.)
En la mayoría de los casos, el departamento
de recursos humanos es la primera fuente de ayuda para preparar una
descripción del trabajo. En USIS, el departamento de recursos humanos
dirige la redacción de la descripción, consultando al gerente de campo
específico respecto a las obligaciones que impondrá el trabajo.
Luego
de que USIS desarrolló su descripción de trabajo para la posición de
investigador, recurrió a unos materiales preparados por una compañía
externa especializada en evaluaciones de candidatos. Estos materiales
incluían una lista de competencias que guardarían relación con ese tipo
de trabajo, junto con sugerencias para las preguntas de la entrevista
relacionadas a cada punto (que se analizan con más detalle en la
sección relacionada a entrevistas).
Estos materiales, que se desarrollaron con contribuciones
de investigadores actuales, se usaron para compilar la siguiente lista
de competencias que requeriría el candidato a un trabajo: · Administración de volumen de trabajo. · Aptitud para trabajar en forma independiente. · Adaptabilidad. · Habilidad para fomentar confianza de los clientes y los sujetos de la investigación. · Capacidad para tomar decisiones. · Capacidad para escritura
Encontrando candidatos.
Una
vez que se ha hecho el trabajo preliminar, el siguiente paso es
determinar a dónde dirigir los esfuerzos de búsqueda: dentro de la
compañía, fuera de ella, o una combinación de ambos..
Muchas
compañías se concentran en hacer internamente la publicación y
reclutamiento para el trabajo, usándolo para fomentar la lealtad y la
retención de los empleados. El beneficio es que el reclutamiento
interno proporciona un recurso conocido y de una lealtad más fuerte. El
principal inconveniente de este enfoque es que reclutar exclusivamente
dentro de la organización limita a las compañías a un menor número de
candidatos: pescar en una pequeña laguna en vez de hacerlo en el
océano, donde es más probable que se encuentre el pez más grande.
Por
el contrario, el reclutamiento en el exterior proporciona un número
mayor de solicitantes con una gama más amplia de experiencia,
antecedentes y niveles profesionales. Pero no ofrece los beneficios de
recursos conocidos y mayor lealtad. USIS hace su reclutamiento en el
exterior para los puestos de nivel inicial y usa los anuncios internos
para puestos de nivel más alto, mirando afuera ocasionalmente en busca
del pez más grande.
Las compañías que intentan decidir cuál de
los dos enfoques es mejor para ellas deben volver a los temas de las
competencias y responsabilidades. Si tratan de llenar un cargo
existente, hay una probabilidad razonable de que la compañía encuentre
dentro de ella las habilidades que necesita. Si se está creando una
posición que requiere nuevos grupos de habilidades, buscar fuera de la
compañía puede ser una mejor opción.
Si la compañía sale, debe
encontrar una forma de ubicar las fuentes de obtención de candidatos
que desea. Si bien no intenta ser una lista completa, los siguientes
instrumentos para reclutamiento han funcionado bien para USIS.
Programas de referencias.
Hasta
1998, USIS obtenía la mayoría de sus contrataciones mediante
referencias, un método de reclutamiento de poco costo que generalmente
sirve para empleos de alto rendimiento. En sus más recientes gestiones
de contratación, USIS ha conseguido aproximadamente el 25% de sus
contrataciones provenientes de referencias, las cuales caen en dos
categorías: personales y de palabra. Las referencias personales son
aquellas de amigos o familiares de actuales empleados y tienden a tener
un tasa más baja de rotación. Las referencias de palabra son contactos
de negocios que manifiestan su interés en el trabajo de investigador.
Por ejemplo, un individuo que está pasando una investigación de
antecedentes podría preguntar sobre el cargo y recomendar a un miembro
de su familia. USIS anima a sus investigadores para que hagan que estas
mentes interesadas consulten la página Web de la compañía, y algunos
investigadores inclusive llevan folletos de la compañía cuando hacen
sus entrevistas.
Anuncios en Internet.
Anteriormente
USIS ha utilizado con éxito algunos de las grandes pizarras de búsqueda
de empleos. Conforme el mercado de trabajo se hacía más estrecho, la
compañía cambió a pasar avisos publicitarios en los sitios Web de
nichos. USIS contrató a una compañía externa para analizar las
características de los investigadores de éxito y para ubicar los sitios
Web en donde el perfil del visitante duplica estas características
seleccionadas. Algunos resultaron una sorpresa para USIS, yendo más
allá de sus expectativas. Por ejemplo, los sitios relacionados con los
viajes y art.com han mostrado ser prometedores.
Anuncios en periódicos.
USIS
ha tenido un enorme éxito con los anuncios tradicionales en los
diarios. Por ejemplo, un cuadro de 3 por 5 pulgadas en los avisos
clasificados dominicales en The Washington Post cuesta aproximadamente
$ 5,000 y atrae aproximadamente 100 candidatos calificados. Aunque es
caro, es la manera más fácil de llegar a una cantidad más grande de
personas y permite que una compañía reciba una respuesta rápida (los
currículos personales generalmente se ven dentro de una semana).
Ferias de empleos.
Aunque
USIS efectúa reclutamiento en las universidades, la compañía ha tenido
más éxito haciendo sus contrataciones en eventos de las asociaciones
profesionales y militares, ya que las personas que asisten generalmente
se igualan al perfil de los investigadores exitosos.
Correo directo.
Mientras
los Estados Unidos se acercaba a un estado de pleno empleo, USIS
necesitaba cambiar las tradicionales estrategias de contratación
mencionadas y llegar a los que buscan trabajo en forma más pasiva, como
aquellos que ya tienen trabajos pero están un poco descontentos y están
eventualmente considerando sus opciones. USIS hizo esto al coordinar
una campaña de correo directo utilizando las listas de correo de
asociaciones cuyos miembros coinciden con el público beneficiario, como
son los oficiales militares jubilados y trabajadores sociales. A través
del correo directo, la compañía ha podido dirigir sus esfuerzos hacia
personas cuyos conjuntos de habilidades coinciden más con los que
necesita, que aquellos del público en general.
Proceso de selección.
Una
vez que las solicitudes van ingresando, un gerente de contrataciones
puede efectuar una contratación acertada luego de evaluar un número
pequeño de candidatos. Sin embargo, esto rara vez sucede. La
contratación que tiene éxito es típicamente un juego de números, y
existen pocos atajos. Por ejemplo, durante el intenso trabajo de USIS
de los últimos 18 meses para reclutar investigadores, la compañía ha
encontrado que para hacer una sola contratación tiene que revisar 45
currículos previamente seleccionados, ponerse en contacto
telefónicamente con 14 candidatos, y hacer 12 entrevistas iniciales y 7
segundas entrevistas.
Sin embargo, el proceso puede ser
simplificado, para asegurar que no se malgaste el tiempo del
entrevistador en candidatos que no tienen las calificaciones. Esto se
hace mediante la preselección.
Preselección.
En el
inicio, USIS sólo hacía selecciones telefónicas respecto a los
elementos y aptitudes más básicos del trabajo, tales como ciudadanía,
voluntad para hacer viajes, requisitos mínimos de sueldo, y acceso a un
vehículo. Pero debido a que los encargados de las contrataciones no
podían aprender mucho sobre los postulantes a través del teléfono, los
entrevistadores después perdían un tiempo valioso en muchos candidatos
incapaces.
Entonces la compañía ideó un proceso de selección
inicial más estricto, aunque teniendo cuidado de no hacerlo tan
riguroso que pudiese dejar fuera a candidatos potencialmente
calificados. El perfeccionamiento del proceso preliminar de selección
condujo a la herramienta de reclutamiento que USIS actualmente utiliza,
que fue diseñada a la medida.
El sistema, que la compañía ha
estado usando por cerca de 10 meses, permite que los candidatos
adquieran conocimientos del trabajo y se preseleccionen respondiendo a
preguntas de preselección cuidadosamente preparadas sobre sus
antecedentes y voluntad de aceptar las condiciones del trabajo. En
esencia, la herramienta de preselección establece un currículo
electrónico basado en las respuestas del postulante. Los candidatos
interesados luego pueden remitir el cuestionario/currículo ya
completado si quieren.
Después que se ha remitido el currículo,
los gerentes de contratación pueden elegir a los candidatos con las
calificaciones específicas de educación y experiencia que desean. Por
ejemplo, si USIS está buscando empleados para cumplir un contrato que
anteriormente había sido adjudicado a otra compañía, los gerentes de
contratación podrían buscar entre los empleadores anteriores de los
solicitantes para determinar si alguno de los empleados del contratista
previo ha pedido trabajo. O, los gerentes podrían buscar postulantes
que tengan una campo de estudio particular.
Aquellos postulantes
cuyos currículos satisfacen los criterios del gerente, son invitados
por recursos humanos para entrevistarse para el trabajo.
Aproximadamente
75 por ciento de los candidatos con los que se ha hecho contacto para
la entrevista aceptan la invitación. USIS ha encontrado que debido a
que la selección y la revisión del currículum ayudan a eliminar a
candidatos débiles, el proceso ha mejorado enormemente la calidad de
las personas que van para la primera entrevista.
Prueba y evaluación.
Una
organización también debe decidir si va a incluir herramientas de
evaluación en el proceso de selección. Tales herramientas, que abarcan
la gama desde pruebas de habilidades hasta evaluaciones de
personalidad, pueden ayudar a determinar la aptitud del candidato para
el trabajo.
Los programas informáticos para ambos tipos de
pruebas (habilidades y personalidad) se pueden comprar o pueden ser
diseñados específicamente para una organización por un consultor de
recursos humanos. Lo primero es menos caro pero lo segundo tratará las
habilidades específicas que desea una compañía.
Cualquiera que
sea la opción que se escoja, el departamento de recursos humanos debe
revisarla para asegurarse que se cumplan los requisitos legales
respecto a la validez del instrumento.
Actualmente USIS
básicamente utiliza una prueba, un examen de escritura, para todos los
postulantes a investigador. Se escogió la prueba de escritura porque la
redacción de informes es crítica para el éxito en el puesto.
Los
postulantes tienen 30 minutos parar responder a dos preguntas escritas.
Por ejemplo, una pregunta podría pedir que el candidato identifique a
alguien que no es digno de confianza y que describa cómo él o ella
llegó a esa conclusión. Los encargados del reclutamiento usan una hoja
de evaluación para juzgar el contenido, gramática, lenguaje y otros
aspectos. La muestra escrita elimina aproximadamente el 40 por ciento
de los candidatos que pasaron una buena entrevista.
Adicionalmente,
ahora USIS está conduciendo un programa piloto para determinar si una
evaluación del perfil de la personalidad agregará valor al sistema de
selección. En julio del 2,000 se dió este instrumento a 50 nuevas
contrataciones. Se sigue su progreso para determinar cuáles son las
semejanzas del perfil de aquellos que se quedan y los que se van, así
como entre los que tienen éxito y los que hacen la lucha. (La compañía
también tiene planes para desarrollar más herramientas de examen en el
futuro, incluyendo las que miden las habilidades de empleo del
lenguaje, razonamiento abstracto, y pensamiento crítico.)
La entrevista.
Las
entrevistas de trabajo tienen dos propósitos: evaluar al candidato y
convencerlo acerca del trabajo. El enfoque tradicional ha sido evaluar
al candidato, pero con el aumento en la competencia por los candidatos
con talento, el enfoque ha cambiado hacia convencer al candidato sobre
el trabajo y la compañía. Desafortunadamente, esto a menudo sucede a
expensas de reunir información de calidad sobre las habilidades y
rasgos del postulante, más allá de los que se presentan en el currículo.
Las
actuales demandas de USIS para contrataciones son tan intensas que la
compañía limita su proceso de precontratación a la prueba escrita y a
dos entrevistas personales , con otro miembro del personal en cada
ocasión. Las organizaciones que reclutan para una cantidad reducida de
vacantes deben tener en consideración efectuar un proceso de entrevista
más extenso, que permitiría que los finalistas tuvieran entrevistas con
cuatro o cinco personas del departamento. Los aportes desde múltiples
perspectivas son un variable importante para decisiones efectivas de
contratación. Además, si los empleados han recomendado un candidato
para que sea contratado, es muy probable que ellos lo o la apoyen
durante los primeros meses en el trabajo.
Técnicas de entrevista.
El
primer paso en una entrevista efectiva es hacer que el candidato se
sienta cómodo, entablando una conversación informal y dándole una
visión general de lo que se tratará durante la entrevista. A
continuación, el entrevistador debe hacer preguntas respecto a la
experiencia anterior y a los logros relacionados con las calificaciones
y competencias enumeradas en la descripción de trabajo.
El
segundo paso de la secuencia de la entrevista–preguntar sobre la
experiencia previa-se basa en la premisa de que la mejor manera de
predecir el comportamiento futuro es el comportamiento pasado. USIS
utiliza una guía escrita estructurada para la entrevista con preguntas
sobre el comportamiento para cada competencia o calificación. Las
preguntas enfocan la manera de que el candidato respondió a situaciones
reales en el pasado.
Los entrevistadores empiezan con preguntas
de interpretación abierta y luego profundizan en puntos específicos.
Por ejemplo, una de las calificaciones para el puesto de investigador
es la capacidad de auto-administrar la propia carga de trabajo. Para
evaluar esta característica en los candidatos, USIS solicita un ejemplo
de una ocasión en la que el programa de actividades del candidato se
vio alterado por circunstancias imprevistas, y cómo él o ella
respondió. Para la calificación de adaptabilidad, el entrevistador
podría preguntar sobre la última vez que el candidato estuvo en
desacuerdo con una nueva política establecida por la alta gerencia y
cómo él o ella hizo frente a esto.
El entrevistador debe
preguntarle al candidato su percepción del trabajo. Luego el
entrevistador debe presentar una visión panorámica del trabajo y de la
compañía, y cerrar con una explicación de los siguientes pasos en el
proceso.
Errores.
El error más común de los
entrevistadores es hablar demasiado. (USIS calcula que el entrevistador
sólo debe hacer el 30 por ciento de la conversación). Otro error es dar
la información correcta en el momento equivocado. Los entrevistadores
efectivos esperan al final de la entrevista para ofrecer información
detallada respecto al trabajo y la compañía porque no desean mostrar
exactamente lo que están buscando hasta que hayan recibido respuestas
imparciales sobre la experiencia previa del candidato.
Evaluaciones.
Al
final de la entrevista se evalúa el candidato en cada capacidad. Como
es fácil perderse en los detalles menores de un sistema de puntos para
hacer entrevistas, los gerentes de contrataciones también dan un paso
atrás para tener una visión amplia, preguntándose si pueden visualizar
al candidato como un investigador exitoso.
Asuntos legales.
Una
conversación sobre la contratación estaría incompleta si no se
mencionasen los posibles escollos legales. El mayor riesgo legal surge
en las entrevistas individuales. Los tópicos que deben evitarse, según
el derecho de discriminación, bajo la mayoría de las circunstancias,
comprenden el estado civil, hijos o el intento de tener hijos, nombre
de soltera, ciudadanía, edad o fecha de graduación (que puede indicar
la edad), condición de invalidez, afiliación religiosa, y salud. Esta
lista puede servir como un punto de partida para conversaciones con el
departamento de recursos humanos respecto a las consideraciones legales
en el proceso de contratación.
Verificaciones de referencias.
El
principio de que el comportamiento pasado es la mejor forma de predecir
la conducta futura, también se aplica a las referencias, que pueden
ayudar a pintar un cuadro del rendimiento anterior. Cuando un gerente
de contrataciones efectúa comprobaciones solamente superficiales, se
incrementa la probabilidad de que él o ella tomará decisiones de
contratación basándose en afirmaciones infladas o falsas.
En
USIS, la verificación de las referencias implica una investigación
completa de antecedentes, realizada después de haber hecho una oferta
condicional de contratación. Puede tardar entre 6 y 16 semanas para
completar la verificación de antecedentes, la misma que incluye
entrevistas en el terreno con colegas de trabajo y vecinos. Las
preguntas se centran a si el entrevistado tiene alguna razón para creer
que el postulante no debería tener un cargo relacionado con las
seguridad nacional, como problemas de alcoholismo, dificultades
crediticias o desaveniencias conyugales.
Muchos gerentes de
contrataciones no pueden darse el lujo de efectuar una investigación de
antecedentes tan amplia. Pero deberían, como mínimo, confirmar la
veracidad de todas las afirmaciones en la solicitud de trabajo y
verificar los logros que el postulante manifiesta haber alcanzado,
utilizando recursos internos de la organización o contratados. La
información que debe ser verificada comprende educación, fechas de
empleo, y sentencias penales.
Los gerentes de contrataciones que
desean sacar el máximo provecho de sus llamadas a las fuentes de
información deben hacer algo mas que solamente pedirles que confirmen
las afirmaciones del postulante. Pueden, por ejemplo, pedirle a la
referencia que amplíe su descripción del rendimiento de la persona en
un trabajo anterior y preguntarle sobre las mediciones especificas de
rendimiento que fueron utilizadas.
Haciendo la oferta.
Esta
parte del proceso de contratación es muy parecida al cierre de una
venta. Cuando un gerente de contrataciones planea ofrecer el trabajo a
un candidato, él o ella debe considerar las siguientes preguntas: ¿Qué
motiva al candidato, y qué es lo que impulsa la decisión del candidato?
Esta información ayudará al gerente a adecuar su oferta, lo cual
mejorará la probabilidad de que el candidato la acepte. Por
supuesto, el gerente debe tener alguna idea de lo que motiva al
candidato, aun antes de preguntarle. Los indicios sobre los intereses
del candidato habrán sido dados en el lenguaje de la carta de
presentación y en el objetivo colocado en el resumen, así como en las
respuestas del candidato a las preguntas sobre la comunicación con los
supervisores, la autonomía, la parte favorita y la menos favorita de su
trabajo actual, y la capacidad de trabajar con una variedad de personas.
Los
que planeen hacer una oferta al finalizar la entrevista deben estar
seguros de preguntar qué piensa el candidato sobre la oportunidad de
trabajo, para medir sus actitudes al respecto y su entusiasmo por el
puesto. Si la reacción es favorable, deben pedirle al candidato
detalles específicos sobre qué es lo que él o ella encuentra atractivo
en el trabajo.
Los candidatos a USIS han mencionado que los
aspectos que impulsan a tomar su decisión incluyen la oportunidad de
contribuir a la seguridad nacional, la cantidad de trabajo de campo
involucrado, la seguridad financiera, y oportunidades de tener un
empleo de largo plazo y de viajar. USIS invierte tiempo en la oferta de
trabajo porque la investigación de antecedentes puede durar de 6 a 16
semanas, que es demasiado para muchos de los que buscan trabajo. (Los
contratados no pueden comenzar el proceso de entrenamiento mientras no
se haya completado la investigación de antecedentes.) Al orientar la
oferta de trabajo hacia los impulsadores de decisión de cada candidato,
la compañía ha podido retener el 90 por ciento de los candidatos hasta
terminar el proceso de habilitación, aunque la mitad se hallan
inservibles en base a los resultados de la investigación de
antecedentes.
Manejando al personal no seleccionado.
Un
aspecto que frecuentemente se pasa por alto en el proceso de
contratación es cómo tratar a los candidatos que no son elegidos para
el cargo. USIS le presta atención a este segmento del proceso por
diversas razones. Primero, los candidatos que no son escogidos hoy
pueden ser candidatos viables más adelante a medida que cambien las
necesidades de la organización o las calificaciones del candidato.
Segundo,
los postulantes no seleccionados pueden algún día convertirse en
clientes, o pueden conocer a alguien que encaje mejor en el puesto.
Para mantener estas relaciones es importante mantener una imagen
corporativa positiva en las mentes de los candidatos no seleccionados.
Con
esta finalidad, USIS envía una carta a los días de entrevistar a los
candidatos que no satisfacen las necesidades de la empresa, diciéndoles
que pueden volver a presentar sus solicitudes para reconsideración en
un plazo de seis meses. Además, la página Web de USIS permite que la
compañía se comunique vía correo electrónico con los candidatos que no
se apareaban con la posición de investigador en base a aspectos como
sueldo o lugar de trabajo. Si la compañía experimenta un cambio de
necesidades, puede así fácilmente determinar si estos candidatos
continúan interesados.
En el trabajo.
La contratación
efectiva es sólo el primer paso hacia una fuerza de trabajo efectiva.
Los nuevos investigadores comienzan a trabajar con tres semanas de
entrenamiento en aula y un período de prueba de un año, durante el cual
los nuevos contratados pueden ser despedidos sin los pasos
disciplinarios progresivos normales, aunque generalmente el empleado
recibe una asesoría personal antes de ser separado, a menos que el
problema sea particularmente notorio. Durante el entrenamiento en aula
y a través de todo el primer año, el nuevo contratado está bajo un
escrutinio estrecho que les permite a los gerentes confirmar que la
decisión de contratarlo fue buena.
El entrenamiento en aula,
realizado en la oficina corporativa principal de USIS, es intenso. A
través del curso, los entrenadores brindan una constante
retroalimentación y verifican las tareas dadas a los nuevos
investigadores para evaluar su progreso y para ayudar a los gerentes a
descubrir individuos que requieren entrenamiento adicional.
Otro
elemento del programa de entrenamiento es un examen final escrito sobre
los aspectos técnicos del trabajo. Las notas del examen se toman en
cuenta junto con el rendimiento de los nuevos investigadores durante
los ejercicios de desempeño de funciones y sus destrezas demostradas en
computación, para determinar si aprueban o desaprueban el curso. La
mayoría de los candidatos tienen éxito a través del régimen de
entrenamiento.
El entrenamiento en aula incorpora una sesión de
orientación la cual, además de dejar a los nuevos contratados listos
para sus responsabilidades, también los convence más aún sobre el
trabajo e inicia a los recién ingresados con la actitud correcta. Todos
los funcionarios de alto nivel, incluyendo el presidente ejecutivo, son
expositores en el programa, tomándose el tiempo para conversar sobre
los logros, cultura y estrategias actuales de la compañía.
El
viejo adagio “Usted cosecha lo que siembra” se aplica al proceso de
contratación exactamente como a la agricultura. Es probable que las
compañías que brindan sólo una atención superficial a una descripción
del trabajo, envían rápidamente un aviso al diario local sin mayor
premeditación, y entrevistan a postulantes a paso de maratón es
probable que no consigan empleados de calidad. Pero aquellas que cuidan
adecuadamente los campos de contratación, cosecharán una fuerza laboral
impresionante.
Susan Markwood es gerente de personal y Barry J.
Kingman es vicepresidente de recursos humanos en US Investigation
Services, Inc.
La Contratación Efectiva: Lo Que Marca la Diferencia
Comenzar
con la descripción del trabajo. Ella debe identificar las competencias
que constituyen las calificaciones para el trabajo. Prepare preguntas
que identifiquen la experiencia previa que esté relacionada a cada
calificación.
Evaluar a candidatos internos y foráneos. Los que
provienen de la misma organización son conocidos y más leales, pero el
candidato más competitivo puede estar fuera de ella.
Generar
un flujo de solicitantes. Para encontrar al mejor, amplíe su red. Los
avisos en los diarios rápidamente producen gran cantidad de ellos.
Hacer
una preselección a través de los resúmenes y entrevistas telefónicas.
Hacer una preselección puede ahorrar el tiempo de las entrevistas, pero
no sea demasiado restrictivo. Una agresiva selección anticipada puede
eliminar a su mejor candidato.
Considerar la administración de
pruebas. Las pruebas pueden confirmar las habilidades relacionadas con
el trabajo, como son la mecanografía y la redacción de informes.
Verifique con su departamento de recursos humanos.
Seleccionar a los entrevistadores.
Los entrevistadores deben ser los que tienen un alto rendimiento; tendemos a contratar según nuestra propia imagen.
Conducir entrevistas conductuales.
Las
entrevistas están basadas en la premisa de que el rendimiento pasado es
la mejor forma de predecir el futuro rendimiento. Haga preguntas sobre
la conducta y resultados previos para identificar los patrones de
efectividad previos.
Mantenerse dentro de la ley.
Verifique
con su departamento de recursos humanos las preguntas que puede y no
puede hacer. Averígüelo bien o es probable que tendrá que vérselas con
la Comisión de Oportunidades Iguales del Empleo.
Efectuar una vigorosa verificación de referencias.
Las
afirmaciones falsas y exageradas son un problema creciente. Verifique
la veracidad del resumen personal. Entreviste detalladamente a las
fuentes de referencia para confirmar los cómo y qué de los logros de un
candidato.
Hacer ofertas de trabajo efectivas.
Conozca lo que importa al candidato y demuestre cómo el trabajo satisface las necesidades del candidato.
Iniciar correctamente al nuevo empleado.
El
riesgo de movimiento de personal es más alto durante los primeros días
y meses en el trabajo. Vuelva a “vender” el trabajo al empleado y
bríndele orientación y entrenamiento profesional.
Retirar al inicio a los contratados por equivocación.
Utilice
un período de prueba durante el cual no se requiere la disciplina
progresiva, y continúe el proceso de selección durante el período de
prueba.
Buscando la adaptacion correcta para la seguridad Por Robert T. Addlesberger
En
años pasados los departamentos de seguridad se encontraron a sí mismos
en el nivel más bajo de la estructura corporativa. El presupuesto de
seguridad era el más reducido de la compañía, el departamento tenía el
efectivo más bajo y sus suministros y equipos eran los últimos en ser
reemplazados o mejorados. Cuando los departamentos hacían sus
exposiciones, seguridad exponía al final. .
La baja prioridad
dada a seguridad se debía principalmente a su papel dentro de la
compañía: en gran parte, las obligaciones de seguridad se limitaban a
resguardar perímetros y a proteger bienes y servicios contra el ataque
físico y el robo interno.
El papel tradicional de seguridad
como un patrullaje uniformado y evidente era todo lo que mayormente
necesitaba o esperaba de la organización. Como resultado, era frecuente
que en el cuadro de organización el departamento de seguridad se
encontrase debajo de instalaciones, mantenimiento e ingeniería, u otras
divisiones de trabajos indirectos.
En muchas organizaciones,
esta disposición no era problemática. La respuesta estaba en proporción
con la amenaza. En esa época, cuando las organizaciones se concentraban
en protegerse a sí mismas y a sus activos contra los ataques físicos y
el robo interno simple, la misión de un típico departamento de
seguridad era ordenada y directa y encajaba muy bien en este modelo.
Pero
el mundo ha cambiado. Ahora las compañías están protegiendo crecientes
cantidades de información propia, cargando con la responsabilidad y las
preocupaciones por la seguridad de empleados y clientes, y enfrentando
el espectro de los ataques de piratas informáticos. El papel que tiene
un departamento de seguridad dentro de cualquier organización varía, al
igual que su ubicación dentro de la estructura corporativa
organizacional.
Este artículo examinará los pro y contra de
diversas organizaciones comunes, observando cómo encajan los
departamentos de seguridad dentro del contexto de la industria de
confección de tarjetas.
Amenazas para la fabricación.
Para
los propósitos de este análisis es útil tener una comprensión básica de
las amenazas que se asocian con la industria de la fabricación de
tarjetas. De un modo típico, el fabricante de tarjetas produce tres
tipos básicos de tarjetas: la tarjeta de banda magnética, la tarjeta
inteligente, y la tarjeta no financiera o sin seguridad.
Primero
está la tarjeta convencional de banda magnética, la cual por muchos
años ha sido el pilar para los bancos y cooperativas de crédito que
emiten las tarjetas. Paulatinamente siendo reemplazada por la tarjeta
inteligente, la tarjeta de banda magnética posee limitaciones, tales
como una encriptación débil en la banda magnética y la capacidad de ser
falsificada o convertida fácilmente, con el propósito de cometer
fraude. Si fuesen robadas las existencias de tarjetas de una fábrica,
sería fácil grabar las tarjetas con el nombre y número de cuenta de un
titular y codificar la información del titular de la cuenta en la banda
magnética. Como resultado de esto, los gerentes de seguridad deben
aplicar y mantener procedimientos estrictos para asegurar la
contabilidad de las tarjetas y de los componentes de las tarjetas.
El
segundo tipo de tarjeta es la tarjeta inteligente, la cual está
atrayendo rápidamente la atención de industrias como las de
comunicaciones, juegos, televisión por cable, y banca. Emplea el mismo
cuerpo de la tarjeta de banda magnética pero tiene una pequeña cavidad
fresada en la superficie de la tarjeta en donde se fija un módulo
inteligente o chip. Su funcionalidad sólo está limitada por sus
capacidades de procesamiento y por la capacidad de memoria del chip de
silicio en el módulo.
Un gerente de seguridad en una empresa
fabricante de tarjetas inteligentes enfrenta retos especiales como
consecuencia de esta tecnología: la adición de un componente de alto
valor (el chip/módulo); la incrementada capacidad para almacenar
información sensible en la tarjeta, como por ejemplo información
relacionada a cuentas bancarias o de tarjeta de crédito, valor en
efectivo, registros médicos e información de la licencia del conductor;
y las amenazas comunes relacionadas a tarjetas de crédito.
Los
fabricantes de tarjetas pueden además producir otros tipos de tarjetas,
como tarjetas específicas para tiendas minoristas, tarjetas de
identificación para universidades y tarjetas de seguro médico, pero
estas tarjetas carentes de seguridad presentan menor riesgo de fraude
porque las conversiones fraudulentas de estas tarjetas son mucho menos
lucrativas que las obtenidas con tarjetas de crédito tradicionales. Las
tipos de tarjetas sin seguridad, aunque son también una preocupación
para el profesional de seguridad, no se enfocan en este artículo.
Tradicionalmente,
el gerente de seguridad debe proteger a la organización de los ataques
contra la información privada, investigaciones que estén pendientes,
secretos comerciales y otras consideraciones. El profesional de
seguridad en este entorno también debe proteger los nombres y números
de cuenta del usuario final o titular así como las claves
criptográficas que serán utilizadas para poner seguro, transportar y
quitar el seguro a los algoritmos que activan al chip de una tarjeta
inteligente. Al departamento de seguridad se le debe dar el nivel
apropiado de autoridad y los recursos adecuados para que pueda cumplir
estos objetivos.
Modelo orientado a las instalaciones.
Con
esta comprensión básica del ambiente de fabricación de las tarjetas,
revisaremos los modelos anteriores y tradicionales de seguridad, así
como los modelos más actuales dentro del contexto de su eficacia en la
protección del producto e información del cliente.
En el
modelo anteriormente mencionado, la misión de seguridad enfocaba
primordialmente las amenazas físicas, internas y externas. Para
mantener a los delincuentes fuera y a los productos y propiedades de la
empresa adentro, el gerente de seguridad usaba barreras físicas y
dispositivos de detección para hacer más resistente el blanco. Lo
principal de la operación de seguridad era la administración del cuerpo
de vigilancia, la operación y mantenimiento de los sistemas detectores
de intrusos y las técnicas de vigilancia.
Con los objetivos de
este modelo mayormente en el campo de la seguridad física, la
organización se daba por bien servida ubicando la función de seguridad
bajo la gerencia de instalaciones o funciones similares de apoyo.
Realmente el modelo orientado a instalaciones aún cumple un propósito
muy útil en muchas organizaciones. Sin embargo, una desventaja del
modelo orientado a instalaciones es la falta de interacción entre el
cuerpo de seguridad, que se encuentra normalmente en los puestos de
seguridad perimetral, y las operaciones dentro de la planta o
instalación.
Modelo orientado a producción.
Un segundo
modelo que se encuentra en muchas empresas fabricantes aborda
directamente este asunto. En el modelo orientado a la producción, la
función de seguridad reporta al gerente de producción, quien tiene la
responsabilidad de todos los departamentos funcionales dentro de la
planta. En otro modelo orientado a la producción, el encargado de
seguridad reporta al gerente de operaciones, y este gerente a su vez
reporta al gerente de producción. O seguridad puede reportar
directamente al gerente de la fábrica.
Todas estos escenarios
se usan ampliamente y pueden ser efectivos dentro de ciertos
parámetros. Sin embargo, puede haber dificultades con este orden
jerárquico. Si el gerente de seguridad reporta a un gerente de
producción, por ejemplo, es frecuente que la seguridad se vuelva
subordinada a las necesidades de producción.
Dentro de la
organización donde trabaja el autor, Gemplus, Inc., se pueden encontrar
tanto los modelos orientados a las instalaciones como los modelos
vinculados a la producción, en diferentes instalaciones de fabricación
alrededor del mundo.
Los modelos se han desarrollado conforme
la empresa ha comprado otras fábricas de tarjetas y los gerentes de
seguridad han tenido que tratar con modelos ya instalados.
Por
ejemplo, en una instalación de producción con un numeroso cuerpo de
vigilancia contratada, el personal de seguridad tiene muy poca
participación en las operaciones internas de la instalación. Al cuerpo
de seguridad se le han encargado las responsabilidades de la seguridad
del perímetro y del control de acceso en puntos claves dentro de la
instalación, mientras que se mantiene una estricta contabilidad del
producto mediante procedimientos bien definidos que están bajo la
responsabilidad del personal de producción. Existe una evidente
delimitación de deberes entre el personal de seguridad y el personal de
operaciones en relación con la contabilidad del producto.
En
otro local que opera bajo el modelo orientado a la producción, las
responsabilidades de un cuerpo de seguridad más pequeño son sumamente
diferentes. Aquí, el oficial de seguridad de turno es responsable de un
número mayor de tareas, muchas de las cuales implican mantener el
control sobre y mantener seguros ciertos materiales y componentes
utilizados en el proceso de fabricación. La interacción entre el
personal de seguridad y los empleados de producción en esta instalación
se nota claramente. Por ejemplo, durante varias etapas de la producción
los trabajadores de fabricación están obligados a obtener la aprobación
de seguridad antes de continuar con la siguiente etapa de producción.
En otras situaciones, los empleados de producción deben ir ante
personal de seguridad para obtener componentes de las tarjetas seguras
que se necesitan para completar una etapa de fabricación.
Si
como se señaló anteriormente, seguridad reporta a producción a través
del gerente de operaciones, eso puede crear problemas. Incluso con un
gerente de operaciones con las mejores intenciones que tiene en la
mente las necesidades del departamento de seguridad, es probable que
relegue la función de seguridad a un categoría secundaria cuando deba
cumplir con las demandas de envíos puntuales, tasas de material
desechado e ingresos de fin de trimestre.
Operaciones con frecuencia puede aceptar unas metas de producción que entran en conflicto con la función de seguridad.
El
gerente de seguridad en esta situación debe reunir todos los hechos y
apoyo que estén disponibles para intentar persuadir a la alta gerencia
a fin de que reorganice esta función de reporte. El gerente necesita
mostrar un patrón de dificultades resueltas a favor de la producción a
costa de la seguridad, utilizando evidencia de incidentes en los que
las decisiones sobre problemas relacionados con la seguridad, cuando
eran llevados al gerente de producción, siempre iban en la dirección de
producción.
Aunque otros modelos pueden abordar esta
situación, quizás la solución más efectiva sea reordenar la
organización para permitir que el órgano de seguridad reporte
directamente al gerente de la planta. Pero si estas situaciones no
pueden ser resueltas a través de una reorganización, seguridad necesita
de “válvulas de seguridad” que estén instaladas para asegurar que el
departamento tenga a dónde acudir, si las decisiones que estén siendo
tomadas son perjudiciales para el bienestar esencial de la compañía.
En
Gemplus, esta válvula de seguridad es una relación indirecta de reporte
entre la seguridad de la planta y el gerente de seguridad corporativa,
la cual le proporciona al gerente de seguridad un mecanismo de apoyo
cuando los conflictos serios entre las necesidades de producción y las
necesidades de seguridad no pueden ser resueltos a través de una
abierta discusión sobre los problemas. Por ejemplo, cuando el autor
envía su informe semanal a su supervisor inmediato, el gerente de
seguridad corporativa también recibe una copia. Si el autor está
preocupado respecto a alguna decisión en particular, el informe está
escrito de tal manera que su preocupación es evidente.
En
algunos casos, seguridad de planta puede pedirle al gerente de
seguridad corporativa que revise la decisión para asegurar que la
oficina corporativa se sienta cómoda con ella. Entonces, el encargado
de seguridad corporativa tiene la autoridad para regresar donde el
gerente de producción y decir: “Esto necesita ser modificado, y usted
debe tener más interés por las necesidades de seguridad.”
Existen
diversos otros componentes que son necesarios para asegurar el éxito de
la seguridad bajo los diversos modelos relacionados a la producción. En
primer lugar, es de suma importancia que se mantenga informada a la
seguridad corporativa de las operaciones de día a día realizadas a
nivel de la planta. El gerente de seguridad de la planta debe enviar
informes periódicos al gerente de planta, con copias a los funcionarios
de seguridad corporativa, para ayudarlos a mantenerse al corriente del
progreso dentro de la fábrica así como de los conflictos en desarrollo.
Este es otro elemento del concepto de válvula de seguridad: Si el
gerente de planta no da respuesta alguna a los problemas de seguridad,
seguridad corporativa está en la cadena y puede tomar acciones
correctivas.
En segundo lugar, las metas de seguridad deben
estar bien definidas y bien comunicadas al nivel de planta. En tercer
lugar, la descripción de trabajo del gerente de planta debe incluir la
responsabilidad por la seguridad. Cuarto, la seguridad corporativa debe
estar apoyada por otros interesados a nivel corporativo, y la
organización debe disponer de mecanismos de ejecución para el caso de
gerentes reacios en los niveles inferiores de la organización.
Quinto,
los gerentes de seguridad siempre deben buscar maneras creativas para
asegurarse de que la función de seguridad siga siendo una voz eficiente
dentro de la organización. Por ejemplo, el autor utiliza un informe
semanal normal para alertar a los gerentes de seguridad corporativa
respecto a sus preocupaciones.
Otra herramienta que utiliza
Gemplus es una semana de reuniones anuales que congrega a sus gerentes
locales de seguridad en todo el mundo. Las reuniones brindan a los
gerentes la oportunidad de expresar a otros en el grupo de seguridad
los problemas que enfrentan y también pueden ayudar al gerente de
seguridad corporativa a decidir si necesita participar más en los
asuntos de seguridad en el nivel local. ISO 9002. En 1997, Gemplus
eligió buscar la certificación bajo el ISO 9002, que es un modelo
internacional para examinar la capacidad que tiene una empresa para
mantener procedimientos adecuados de auditoría y documentación,
diseñados para asegurar la elaboración de productos de alta calidad en
una forma sistemática. Este proceso no certifica el producto de la
empresa sino el sistema documentado de la empresa.
Una empresa debe cumplir con 18 elementos o estándares para lograr la certificación.
La
organización del autor eligió incluir la función de seguridad en el
sistema de calidad documentada, considerando la seguridad y la
responsabilidad como aspectos de la calidad.
Para lograr y
conservar la certificación ISO, la organización debe poner en práctica
un proceso de autoverificación y debe someterse a verificaciones
periódicas de observación realizadas por el ente certificador (un
registrador ajeno). A través de estas dos funciones de verificación, la
organización se compromete a una supervisión interna y externa del
sistema documentado, asegurando la conformidad con los requerimientos
de seguridad.
¿Pero de qué manera afecta esto el problema de
la parte de la organización a la cual tiene que reportar la función de
seguridad? La certificación puede agregar otra válvula de seguridad que
garantice que las necesidades de seguridad sean atendidas, asegurándose
de que se haya establecido políticas y procedimientos claramente
definidos como parte de un sistema de calidad documentado y
certificado. Bajo tal arreglo, el gerente de planta encontraría muy
difícil violarlos, si no quiere poner en riesgo la certificación.
Sin
embargo, la organización debe cuidarse de no comprometerse a
expectativas irreales de seguridad; si lo hiciera así, podría ocasionar
que el sistema fallase. Como gerente de proyecto para lograr la
certificación ISO 9002, el autor experimentó varias situaciones en las
que fueron establecidos procedimientos altamente detallados,
principalmente relativos a las necesidades de producción. Estos
estándares de procedimiento demostraron ser inalcanzables dados los
recursos disponibles de la organización. La expectativa era que una vez
entrenado el operador hasta un cierto nivel de detalle, él o ella
siempre seguiría todos los pasos uno por uno.
Pero los pasos no eran a la vez ni prácticos ni necesarios.
Estas
fallas se revelaron rápidamente durante las verificaciones de
vigilancia realizadas por el registrador y las verificaciones internas
realizadas por los auditores entrenados de la compañía. (La
certificación dura tres años, pero en el caso de Gemplus, los auditores
vienen cada seis meses a probar el sistema para asegurarse de que la
compañía aun está siguiendo el sistema documentado.) Como resultado,
fue necesario reevaluar y volver a escribir algunos procedimientos para
que fueran más realistas y factibles. (Se debe resaltar que la norma
ISO 9000 fue corregida en el 2000 y exige una mayor concentración para
cumplir con las necesidades y expectativas del cliente en la forma de
un producto de calidad y confía mucho menos en una verificación que
solamente asegure el cumplimiento de los procedimientos e instrucciones
que están documentados.)
Recursos humanos/Asuntos Jurídicos.
Aunque
el autor no ha trabajado en una situación en la que la seguridad es
parte de los departamentos de recursos humanos o asuntos jurídicos,
estos modelos han probado ser factibles en muchas organizaciones. Sin
embargo, tienen desventajas.
Una desventaja es que los
departamentos de recursos humanos y de asuntos legales tienen poco
contacto diario con el cliente y con frecuencia no están en armonía con
las expectativas que tiene el cliente por la seguridad. Por ejemplo, en
la industria de fabricación de tarjetas, la institución financiera
emisora sufrirá una pérdida financiera (en la forma de fraude con
tarjetas de crédito) si la existencia de tarjetas es robada. Por tanto,
los bancos y cooperativas de crédito que emiten las tarjetas, exigen
una estricta seguridad y control contable durante el lapso en el que
las tarjetas están siendo confeccionadas y están en poder de la fábrica
de tarjetas.
Otra desventaja es que normalmente el personal
gerencial de recursos humanos y de asuntos legales tiene poca
experiencia o conocimientos especializados en operaciones de seguridad.
En consecuencia, estos gerentes están mal equipados para dirigir
asuntos de seguridad.
Sin embargo, existen beneficios en esta
estructura. Quizás el atractivo más grande en este modelo es la
relativa falta de presiones relacionadas a la producción aplicadas a la
función de seguridad, ya que cada uno de estos modelos proporciona un
elemento de aislamiento entre los objetivos de producción y los deberes
de seguridad. Pero este aislamiento puede resultar en una falta no
intencional de conciencia o preocupación por los problemas de
seguridad, por parte de los departamentos de recursos humanos y asuntos
jurídicos, la cual puede estar agravada por la ya mencionada falta de
conocimientos de seguridad.
Se puede superar el problema si el
gerente de seguridad en el modelo de recursos humanos o de asuntos
legales mantiene líneas eficaces de comunicación entre el personal de
seguridad y el departamento legal o de recursos humanos.
Adicionalmente,
el gerente de seguridad debe conversar con el gerente de recursos
humanos o de asuntos jurídicos para asegurarse que él o ella tiene los
conocimientos y habilidades necesarias para supervisar los asuntos de
seguridad.
Una vez que esta base ha sido establecida en forma
efectiva, el gerente de seguridad debe estar preparado para ajustar el
nivel y el grado de detalle de la información que será enviada al
gerente legal o de recursos humanos. Por ejemplo, el gerente de
recursos humanos o asuntos legales que conoce de seguridad puede
necesitar sólo ser informado sobre una situación o amenaza para tomar
una decisión de seguridad efectiva, mientras que el gerente de recursos
humanos o del departamento jurídico que es un neófito en seguridad
necesitará que el gerente de seguridad analice el problema con todo
detalle, incluyendo cuáles son los riesgos y beneficios.
Seguridad/Tecnología de la Información.
Las
nuevas líneas de productos siempre están surgiendo y las líneas ya
existentes están siendo ampliadas, lo cual ofrece constantes retos al
profesional de seguridad. Por ejemplo, cuando el autor entró en este
campo, el producto final para el cliente era típicamente la tarjeta en
sí. Como el mundo se ha expandido y las necesidades del cliente se han
adaptado de acuerdo a ello, la industria de tarjetas ha progresado
desde simplemente fabricar tarjetas hasta proporcionar soluciones de
llave en mano con base en las tarjetas.
Hoy, las transacciones
en Internet pueden ser protegidas utilizando una tarjeta inteligente
que se inserta en una lectora de tarjetas, accionada por un programa
desarrollado por el fabricante de tarjetas, la cual se conecta a una
computadora personal. La solución completa para brindar seguridad a la
información para el comercio electrónico se basa en una tarjeta
inteligente pero tiene varios otros componentes. Además, es probable
que el fabricante brinde apoyo técnico al usuario final después de la
venta, a través de funciones tales como una oficina de ayuda al
cliente.
El autor cree que en el futuro un modelo en el que la
seguridad esté involucrada en los esfuerzos de tecnología de la
información, será clave para unas operaciones de seguridad eficaces. La
pregunta ahora es si seguridad debe reportar a TI, si TI debe reportar
a seguridad o si ambos deben reportar por igual, de acuerdo a otro
modelo.
Gemplus trató el problema buscando a un gerente de
seguridad corporativa con la experiencia técnica necesaria para
comprender al mundo de TI. El gerente de seguridad corporativa,
responsable de la función de seguridad en toda la organización y sus
instalaciones, es capaz de controlar la interacción entre las funciones
de seguridad y de TI para asegurar que las necesidades de ambas se
cumplan. Y en el nivel local, los gerentes de seguridad deben mantener
un nivel adecuado de comunicación y cooperación entre las dos entidades
y utilizar los recursos del gerente de seguridad corporativa cuando sea
necesario.
Como lo ilustra este análisis, hay diversos modelos
en los que la función de seguridad puede informar y operar
efectivamente y ningún modelo por sí solo es el que mejor se acomoda a
todos los escenarios de seguridad. Es obligación del profesional de
seguridad trabajar con la alta gerencia para determinar qué modelo o
combinación de modelos es el mejor para la protección de la
organización y de sus clientes. Pero cualquiera que sea la estructura
de la organización, una buena comunicación entre las unidades,
conciencia de los problemas de producción y un alto nivel de
independencia son claves para un sólido programa de seguridad.
Robert
T. Addlesberger es el director de seguridad para las operaciones de
Gemplus Corporation en América del Norte. Es miembro de ASIS.
El
joven americano africano vagaba por los pasillos de la farmacia, una
bolsa plástica vacía dentro de su canasta. Uno de los dependientes
blancos de la tienda lo observaba, sospechando que el joven pudiese ser
un ladrón de tiendas. El dependiente -- quien medía más de 1.80 m. y
pesaba 90 kg. -- empezó a seguir al cliente por toda la tienda.
Mientras caminaba hacia la salida de la tienda, el empleado se le
acercó y cogió la canasta. Dentro de la bolsa plástica estaba un tubo
dentífrico junto con otros objetos de poco valor.
El dependiente
acusó al hombre de estar robando y le ordenó ir a la oficina de la
tienda. Entrando en pánico, el hombre escapó, saltando por encima de un
torniquete en un esfuerzo por fugar de la tienda. El empleado lo
siguió, sujetó al sospechoso de robo con un abrazo de oso, y pidió
ayuda a sus colegas. Tres dependientes corrieron a ayudarle e
inmovilizaron al hombre contra el suelo, sentándose sobre su pecho,
estómago y piernas. Aunque él suplicaba a los empleados que lo dejasen
levantarse para poder respirar, y a pesar de la creciente belicosidad
de la multitud que se había reunido para observar, los dependientes
rehusaron retirarse. La policía demoró casi veinte minutos en llegar.
Cuando lo hizo, encontraron muerto al sospechoso de robo, cubierto de
magulladuras y contusiones.
El valor de los artículos que el
hombre había tomado era menos de $19. Los gastos legales y costos
judiciales por el caso civil de cuatro años que se arregló
extrajudicialmente el año pasado se calcularon en millones de dólares,
además de un importante pago para la familia del fallecido y el
incalculable daño hecho a la reputación de la tienda.
El
incidente nunca debió haber sucedido. Durante el curso del
descubrimiento de información para el juicio, miles de documentos
revelaron la imagen de una compañía que disponía de buenas políticas
escritas para tratar los incidentes de robo de tiendas. Pero la
gerencia falló en hacer cumplir adecuadamente esas políticas.
El
único entrenamiento que recibieron los dependientes, quienes eran
también responsables por la prevención de pérdidas, fue una sola cinta
de video que describía las políticas de la tienda. No se llevaban
registros de entrenamiento para mostrar cuándo recibían entrenamiento
los empleados o en qué consistía dicha capacitación, y no se utilizaba
ningún instrumento de comprobación para medir la comprensión del
entrenamiento por parte de los empleados.
El juicio también dejó
en claro que los administradores no estaban controlando los incidentes
o al personal de seguridad; si lo hubieran hecho habrían descubierto
que el agresivo dependiente que derribó inicialmente al sospechoso
había sido reprendido en varias ocasiones por violencia y por señalar
en forma desproporcionada y sin razón a clientes americanos africanos
como ladrones de tiendas (aunque permitía que la mayoría de ladrones
blancos simplemente pagasen por los artículos robados y se fuesen).
Para empeorar las cosas, el dependiente había sido transferido después
de que tuviese un altercado con un compañero de trabajo americano
africano, pero la transferencia lo llevó a una tienda en un vecindario
predominantemente americano africano. Ningún gerente se dió cuenta que
el cambio era una receta para problemas.
LAS BUENAS POLITICAS NO
SON SUFICIENTES para asegurar que el personal reaccione apropiadamente
ante un incidente. Es esencial que haya un continuo entrenamiento del
personal minorista para tener la seguridad de que entienden, y actuan
de acuerdo con, las políticas de la tienda para tratar con sospechosos
de robo. Más aún, los gerentes de tiendas, los profesionales de
prevención de pérdidas, y el personal de recursos humanos necesitan
estar vigilando los incidentes que se presentan de tal manera que
puedan dar una reorientación profesional o aplicar una sanción a los
empleados que no actuen conforme a las políticas de la tienda.
También
debe hacerse notar que en este caso la tienda tenía un departamento de
prevención de pérdidas pero la compañía no colocaba personal de
prevención de pérdidas en todas sus tiendas. Por consiguiente, los
dependientes comunes, que ganan un salario mínimo, eran a quienes
frecuentemente les encargaban las tareas relacionadas con seguridad,
una práctica común (aunque desaconsejable) en el comercio minorista.
Como lo ilustra este caso, cualquier tienda se expone a una
responsabilidad legal si no entrena y controla debidamente a sus
empleados.
Entrenamiento.
El entrenamiento apropiado del
personal proporciona muchos beneficios. Mejora el desempeño y la moral,
reduce la rotación de personal, y reduce la exposición de una compañía
a la responsabilidad legal que puede originarse por un desempeño
deficiente. Al preparar un programa de entrenamiento la compañía
tiene que abordar tres componentes: quiénes asistirán, cuál será el
contenido, y qué modalidad se utilizará.
Para cualquier programa
de entrenamiento, el centro de interés será aquellos empleados
encargados de cumplir las responsabilidades cubiertas. Pero con
respecto al entrenamiento en prevención de pérdidas, no son únicamente
los empleados de seguridad y prevención de pérdidas quienes deben
asistir a las sesiones de entrenamiento. Los dependientes de las
tiendas minoristas, incluso aquellos que no están encargados de la
prevención de pérdidas, deben asistir también.
Este
entrenamiento se debe ofrecer también a los gerentes de recursos
humanos, para ayudarles a entender mejor el rol de la seguridad. (Luego
más sobre la relación entre RRHH y seguridad.)
Contenido.
Para
determinar el contenido, la persona que establece el plan de estudio
debe considerar las políticas y procedimientos que necesitan ser
transmitidos a los empleados. Desde luego, la formulación de buenas
políticas y procedimientos debe preceder el establecimiento del
programa de entrenamiento. Con relación al robo de tiendas, por
ejemplo, una política efectiva se concentra en la prevención y en una
respuesta mesurada y razonada a los incidentes. Los aspectos
específicos sobre cómo llevar a cabo la prevención y una respuesta
mesurada a cualquier incidente que llegue a ocurrir, es lo que se debe
transmitir en las sesiones de entrenamiento.
Por ejemplo, para
prevenir los incidentes se debe entrenar a los empleados para que noten
e intervengan cuando vean ciertas conductas reveladoras, y no cuando
observen ciertos tipos de personas. Además, el instructor debe explicar
por qué no es una buena medida preventiva establecer perfiles de las
personas.
Este paso es importante porque los empleados pueden
tener conceptos errados sobre lo que en realidad sucede en el robo a
las tiendas, lo cual les podría llevar a formarse juicios incorrectos
sobre cuán efectivas podrían ser ciertas respuestas, como establecer
perfiles. Una vez que se han desvanecido estos mitos y estereotipos, es
más probable que los empleados sigan los procedimientos porque
comprenderán la lógica tras ellos.
Por ejemplo, el autor ha
encontrado que cuando se les pide a los alumnos que nombren al grupo
que es más probable que cometa los robos a tiendas, ellos tienden a
señalar a los varones americanos africanos. De hecho, la mayoría de los
que se hallan culpables de robar en tiendas son mujeres, y muchos de
los ladrones que son capturados son gente de edad. Cuando se les da
este tipo de información, los empleados pueden ver por sí mismos que
establecer perfiles no sólo es ilegal -- es ineficaz.
También se
debe enseñar al personal a reaccionar en forma medida ante una conducta
sospechosa. Se les podría instruir, por ejemplo, para que mantengan al
individuo bajo vigilancia continua, observando en dónde se ha escondido
la mercadería, y esperando hasta que la persona haya pasado el último
punto posible de venta, antes de tomar alguna acción. Luego, los
encargados de seguridad deben acercarse en forma calmada y cortés-–
pero no tocar -- al individuo, para preguntarle educadamente sobre la
mercadería.
Unos modales amistosos ayudan a disminuir la
intensidad de situaciones potencialmente violentas. Por ejemplo, por lo
menos en una ocasión, el autor observó una comprador actuando
sospechosamente y reaccionó acercándose a la persona de una manera
amistosa, presentándose como integrante del departamento de prevención
de pérdidas y preguntándole si encontraba todo lo que quería o si
necesitaba alguna ayuda. Si bien el tono usado era amigable y no
contencioso, la compradora se dio cuenta que estaba bajo observación de
prevención de pérdidas y abandonó la tienda sin tener algún
enfrentamiento -- y sin llevarse alguna mercadería.
A los
empleados se les debe instruir para que nunca persigan si la persona se
da a la fuga. Sin embargo, el entrenamiento debe aclarar que la
prohibición de salir en persecución no significa que el robo al
establecimiento sea tomado a la ligera por la tienda. El instructor
debe hacer entender este punto explicando lo que hace la tienda para
desalentar a los ladrones reincidentes.
Por ejemplo, muchas
tiendas instituyen enfoques alternativos, como son las citaciones por
ingreso con fines delictivos, para mantener alejados de la propiedad a
los sospechosos de robo de tiendas, y usan procedimientos permitidos
bajo las leyes de recuperación civil para hacer que los rateros de
tiendas paguen por las pérdidas de propiedad y a veces por los costos
judiciales. Ambos métodos hacen que una tienda sea un blanco menos
atractivo para los ladrones, sin exponerla a la responsabilidad legal.
En
las tiendas en las que se espera que los dependientes actúen como
agentes de prevención de pérdidas, el entrenamiento también debe
introducir a los miembros del personal a los fundamentos de la
prevención del delito a través del diseño ambiental (CPTED, por sus
iniciales en inglés). La instrucción debe incluir por qué es necesario
mantener las ventanas de la tienda libres de pancartas y letreros, por
qué se usa en la ropa ciertos tipos de dispositivos de seguridad, y por
qué los artículos caros se colocan cerca de los mostradores.
También
se necesita entrenar a los dependientes para que hagan contacto con los
clientes y estén constantemente visibles; la visibilidad y el estado de
alerta de los dependientes colocarán sobre aviso a los posibles rateros
de que están siendo observados, y mejora el servicio al cliente que se
da a los compradores legítimos. (La experiencia del autor ha demostrado
que un pequeño porcentaje del robo a tiendas es ejecutado por clientes
que se cansaron de esperar a los encargados de ventas.)
El
entrenamiento también debe cubrir la importancia de documentar lo que
ha ocurrido. Se les debe enseñar a los empleados cómo completar un
informe de incidente detallado cada vez que se involucren con un
sospechoso de robar en la tienda. La política debe estipular que el
informe será revisado por el gerente apropiado, y los gerentes deben
ser entrenados para efectuar estas revisiones. >Si los informes no
son revisados, la responsabilidad legal de la tienda puede aumentar en
forma impresionante. (Más sobre esto posteriormente.)
Formato.
Una
vez determinado el contenido, la siguiente pregunta es cómo será
transmitida la información. Los detalles sobre el tamaño de la clase,
la duración del entrenamiento y los métodos utilizados dependerán del
tamaño y las necesidades de la empresa y de la experiencia de aquellos
que asistirán.
Generalmente, el tamaño de las clases fluctúa
entre 20 y 65 estudiantes. Si hay más personas que necesitan el
entrenamiento, las sesiones duplicadas se pueden continuar durante dos
o tres días (cuando el tiempo sea un factor de importancia, éstas
pueden dividirse en sesiones de medio día). Usualmente, la empresa debe
esperar que cada empleado necesitará por lo menos ocho horas de
entrenamiento para el curso de prevención de pérdidas en comercios
minoristas.
El entrenamiento puede ser en un ambiente en donde
el entrenador se encuentra dentro del salón o puede ser mediante una
videoconferencia, con el instructor que es “proyectado” desde otra
ubicación, con un facilitador/supervisor en el lugar. En cualquiera de
los casos, para que el entrenamiento sea efectivo, deberá incluir más
que conferencias. Debe incluir la interacción y el desempeño de
funciones que atraigan a los estudiantes y los ayude a comprender las
lecciones. Una manera de lograr este objetivo es que el entrenador
separe en grupos a la clase, cada uno con un líder designado.Luego un
instructor presenta una serie de estudios de casos basados en
incidentes y juicios de la vida real.
Por ejemplo, se les puede
decir a los grupos que un hombre fue encontrado robando un objeto y
después fugando por la puerta. Cada grupo decide sobre las acciones
apropiadas por tomar y el orden de estas acciones. Luego el instructor
puede utilizar un proyector de transparencias o una pizarra acrílica
para anotar y examinar con la clase los pros y los contras de cada
enfoque y para hacer preguntas de seguimiento a los miembros de los
equipos.
Algunas empresas utilizan el enfoque de “entrenar al
entrenador” en el cual exponen cierto material a un grupo más pequeño
de gerentes, con la intención de convertirlos en un conducto que lleve
la información hacia los nuevos contratados y otros integrantes del
personal. Este enfoque puede ser efectivo pero depende de la habilidad
del individuo delegado para absorber nuevo material e igualmente
transmitir la información en forma exitosa. Una de las ventajas de
hacer que los administradores se conviertan en entrenadores es que
refuerza el conjunto de conocimientos de estos y crea seguridad de sí
mismos, haciéndoles mejores administradores y mejores profesores.
Tomando pruebas.
Cualquier
tipo de entrenamiento debe concluir con un examen para medir la
cantidad de material que los asistentes han retenido. Estos exámenes no
deben ser simples; más bien, deben incluir preguntas de redacción así
como tipo verdadero/ falso, selección múltiple y llenado de espacios en
blanco. El autor recomienda una política estricta en donde aquellos que
tengan un puntaje por debajo del 80 por ciento deben repetir el
entrenamiento, o en ese momento el empleador podría querer reconsiderar
la aptitud de ese empleado para el puesto.
Se debe mantener un
registro del entrenamiento dentro del archivo personal del empleado que
refleje cuándo recibió entrenamiento el empleado, en qué consistió ese
entrenamiento y la forma de examen o confirmación utilizada para
asegurar la comprensión del empleado.
En el caso de un
incidente crítico subsiguiente, esta documentación permite a la empresa
demostrar cómo fueron entrenados los empleados para seguir los
procedimientos y políticas, lo cual podría limitar la responsabilidad
legal de la empresa por cualquier mala conducta de un empleado.
Estos
registros pueden ayudar a impedir aun la amenaza de un juicio. Cuando
el autor fue director de gestión de riesgos en una firma de seguridad
contratada que proveía servicios de seguridad para docenas de centros
comerciales, recibió una carta de un abogado reclamando que un
comprador había sido detenido y revisado indebidamente por un oficial
de prevención de pérdidas. El autor pudo armar un caso sólido
entrevistando al director de seguridad y al oficial involucrado (así
como a testigos oculares), evaluando las calificaciones de los exámenes
del oficial y su conocimiento de las políticas de la empresa, y
revisando su legajo personal (el cual podría haber indicado cualquiera
de los casos en los que sus acciones no cumplían la política de la
empresa).
Una carta dirigida al abogado explicó que la
política de la empresa era de que a los oficiales no se les permitía
físicamente detener o poner las manos sobre los clientes; podían
acercarse al cliente y pedirle que regrese a la tienda para tratar la
situación o podían llamar a la policía a nombre del comerciante.
La
carta también explicó que todo lo que había hecho el oficial estaba de
acuerdo con la política de la tienda. Además, la carta incluía
documentación detallada acerca del entrenamiento y evaluación del
empleado acusado. El abogado decidió no proceder con el reclamo del
cliente contra la tienda.
Seguimiento.
Incluso con buenas
políticas y entrenamiento establecidos, si no se controlan los
incidentes y los empleados, pueden surgir problemas. En el caso de la
farmacia que se mencionó al inicio de este artículo, se habían escrito
políticas apropiadas pero nadie hizo un seguimiento de las prácticas de
los empleados para asegurar que esas políticas estaban haciéndose
cumplir.
Aunque el empleado en cuestión tenía un historial de
altercados con clientes africanos americanos, ninguno de sus
administradores revisó su legajo, y el departamento de recursos humanos
nunca puso estos asuntos en conocimiento del departamento de prevención
de pérdidas. Otros informes de incidentes de esta misma tienda
demostraron un patrón de abusos, con otros empleados agresivos
persiguiendo sospechosos de robo dentro de la tienda así como por
calles y aceras públicas. También se documentaron numerosas lesiones a
los empleados y sospechosos. En varias ocasiones, dependientes no
entrenados usaban esposas para sujetar a sospechosos.
Ni el
gerente de la tienda en el lugar en cuestión ni el gerente zonal de
prevención de pérdidas revisó estos informes. Si lo hubieran hecho,
habrían reconocido que estas prácticas violaban la política de la
tienda y que se requerían medidas correctivas inmediatas para aumentar
la seguridad y la protección y para proteger a la tienda de la
responsabilidad.
Para vigilar y controlar eficazmente el
comportamiento de los empleados y para asegurar de que se están
siguiendo las políticas y que se están manejando apropiadamente los
incidentes, recursos humanos y seguridad deben trabajar juntos para
garantizar que ambos departamentos se enteren de cualquier infracción.
De esta forma, se puede detectar oportunamente un comportamiento
inapropiado y se puede dar los pasos adecuados para mejorar el
cumplimiento de las políticas. No hacerlo puede dejar a la tienda
susceptible de cargos por negligencia.
Por ejemplo, en un caso
en el cual el autor fue convocado como testigo experto, el farmacéutico
que trabajaba en una gran cadena de farmacias había disparado y
asesinado a un colega. Una revisión de su legajo personal mostraba un
historial de quejas por parte de colegas al igual que clientes.
Muchos
de estos incidentes fueron tan atroces que parece increíble que pudiese
haber estado empleado ocho años en la misma empresa. Por ejemplo, en
dos ocasiones tuvo que ser físicamente contenido para que no agrediera
a clientes (en un caso, porque no le gustó la forma como le miró un
cliente); tiraba las cosas y maldecía en alta voz a varios
administradores de la tienda; discutía rutinariamente con colegas de
trabajo y después pasaba seis semanas sin decir una palabra a nadie.
Una
vez el hombre recibió una llamada de atención por llevar un arma al
trabajo. Sin embargo, al no existir un sistema para revisar esta
documentación -- la que incluía amenazas específicas contra la víctima
-- el farmacéutico pudo mantener su cargo hasta el día del asesinato.
Debido a que sus acciones eran tan extravagantes y fuera de la norma,
el hecho era claramente previsible y la compañía claramente negligente.
Los daños y perjuicios contra la compañía en el juicio resultante
fueron considerables.
Otro aspecto crítico del seguimiento es la
revisión postincidente. Los administradores de tiendas o los
supervisores delegados de prevención de pérdidas necesitan revisar
diariamente los reportes relativos a los robos en la tienda y efectuar
reuniones rutinarias postincidente con los dependientes y funcionarios
involucrados para examinar los pro y contra de cómo se manejó una
situación en particular y cómo se podría mejorar las respuestas en el
futuro. Si una acción adoptada por un miembro del personal fuese
inapropiada, se le debe recordar a ese individuo la política de la
empresa y notificarle que la conducta repetida será motivo de
separación definitiva.
Verificar, entrenar y controlar a los
empleados requiere tiempo y dinero. Pero de lejos es más barato que
pagar costosos arreglos en los tribunales y, lo que es más importante,
ayuda a prevenir el daño incalculable a la reputación de la compañía
que puede resultar de la mala publicidad sobre incidentes mal
manejados.
J.R. Roberts es el fundador de Security Strategies,
una compañía con base en Savannah, Georgia, que brinda entrenamiento,
consultoría y testimonio experto a clientes a nivel nacional.
COMPENSACION DEL RENDIMIENTO: ADMINISTRAR SU EQUIPO DE AGENTES DE SEGURIDAD
April 27 2004, 3:05 PM
COMPENSACION DEL RENDIMIENTO: ADMINISTRAR SU EQUIPO DE AGENTES DE SEGURIDAD
Por: Ron R. Minion, CPP
Las
primeras impresiones son las que tienen importancia. Nadie sabe mejor
eso que los gerentes de seguridad que tienen a su cargo una fuerza de
agentes. Debido a que casi siempre los agentes de seguridad son los
primeros representantes que se encuentran en un establecimiento, deben
estar lo suficientemente motivados para dar lo mejor de sí en todo
momento. Durante mis 33 años de trabajo en el negocio de la seguridad
contratada, he visto personalmente cómo los agentes que están motivados
hacen una sólida contribución para el resultado final. Para mantenerlos
motivados, desarrollé una fórmula sencilla de evaluaciones amplias,
establecimiento de metas y recompensas. El proceso ayudó a inculcar un
aire de profesionalismo y una ética de trabajo en equipo, esos bienes
intangibles que son esenciales para proteger un local.
Evaluaciones.
Cuando los agentes se desempeñan bien, es decir, cuando previenen las
pérdidas, evitan los delitos y protegen la vida y la propiedad, no hay
mucho que informar. Es realmente fácil darse cuenta de su dedicación.
Pero los agentes nunca deben tener que adivinar si se desempeñan bien,
ni deben ignorar en qué áreas es necesario que mejoren. Un programa de
evaluación proporcionará el informe necesario.
Se requiere que
cada agente individualmente sea evaluado en forma completa y también en
equipo, cuando sea necesario. La evaluación debe basarse en las tareas
específicas y no en la “idea” del supervisor de cómo rinde un agente.
He encontrado que los siguientes criterios son los mejores indicadores
del rendimiento, y los componentes son lo suficientemente generales
para aplicarse en todas las disciplinas de seguridad:
Informes.
Debido a que los gerentes de seguridad toman decisiones claves para la
distribución de los recursos, empleando la información proporcionada en
los informes preparados por los agentes de seguridad, la precisión de
estos informes es crítica. El agente que es capaz de tomar notas en
forma efectiva durante su turno y que también es adepto al traducir
estas notas en un informe útil, es un elemento indispensable. Está
claro que medir la capacidad que tiene un agente para reunir
información y llevar un registro de ellas es esencial. Donde el
seguimiento electrónico de incidentes reemplaza el registro manual,
será también importante conocer la aptitud informática del agente y su
capacidad para mantener un buen nivel de detalle cuando formule sus
informes.
Procedimientos operativos del sitio. Todos los
locales tienen grupos de procedimientos operativos que deben ser
mantenidos, interpretados y aplicados por los agentes de seguridad. El
gerente de seguridad debe tener una manera de medir si un agente conoce
bien estas pautas, que incluyen las órdenes para el puesto y si es
capaz de interpretar y aplicar los procedimientos en diferentes
situaciones.
Conocimiento del lugar. El agente debe estar
totalmente familiarizado con la distribución física de la propiedad.
Una buena forma de determinar su conocimiento del lugar es mediante su
capacidad para explicar los planes del local, los procedimientos
operativos y las listas de verificación para el servicio, así como para
dirigir visitas al local. Por ejemplo, el agente debe saber
inmediatamente de dónde sacar el equipo de supresión de incendios,
dónde están ubicadas las salidas, dónde están las áreas de alta
seguridad y dónde están situados los paneles de alarmas. Se puede
evaluar su habilidad en estos aspectos haciendo que el agente guíe al
inspector en una visita al lugar o mediante una prueba escrita.
Educación
continua. Deben reconocerse los esfuerzos de los agentes que aprovechan
las numerosas oportunidades de entrenamiento y educación disponibles y
la habilidad con la que aplican sus nuevos conocimientos. Los programas
de entrenamiento más importantes directamente ligados al rendimiento
del agente son: primeros auxilios, RCP (respiración cardio-pulmonar),
intervención en crisis no violentas y lineamientos de la OSHA
(Administración para la Seguridad y Salud Ocupacional).
Adicionalmente, numerosas instituciones gubernamentales y privadas
ofrecen cursos y programas de seguridad, mediante los cuales los
candidatos pueden obtener nombramientos para la certificación.
Vestimenta.
Una medida que con frecuencia no es tomada en cuenta respecto a la
atención que da el guardia de seguridad a su trabajo consiste en su
vestimenta y presentación. Por lo general, son mejores agentes de
seguridad aquellos que se esmeran en presentarse en forma impecable y
profesional. La vestimenta significa la actitud y el compromiso con la
responsabilidad del trabajo, y los uniformes son parte de las
herramientas que los agentes necesitan para cumplir su trabajo
adecuadamente, ya que deben mostrar autoridad en todo momento.
Arreglo
del área de trabajo. Una oficina de seguridad desordenada es un
indicador de rendimiento desordenado. En la búsqueda integral de una
mejor imagen, los agentes de seguridad deben esforzarse en mantener sus
áreas de trabajo limpias y organizadas, de forma que puedan encontrar
rápidamente los registros. La apariencia profesional del área de
trabajo de un agente se puede juzgar por la accesibilidad y
organización lógica de la documentación y del equipo y a su
conservación rutinaria.
Actitud. Como se ha indicado, una
actitud positiva en general es un elemento indispensable en la conducta
del guardia y por tanto es una parte necesaria del proceso de la
evaluación. Esta actitud debe aplicarse a todas las facetas del trabajo
del agente, incluyendo sus deberes y responsabilidades, el lugar a ser
protegido, así como frente a su empleador y la compañía cliente (en
situaciones contractuales).
Dicho en forma simple, las malas
actitudes se igualan a la mala seguridad. Pero poseer la actitud
correcta no es sólo deber del agente. También la gerencia de seguridad
debe tener un enfoque mental apropiado. Un gerente debe darse el tiempo
adecuado para atender a las necesidades profesionales del agente. Por
ejemplo, un agente forzado a asumir apresuradamente un nuevo puesto,
como solución rápida a un problema de seguridad, pocas veces tendrá la
actitud correcta para ser más efectivo en ese trabajo.
Las
buenas actitudes son desarrolladas mediante el respeto y la confianza
mutua. Los agentes que tienen voz en el manejo de la seguridad en el
sitio de trabajo generalmente son los que poseen las mejores actitudes.
Relaciones públicas. Cada agente de seguridad también sirve
como un representante de relaciones públicas para la organización a la
que protege. Por ello, se debe juzgar a los agentes por lo bien que
promueven la buena voluntad, prestan su colaboración cuando se les
solicita, imponen discretamente su autoridad, y demuestran un adecuado
control de sí mismos. El agente a menudo debe mostrar una imagen
agradable y animosa, mientras mantiene al mismo tiempo una imagen de
control.
Confianza. El agente ideal va a trabajar lo
suficientemente temprano para tener una buena idea de los hechos
sucedidos en el turno anterior. Eventualmente se puede contar con él
para contribuir en donde sea necesario.
Permanencia. En
general un agente se desempeña mejor mientras más tiempo pasa en un
lugar específico. Los agentes que permanecen en el mismo trabajo son
también más valiosos para la empresa porque pueden ayudar a nuevos
colegas. Por lo tanto, la duración del servicio debe estar entre los
criterios que usa la gerencia para evaluar a los agentes. Claro que
este factor sólo es relevante en las evaluaciones de los agentes más
experimentados y no puede ser aplicado a los agentes de reciente
asignación.
Calificaciones. El siguiente paso es que el
gerente de seguridad documente la evaluación y asigne una calificación
a los agentes en la medida que cumplan estos requisitos de seguridad.
Yo desarrollé una guía a través de la cual califiqué a los agentes en
cada uno de los puntos anteriores, en una escala del uno a diez. Uno
significaba un rendimiento no satisfactorio mientras diez representaba
un rendimiento sobresaliente.
En la primera página del paquete
de evaluación, cada uno de los 10 atributos es colocado al lado
izquierdo de la página, con 10 cuadrados numerados al lado de cada uno.
La escala representa los puntos que cada agente recibe durante la
evaluación, siendo el máximo posible 100. La hoja también contiene
espacio para comentarios adicionales, firmas y otros detalles.
El
siguiente formulario del paquete es una guía que explica detalladamente
cómo se mide el rendimiento y de dónde provienen los puntos. Por
ejemplo, para obtener el máximo de 10 puntos por vestimenta, el gerente
de seguridad o el inspector puede asignar dos puntos para el agente que
tiene camisa y saco limpios y planchados, pantalones o falda limpios y
planchados, calzado adecuado y lustrado, corbata debidamente colocada y
cabello cuidadosamente peinado.
Para analizar el arreglo del
área de trabajo, el gerente de seguridad debe evaluar y asignar puntos
por la facilidad con que se puede disponer de órdenes, útiles de
oficina y otros formularios importantes, así como por la apariencia del
área de trabajo empleada por los agentes durante sus turnos.
La
actitud puede evaluarse considerando la habilidad del agente para
solucionar problemas, su iniciativa, personalidad y entusiasmo. Para
las relaciones públicas se deben juzgar su cortesía, imparcialidad,
solidez en el enfoque y cumplimiento de procedimientos específicos para
el contacto con el público. Para evaluar la estabilidad de un agente,
se pueden emplear medidas como puntualidad, seguimiento de programas de
trabajo y la integridad para completar sus deberes. La permanencia
puede ser medida asignando puntos por cada mes en un lugar y puntos
adicionales por mayores períodos.
Los gerentes de seguridad
deben aplicar su juicio al asignar puntos a cada aspecto medido dentro
de una categoría particular. Por ejemplo, al evaluar la vestimenta, a
un agente se le puede dar menos puntos si tiene la camisa limpia pero
no planchada.
El formulario también debe contener un recuadro
que explique lo que significa el total de puntos. Por ejemplo, si se
califican diez áreas en una escala del 1 al 10, la calificación máxima
es 100. Una calificación menor de 40 significaría que el agente no es
satisfactorio para el puesto; de 40 a 70 significaría que tiene
necesidad de mejoramiento; de 70 a 90 sería un rendimiento
satisfactorio, y más de 90 sería un rendimiento excepcional.
Las
conclusiones. Estas evaluaciones producen una información valiosa que
no debe ser olvidada. Los gerentes deben tratar las calificaciones de
los agentes con los supervisores locales y con los agentes en forma
individual.
La evaluación está diseñada para mejorar la
motivación e impulsar el rendimiento. Cuando se les comunica a los
agentes los defectos que la auditoría ha dejado en claro, también se
les debe indicar cómo se pueden efectuar las mejoras antes de la
próxima evaluación.
Al llevar sensiblemente este proceso,
dando a conocer con habilidad las preocupaciones, la gerencia puede
motivar a un empleado malo para convertirse en un mejor agente.
Trabajo
en equipo. Las evaluaciones no tienen que ser consideradas sólo como
una herramienta para medir a los empleados en forma individual. También
se pueden usar para juzgar el trabajo en equipo. Por ejemplo, una
compañía podría aplicar un criterio similar para evaluar a un turno o a
un grupo de agentes que trabajan en un área en particular. Primero debe
calcularse el rendimiento individual del agente. Luego, se podrán
determinar los promedios y conversarlos con el equipo.
Determinación
de metas. Las evaluaciones ofrecen la oportunidad de establecer metas.
Si un agente recibe 70 puntos, el gerente de seguridad y el agente
deben establecer la meta de alcanzar 75 u 80 en la próxima evaluación.
Lo mismo se aplica a las calificaciones de los equipos.
Las
metas establecidas en forma mutua son un método comprobado para mejorar
el rendimiento. Les dan a los agentes y a los equipos algo positivo por
lo cual esforzarse. De acuerdo a mi experiencia, he visto cómo en esta
etapa del proceso, los agentes empiezan a tener como norma un buen
rendimiento y a desdeñar el rendimiento deficiente, ya que la
reputación del equipo se vuelve cada vez más importante.
Las
metas obtenidas en el proceso de evaluación deben ser comunicadas en
forma clara a los empleados y a la alta gerencia, ya que la
comunicación en ambos sentidos es vital para el éxito del proceso de
evaluación. Al enfatizar los resultados de la evaluación, la gerencia
promueve la motivación y estimula a cada agente para que rinda mejor.
Recompensas.
Los elogios o recompensas de la auditoría inicial deben ser mantenidas
al mínimo. Sin embargo, una vez que usted tenga los resultados
comparativos de una segunda e incluso tercera evaluación, las
recompensas deben ser más fructíferas y abundantes.
Las clases
más simples de recompensas son una carta de reconocimiento, un
certificado o una placa. Para aumentar el valor de estos gestos
simbólicos, la gerencia puede ofrecer algo de valor financiero, como
una bonificación o un certificado de regalo. La mayor recompensa por
alto rendimiento, por supuesto, es un aumento o una promoción.
Algunas
organizaciones han establecidos títulos o sistemas internos para
tributar reconocimiento a quienes constantemente obtienen altos
resultados. Por ejemplo, mi compañía permitía a los agentes que
añadiesen “M. M.” por “Medalla al Mérito”, a continuación de sus
nombres en los documentos oficiales. También son buenas recompensas
apropiadas las chaquetas de equipo, los certificados o placas para el
grupo, las comidas o tragos a la cuenta del jefe.
Con mucha
frecuencia los gerentes de seguridad dedican su atención sólo a
mantener contentos a los clientes corporativos, pero no tratan
adecuadamente las necesidades de sus agentes. Los agentes motivados
crean y mantienen clientes satisfechos, así que los gerentes deberían
dedicar un esfuerzo considerable para guiarlos y apoyarlos. Al
encargarse de las necesidades profesionales de sus agentes y hacerlos
sentir parte de un equipo, los gerentes de seguridad pueden crear un
ambiente en el cual los agentes permanecen más tiempo y trabajan más
duro, beneficiando a todos los involucrados.
Ron R. Minion es
el fundador de la Fundación Internacional para Agentes de Protección y
de su programa de certificación como agente de protección. Este
artículo está adaptado de “Supervisión de Seguridad: Teoría y Práctica
de la Protección de Recursos”, editado por Minion y Sandi J. Davies.
Minion es miembro de ASIS.
Controles
de acceso, detección de intrusos, CCTV, todas estas herramientas tienen
su lugar. Pero a menos que todos los sistemas hayan sido diseñados e
instalados a base de un apropiado análisis de riesgos, terminarán
siendo poco más que una ilusión de protección. La seguridad real sólo
se puede conseguir cuando los recursos de gran valor son cuidadosamente
asignados a las necesidades de seguridad más apremiantes. Esa es una
afirmación con la que, sin duda, todo profesional de la seguridad
estaría inmediatamente de acuerdo, pero hay una dificultad. ¿Cómo puede
uno definir “necesidades más apremiantes”?
Un típico
departamento de seguridad corporativo probablemente considerará una
lista de riesgos que vayan desde el robo interno hasta el terrorismo y
los desastres naturales o causados por el hombre y decidirá que la
necesidad más urgente es defender la compañía contra el robo, lo que es
común, y no de ataques por acción humana, supuestamente improbables
pero con efecto devastador. Ese es un error potencialmente fatal, como
lo demuestra el ataque con explosivos en Oklahoma City y muchas otros
hechos de terrorismo.
En vez de dar poca importancia a los
riesgos de baja probabilidad, los profesionales de la seguridad deben
considerar las consecuencias de la posible pérdida.
Esto se
conoce como “análisis de consecuencias”. Se pregunta: ¿Qué pasaría si
pierdo este recurso?. Ya sea una fórmula secreta de combustible para
cohetes, las vidas de los niños de una escuela secundaria, la vida de
un alto ejecutivo o una planta única de procesamiento químico, si la
respuesta es “no podemos permitirnos perder este recurso”, entonces
usted no puede permitirse dejar de protegerlo.
Eso quiere
decir que la compañía no puede permitirse tener dicho activo sin
protección contra cualquier amenaza real, incluso si la probabilidad de
que ella suceda sea baja. Los profesionales de la seguridad pueden
considerar esto como una meta elevada e impracticable que podría no
cumplirse dentro de presupuestos limitados. Pero si el planeamiento de
consecuencias es efectuado adecuadamente, no necesita costar más que el
tradicional enfoque de seguridad, como será ilustrado en los ejemplos
que acompañan el siguiente análisis del proceso.
En el análisis
de consecuencias se examina la relación entre amenazas, activos, la
probabilidad de pérdida, y los resultados de la pérdida de cierto
activo, para determinar qué recursos se deben emplear para protegerlo.
Si la pérdida de un activo puede ser tolerada, incluso temporalmente, o
si el riesgo puede ser transferido a través del seguro, el activo no
requerirá tanta protección. Pero si el seguro o las acciones de
recuperación no aseguran continuidad en las operaciones mientras se
repara o se reemplaza el activo, se hace necesario considerar cuál es
la mejor forma de proteger el activo. Los cuatro elementos de este
proceso son: identificar las amenazas, identificar activos críticos,
determinar la probabilidad de ataque y determinar las consecuencias de
la pérdida.
Identificar las amenazas.
Toda construcción
enfrenta algunas amenazas maliciosas de origen humano que deben ser
identificadas. Cada amenaza debe ser considerada en términos de clase
(interna o externa), táctica (fuerza, acción secreta o engaño),
objetivos (robo, sabotaje o extorsión, por ejemplo), motivación
(ideología, inestabilidad mental o provecho financiero, por ejemplo), y
capacidad del adversario (tal como número de adversarios y acceso a
armas).
Un buen análisis de amenazas describe una diversidad de
amenazas basadas en los activos a ser protegidos. Las amenazas cambian
regularmente, por lo que deben hacerse revisiones periódicas del
espectro de amenazas.
Identificar activos.
Otro paso en
el análisis de consecuencias es determinar los activos que requieren
protección. La mayoría de las grandes instalaciones tienen una variedad
de activos físicos que incluyen equipo especial, redes de computadoras
y líneas de telecomunicaciones, así como activos de información, como
datos de mercadeo, bases de datos de recursos humanos, fórmulas
químicas e información para planeamiento estratégico. Por supuesto
también hay que proteger al personal, a los clientes y a las visitas.
La
clave para decidir qué niveles de protección necesitan los activos es
el valor de ellos, el cual debe ser comparado con los de otros activos,
siendo el factor básico si la compañía puede continuar operando sin él.
Sin embargo, no siempre es obvio cuáles activos son los más críticos.
Los profesionales de la seguridad y los ejecutivos corporativos que
hacen estos juicios en primer lugar deben establecer claramente las
metas y objetivos corporativos, después de lo cual, para cada activo,
uno puede preguntarse: ¿se puede alcanzar la meta sin esta función,
proceso, material o persona?
Probabilidad de ataque.
La
siguiente parte de la ecuación es la probabilidad de ataque. Se pueden
usar varios enfoques para determinar la probabilidad de ataque,
incluyendo el examen de los registros históricos del lugar y las
estadísticas de otros sitios similares. También es aconsejable
consultar con otras personas de industrias parecidas, asociaciones
profesionales u organizaciones policiales.
Consecuencias de una pérdida.
Luego
deben determinarse las consecuencias de una pérdida en términos de
dinero, reputación, vidas y otros factores perdidos. Los resultados de
la pérdida deben ser expresados en términos de sus efectos para la
organización.
Los eventos de elevadas consecuencias, aunque sean
relativamente de baja probabilidad, no pueden ser asimilados fácilmente
y por tanto deben ser prevenidos. Por ejemplo, este enfoque podría
mostrar que es preferible concentrar los recursos disponibles en
proteger los secretos comerciales, prevenir sabotajes o detener las
acciones de violencia en el lugar de trabajo, en vez de proteger los
autos de los empleados contra los vándalos.
Esto, que es una
pérdida de baja consecuencia, podría tratarse mejor mediante el seguro,
en vez del limitado presupuesto de seguridad. (También es posible, aun
probable, que el resultado de atender las pérdidas de elevadas
consecuencias, será reducir las ocurrencias de los problemas de baja
consecuencia pero alta frecuencia.)
Reuniendo los elementos.
Un
análisis de consecuencias es una manera efectiva de mostrar la relación
entre amenaza, activo y consecuencia. Las amenazas específicas se
pueden marcar en una matriz en la que el eje vertical representa la
consecuencia relativa por la pérdida del activo, y el eje horizontal
representa la probabilidad del ataque de un adversario. La matriz
muestra qué activos enfrentan la mayor probabilidad de ataque y qué
ataques tienen el potencial más alto para detener las operaciones. El
empleo del análisis de consecuencias puede evitar gastos innecesarios
al evaluar las amenazas específicas de cada instalación y aplicar las
soluciones necesarias para evitar ese tipo de ataque.
Uno de los
aspectos más útiles del análisis de consecuencias es su capacidad de
convencer a los altos ejecutivos a proteger las áreas más expuestas.
Ayuda a los que toman las decisiones a comprender y reducir el riesgo
en la seguridad de la empresa o local y permite a la organización de
seguridad demostrar su importancia a la corporación.
Sólo cuando
se entiende la relación entre amenazas, activos, probabilidad y
consecuencias se puede iniciar el diseño del sistema de seguridad. Para
algunas amenazas de menor importancia, puede ser suficiente cambiar
procedimientos. Para otros serán necesarios los recursos humanos y la
tecnología.
Los dos siguientes ejemplos describen el análisis de
consecuencias en el planeamiento como lo ha ejecutado un equipo
consultor de especialistas de seguridad de los Laboratorios Nacionales
Sandia. Se trata de dos lugares específicos, pero se han modificado
algunos detalles para proteger las identidades de esos lugares. Los
ejemplos no significan que la solución es la misma en todos los casos.
La idea básica es que existe una relación entre amenaza, activo,
probabilidad de ataque y la consecuencia de la pérdida. El proceso
siempre es el mismo, aun cuando las instalaciones distintas puedan
tener diferentes amenazas, activos y otras características. Usar la
matriz ayuda a relacionar gráficamente estos aspectos y ayuda a
repartir los recursos, después de lo cual se puede determinar el diseño
del sistema.
Fabricante de semiconductores.
Este caso
involucró a una importante planta de fabricación de semiconductores que
tenía por seguridad candados comunes y un limitado sistema electrónico
para el control de acceso, que no estaban bien conservados. También
había un agente de seguridad sentado en el vestíbulo principal,
verificando las fotografías de los documentos de identificación de los
empleados que entraban.
Con el deseo de mejorar la seguridad, la
compañía contrató a un vendedor/consultor quien recomendó la
instalación de cientos de cámaras de CCTV. La compañía también estaba
considerando un sistema de cerco perimétrico con detectores de
movimiento incorporados.
Sandia tomó contacto con el problema
del fabricante sin habérselo propuesto, al trabajar con un consorcio de
fabricantes de semiconductores de lo cual dicho fabricante era miembro.
En ese momento esa compañía se encontraba en medio de una revisión de
seguridad, y uno de sus representantes le pidió a Sandia que ayudase a
la compañía.
Cuando el equipo de Sandia ayudó a la planta a
efectuar un análisis de consecuencias como componente de una evaluación
de seguridad, observó que ni la compañía ni el vendedor habían
analizado los riesgos antes de determinar que debía hacerse. La
compañía simplemente dijo que quería fortalecer los controles de acceso
y la detección de intrusos. El diseño no se hizo en función de
objetivos; no se concentró en lo que se necesitaría proteger.
Por
lo tanto, Sandia examinó los activos de la compañía y el perfil de
amenazas, evaluando las posibilidades y consecuencias de pérdidas para
cada tipo de amenaza o activo. También observó la seguridad existente y
consideró las cámaras y sistemas contra intrusión propuestos y cómo
estos enfrentarían las exposiciones a las amenazas.
Evaluación.
Una
de las amenazas más grandes (de elevadas consecuencias) que enfrentaba
la compañía era el robo de información de la empresa. Debido a la
naturaleza altamente competitiva de la industria de los
semiconductores, la pérdida de fórmulas y otra información propia podía
ser devastadora. Esta era claramente una amenaza de elevadas
consecuencias, aunque vista como de baja probabilidad. Otra amenaza
significativa era el comportamiento violento en el lugar de trabajo,
una posibilidad que iba en aumento dados los inminentes despidos al
momento de efectuar la evaluación.
También se colocó en la
categoría de consecuencias elevadas el sabotaje de equipos para la
producción. Específicamente, se determinó que el sabotaje del equipo de
producción por empleados y contratistas, en especial una actividad que
detuviese la planta por más de 48 horas, sería de elevadas
consecuencias y mediana probabilidad.
El equipo identificó y
evaluó este riesgo al leer informes de incidentes en la fábrica durante
varios años, notándose un problema recurrente con ex empleados y
contratistas que trataban de sabotear el equipo. Antes del análisis de
consecuencias, este riesgo había sido mayormente ignorado.
Además,
el análisis de consecuencias identificó diversos blancos potenciales
para sabotaje que anteriormente no habían sido considerados. Por
ejemplo, una instalación para procesamiento de agua ubicada fuera de la
planta principal resultó ser un blanco vulnerable, como también eran un
área de almacenamiento de componentes críticos, la sala de control de
fabricación y el sistema de comunicación de fibra óptica.
Se
consideró que una demostración política de activistas ambientales sería
una amenaza de bajas consecuencias y baja probabilidad. Aunque la
preocupación por el uso de agua en la planta, en un ambiente donde
escaseaba el agua, aumentó la probabilidad de protestas ambientales
frente a las entradas de la instalación, la planta tenía en general
buenas relaciones en la ciudad en la que estaba ubicada. Las protestas,
en caso que llegasen a darse, podrían retardar el movimiento de ingreso
y salida de los empleados al edificio y posiblemente impedir la entrega
de artículos en el área de recepción, pero era improbable que fueran
tan serias como para que pudieran amenazar las operaciones o las
ganancias.
El robo de propiedad personal y de equipos y
herramientas de la compañía era común, pero con poca pérdida total para
las ganancias corporativas, así que fue considerado de baja
consecuencia y alta probabilidad. Se determinó que en estos casos de
amenaza con bajas consecuencias, los limitados recursos de seguridad de
la compañía podrían ser mejor aplicados en otros lugares.
Exposición.
Los
elementos de protección del local fueron ingresados a un programa
informático de modelación y se efectuó un análisis de las diez vías más
vulnerables. El análisis encontró que el fabricante sólo tenía un 19
por ciento de oportunidad para interrumpir un ataque de sabotaje por la
vía más vulnerable.
Recomendación.
Para tratar el tema
de las amenazas específicas con elevadas consecuencias para la
compañía, Sandia hizo una serie de recomendaciones. Incluían medidas
elementales para el control del acceso como echar llave a las puertas
exteriores, hacer que el personal dejase de poner soportes para
mantener las puertas abiertas, limitar a quienes podían ingresar al
centro de control y agregar números de identificación personal (PIN) al
sistema sencillo de lectoras de tarjetas que había en el lugar, ninguna
de las cuales significaba grandes gastos en el presupuesto. Sandia
también recomendó un mejor mantenimiento y verificación de los sistemas
ya instalados. Por ejemplo, en las cajas de empalme había interruptores
contra manipulaciones, pero nunca se habían probado. (Debe anotarse que
por lo menos una parte de la solución para cualquier compañía es
aplicar buenas políticas y exigir un buen comportamiento a los
empleados, sin lo cual el equipo no podrá trabajar.)
Con
relación al equipo, Sandia recomendó mejorar el sistema de alarma, ya
que la instalación actual era deficiente. Se basaba sólo en los
manuales y mezclaba los eventos de seguridad contra accidentes con los
de seguridad de vigilancia, haciéndose difícil que los operadores
pudieran diferenciar rápidamente entre una alarma de seguridad y un
accidente. Junto con mejorar el sistema de alarma, Sandia también
recomendó que el sistema de seguridad contra accidentes y el de
seguridad para vigilancia trabajasen en forma independiente, lo que
permitiría que un operador pudiese detectar más fácilmente los eventos
de seguridad importantes.
Respecto a las cámaras, Sandia
recomendó menos cámaras, que estarían colocadas más estratégicamente y
unidas a sensores, de forma tal que cualquier actividad hiciera actuar
una alarma. (El plan original no consideraba cámaras unidas a
detectores.) Posteriormente, Sandia recomendó que la compañía no
construyese el cerco perimétrico, porque la planta ya poseía una
adecuada capacidad para la detección.
Al no invertir en el
cercado perimétrico, las cámaras de CTV y otros equipos, la planta
ahorró alrededor de US $ 600,000. Un nuevo análisis empleando el modelo
por computadora e incorporando los cambios recomendados, mostró que
ahora en la misma vía la posibilidad de interrumpir un sabotaje era de
92 por ciento. Así, el análisis de consecuencias produjo una solución
más efectiva y menos cara para la compañía.
Escuela secundaria.
Al
equipo de Sandia se le solicitó que evaluase la seguridad en una
escuela secundaria de 1,200 alumnos, en un vecindario de clase media
con diversidad étnica, en una ciudad de mediano tamaño en el oeste
medio del país. Tradicionalmente, los administradores han prestado poca
atención a la seguridad de las escuelas. Entre los administradores de
escuelas lo más cercano a un análisis de amenazas es su conocimiento de
los problemas que afectan a otras escuelas, como los tiroteos, robos y
grafitos (dibujos e inscripciones) en las paredes. Las únicas medidas
aparentes de seguridad que existían eran procedimientos como la
vigilancia de los alumnos por los maestros o el personal administrativo
en los pasillos u otros medios.
A causa de una serie de tiroteos
y otras formas de violencia en escuelas en todas partes del país, que
han ocurrido en todo tipo de población y ciudad en distritos escolares
con diversos estratos socioeconómicos, la escuela decidió que era
momento para mejorar sus medidas de seguridad. Trabajando con un
proveedor, la administración decidió instalar gran cantidad de cámaras
nuevas en todo el campus, desde corredores hasta pozos para escaleras y
zonas de parqueo de vehículos. No era factible la observación directa
de las imágenes en video, pero las cámaras iban a ser grabadas en un
centro de control seguro.
La idea era que las cámaras fuesen una solución global para prevenir una amplia variedad de delitos. Antes
de proceder con la instalación de las cámaras, la recomendación del
proveedor, la escuela le pidió a Sandia que revisase su seguridad.
Cuando el equipo de Sandia visitó la escuela, encontró que el plan de
agregar cámaras no estaba basado en un análisis coherente de las
amenazas, los activos y las posibles consecuencias en dicha escuela. Es
más, la escuela no había considerado en absoluto cómo podría cumplir el
sistema con los objetivos de seguridad.
Luego Sandia se reunió
con el administrador para efectuar una evaluación de riesgos y un
análisis de consecuencias. Esto implicó recorrer la propiedad y
entrevistar a los administradores acerca de la clase de problemas que
habían tenido y las soluciones que habían probado anteriormente. El
equipo hizo muchas otras preguntas de respuestas abiertas respecto a
las políticas y procedimientos de la institución. Luego Sandia ayudó
a la escuela a clasificar diversas amenazas de acuerdo a su
probabilidad y consecuencias. Por ejemplo, las conversaciones con la
administración de la escuela mostraron que un incidente de tiroteo
ocasionado por un alumno sería un evento de alta consecuencia pero de
baja probabilidad. En contraste, el uso de drogas por los estudiantes,
lo cual estaba en aumento, fue clasificado como de alta consecuencia y
mediana probabilidad. El robo de propiedad valiosa de la escuela, como
instrumentos musicales, cometido por alumnos o por gente ajena, fue
considerada como de mediana consecuencia, pero de baja probabilidad.
La
administración también conocía casos en que, en una forma de rapto, los
padres sin custodia legal habían ido a la escuela a recoger a sus hijos
sin tener permiso del padre con la custodia. Este riesgo fue
clasificado como de mediana consecuencia, baja probabilidad. (Se le
consideró sólo de mediana consecuencia porque los padres no tenían la
intención de causar daño a su hijo, sino sólo recuperar la custodia.)
En
el nivel de consecuencias más bajas estaban el robo de propiedad
personal, que era de mediana probabilidad, y los incidentes de grafito
y vandalismo, que eran bastante comunes en la escuela y que se
clasificaron como de alta probabilidad. Al tener bajas consecuencias,
las dos últimas amenazas, aunque probables, recibirían la menor
cantidad de recursos importantes de seguridad.
El análisis
mostró que las amenazas más significativas, aunque no eran las más
probables, eran los tiroteos en la escuela y el uso de drogas por los
alumnos, seguidas por el secuestro. Si llegaban a darse este tipo de
incidentes, representarían un riesgo para los activos más valiosos de
la escuela: sus estudiantes y sus maestros.
Con esta matriz, se
desarrolló un plan que reduciría el riesgo de estos eventos de elevadas
consecuencias (tiroteos, uso de drogas y secuestros), y al mismo tiempo
probablemente se dificultarían las amenazas más comunes pero de menor
riesgo, como el vandalismo. El plan incluía la ubicación de cámaras
dirigidas, controles de acceso más estrictos e identificación de
seguridad. Para uso de drogas, se prefirió emplear la asesoría personal
en vez de medidas de seguridad.
Ubicación de cámaras.
Las
ubicaciones de las cámaras se volvieron a evaluar. El plan original
consistía en colocar quizás 100 cámaras en los ingresos, pasadizos y
otras áreas de alto volumen. Se decidió que los objetivos de
protección, ahora mejor precisados, se podrían alcanzar en forma más
efectiva y a un costo total menor, al colocar menos cámaras pero de
manera más estratégica. Las cámaras se colocaron en áreas de “alta
expectativa”, como la sala de la banda, en donde se guardaban costosos
instrumentos musicales.
Al mismo tiempo, Sandia sugirió menos
cobertura en los lugares que tuviesen necesidades menos apremiantes,
como en las puertas y el interior del auditorio, en donde el principal
riesgo era el vandalismo de bajas consecuencias.
Control de acceso
La
probabilidad de un tiroteo se reducía claramente al limitar quién podía
ingresar al edificio y qué podían llevar a la institución. Ello también
reduciría otras amenazas como el robo. Sandia recomendó medidas como
restringir la entrada al edificio por un solo ingreso, colocando allí
un detector de metales y asegurando todas las otras puertas y ventanas.
El tener fotografías de los tiradores no evitaría las pérdidas de
vidas, así que las cámaras sólo podrían jugar un limitado papel.
Identificación.
Como
un corolario del control general de acceso y en relación con la
preocupación específica por el potencial de raptos de estudiantes por
padres sin la custodia legal, Sandia recomendó que la escuela
considerase dos tipos de identificación. Para el personal en general,
se sugirió que a los alumnos se les exigiese usar una tarjeta con su
foto. Si bien las tarjetas pueden ser falsificadas, constituyen una
forma que permite que los profesores y el personal administrativo
determinen rápidamente si una persona está autorizada a permanecer en
la escuela.
Actualmente la escuela está comparando las ventajas y desventajas de esta y otras recomendaciones.
Respecto
al riesgo potencial de un secuestro, la solución propuesta a la escuela
antes de que llegase el equipo de Sandia, había sido tener un sistema
por el cual los padres con custodia entregarían mensajes escritos a la
escuela para dar permiso al padre sin custodia o a otra persona para
recoger al niño. Debido a que esa solución puede ser fácilmente
vulnerada, el equipo de Sandia recomendó un mecanismo de identificación
más formal, como el uso de un aparato de identificación biométrica. El
padre con custodia haría que las personas seleccionadas para recoger al
niño ingresasen información biométrica mediante un lector de geometría
de manos. Sólo las personas autorizadas por los padres podrían recoger
al niño del interior de la escuela, y la geometría de su mano tendría
que coincidir con la de un patrón archivado. (La escuela está
considerando esta recomendación.)
Asesoramiento y conocimiento.
El
análisis de consecuencias también mostró que la escuela tendría que
preocuparse más para evitar el creciente problema del uso de drogas por
los alumnos.
Aunque la escuela todavía investiga la manera de
hacerlo, la recomendación del equipo de Sandia se concentra más en
identificar los alumnos que están en riesgo y darles asesoramiento. La
administración también está invocando la atención del estudiante a sus
políticas sobre drogas y fomentando la conciencia sobre el problema.
Es
frecuente que las organizaciones apliquen medidas de seguridad sin
considerar qué es lo más importante por proteger. Como resultado se
instalan sistemas de seguridad que son caros y aún así los activos
críticos siguen siendo vulnerables. En lugar de ello, los profesionales
de seguridad deben empezar a diseñar sistemas de protección que
reparten los recursos de acuerdo con la consecuencia de la pérdida, no
sólo con la probabilidad de la amenaza. Las consecuencias de hacerlo de
otra manera son altas.
Mary Lynn García, CPP, es miembro
principal del personal técnico de los Laboratorios Nacionales Sandia,
Albuquerque, New Mexico. Es miembro de ASIS.
“Hola,
llamo para solicitar una cotización para mi jefe con relación a una
cerca, unos cuantos guardias de seguridad y algo de iluminación. Sólo
queremos ajustar un poco las cosas aquí. Usted sabe, con todas las
historias de crímenes en el área, en la oficina de los jefes están un
poco nerviosos. ¿Me puede dar un cálculo aproximado por teléfono?
De
una forma u otra, la mayoría de los profesionales de seguridad han
recibido llamadas similares. Y con el incremento de la atención a la
seguridad, ahora que el terrorismo se ha convertido en una realidad más
urgente, es probable que reciban más de ellas.
Para el
profesional de seguridad, la consulta está tan llena de conceptos
equivocados respecto al despliegue de medidas de protección
perimétrica, que uno puede estar tentado simplemente a darles una
referencia en vez de ofrecerles un servicio. Pero el mero hecho de que
alguien ha iniciado el contacto muestra que reconoce que hay una
amenaza y que reconoce la capacidad del profesional, lo que en
consecuencia abre las puertas al diálogo. Un profesional de seguridad
capacitado reconocerá estos cimientos y podrá edificar sobre ellos.
El
éxito inicial y a largo plazo de cualquier programa de seguridad
perimétrica comenzará y concluirá con unos procesos intangibles:
definir la misión de protección, efectuar un planeamiento decidido que
considere las opciones tecnológicas, fomentar un sólido compromiso por
parte de la gerencia, y desarrollar una cultura institucional
encaminada hacia la seguridad, independientemente de la naturaleza,
tamaño, o ubicación de la entidad en cuestión.
Misión definida.
La
primera tarea en definir lo que se va a proteger y qué impondrá ese
esfuerzo, es determinar el nivel y la naturaleza de la amenaza. A
continuación se dan algunas preguntas de uso corriente que deben
plantearse en esta evaluación. Si la amenaza es general, como sucede
con el terrorismo, las interrogantes serían amplias: ¿Cómo ingresa
cualquier cosa del exterior? ¿Son seguras las áreas de estacionamiento
vehicular? ¿Cuál es el sistema de entrega de correspondencia? ¿Cuál es
la exposición de su sistema ambiental? ¿Cuáles son sus procedimientos
en la plataforma de carga? ¿Cuáles son los controles de acceso en su
edificio?
Para amenazas más específicas, las preguntas pueden
incluir lo siguiente: ¿Ha habido un incidente específico en el área de
estacionamiento o los terrenos, o de ingreso no autorizado a la
propiedad o instalación? ¿Estos incidentes implicaron ataque verbal o
físico? ¿Existen preocupaciones sobre la vulnerabilidad en general, que
pueda incluir ingreso ilegal, ataque, intimidación? ¿Es un problema
aislado o parte potencial de una tendencia? ¿Cuándo fue la última
ocurrencia y cuáles fueron las circunstancias? ¿Saben las autoridades y
están involucradas? ¿Existe documentación disponible para ser revisada?
Las respuestas a estas preguntas determinarán la dirección en
la que se dirige el proceso. Obviamente, los incidentes individuales
justifican tanta consideración y mitigación como los incidentes
múltiples; la única variable es la rapidez y el grado hasta que se
aplica la seguridad perimétrica para evitar actividad criminal
adicional.
Luego de la evaluación del estado inmediato de la
seguridad, debe llevarse a cabo una reunión de información que incluya
como mínimo al gerente de riesgos, al director de recursos humanos y al
consejero general, para determinar las deficiencias perimétricas del
pasado y para hacer una crónica de los incidentes previos y las
soluciones que se hayan puesto en práctica anteriormente.
Al
rendir cuentas, el objetivo del equipo no es sólo conocer la historia
de incidentes, las expectativas gerenciales, y los objetivos de
seguridad, sino también la naturaleza y propósito de las actividades de
la entidad, las cuales en su vez proporcionan información importante
sobre los tipos de medidas que son necesarios. Por ejemplo, una planta
de tratamiento de agua, una refinería de petroleo, un centro educativo,
un campo de golf, y una residencia privada poseen todas unos puntos de
acceso particulares. Si un profesional de seguridad no comprende la
naturaleza y el flujo a través de esos accesos, él-o ella--no podrá
proporcionar la seguridad perimétrica que se necesita.
Esta
parte del proceso de reunión de información debe incluir la revisión de
los planos de la instalación, seguida por una inspección a fin de
determinar los cambios en la propiedad desde que se hicieron esos
planos o desde su última actualización.
Planeamiento decidido.
Armado
con los hechos básicos, el equipo puede empezar a planear en serio. La
prioridad es realizar una amplia evaluación de riesgos o
vulnerabilidades para verificar los hechos presentados en la evaluación
y reunión de información anteriores, y para cerciorarse de las
condiciones de acceso. La situación puede que no sea como se ha
descrito.
Por ejemplo, al efectuar un estudio en una compañía
en el norte de Virginia, un equipo proveniente de la compañía donde
trabaja el autor, Amsec International, encontró un recepcionista que
ignoraba el nombre del vicepresidente de seguridad y que permitió que
el equipo ingresase sin ninguna escolta. Después de explorar el
edificio, hallaron un cuarto de control maestro equipado de un sistema
de ingreso de última tecnología mediante lectura de la palma. Sin
embargo, este costoso sistema estaba frustrado: la puerta se mantenía
abierta con una silla de oficina barata de plástico de las que se usan
en las oficinas, debido a un problema técnico que requería “consulta
excesiva entre cuartos”.
Cuando al gerente de riesgos de la
instalación se le hizo ver la contradicción, éste culpó al funcionario
jefe de información por no seguir el protocolo, mientras que este
funcionario acusaba al gerente de riesgos de negligencia en hacer
cumplir las disposiciones de acceso. Sin embargo, en medio de sus
mutuas acusaciones, ninguno de ellos reconoció que la interrupción de
un procedimiento básico de acceso del perímetro al interior pudo haber
sido devastador, si, inadvertidamente, se hubiese permitido el acceso a
alguien con malas intenciones, en vez de los autores.
En otro
caso que ilustra lo que puede revelar una evaluación, las violaciones a
las disposiciones de estacionamiento en un área restringida en el
garaje de una compañía se habían duplicado durante un período de tres
semanas. La idea inicial fue que el problema había sido causado por
error humano, pero el guardia ubicado en la puerta levadiza negó que de
alguna manera se hubiese omitido el protocolo sobre ingreso no
autorizado. Al hacerse el examen, se determinó que el problema no era
el agente que permitía que ingresasen personas no autorizadas, sino un
error en la digitación de ingreso en el sistema informático. A los
empleados de un departamento se les permitía que estacionasen en al
área de parqueo asignado a otro departamento al insertar sus tarjetas
de identificación como lo hacían normalmente. En este caso, el
diagnóstico inicial de error humano resultó ser incorrecto luego de una
indagación adicional.
El proceso de planeamiento debe ser
expresado dentro de un repaso de la estrategia de cuatro puntos que
considere vigilancia, control, mantenimiento y entrenamiento
relacionados con dos áreas diferentes de repaso: elementos de acceso
perimétrico en general, que son comunes a todas las circunstancias, y
medidas que son propias para cada entidad.
Los elementos
genéricos de seguridad perimétrica comprenden una iluminación
abundante, ingresos y salidas con alta visibilidad, áreas de transición
bien mantenidas entre los lugares de destino y las vías públicas,
linderos de propiedad definidos, y señalización que detalle los
derechos de acceso y la ubicación de los ingresos. Además, los
responsables de la seguridad perimétrica deben asegurarse de
identificar los puntos ciegos, mantener estándares físicos y
ambientales, establecer y ejecutar rutas y horas de patrullaje, colocar
dispositivos de comunicación en forma estratégica, poner en práctica un
sistema de registros con firmas donde se verifique la identidad,
utilizar pases para los visitantes, restringir los puntos de acceso
público, y hacer uso de barreras naturales como estanques de retención
de agua.
El objetivo de estos esfuerzos comunmente es aumentar
la visibilidad general, la que es clave para un perímetro seguro.
Algunas veces la visibilidad puede reducirse en forma inadvertida. Por
ejemplo, en un intento por agrandar al máximo un espacio limitado, un
centro de conferencias había colocado unos grandes recipientes para
artículos reciclados cerca de los ascensores del garaje subterráneo de
estacionamiento.
Aunque los recipientes se habían colocado con
buenas intenciones, proporcionaban una cubierta natural o puntos ciegos
desde donde los criminales estaban efectuando atracos fortuitos. Luego
de examinar la situación y el presupuesto de seguridad aprobado, los
autores concluyeron que a pesar del espacio apretado de la
configuración, en última instancia era más seguro y menos costoso mover
los recipientes, que colocar personal de seguridad adicional en los
múltiples niveles subterráneos las 24 horas del día, la cual era la
alternativa necesaria para hacer segura la instalación.
También
deben considerarse los elementos propios de la entidad que toman en
cuenta la función y el propósito de la instalación. Un ejemplo es una
planta de tratamiento de agua que incorpora una red de acueductos de
cinco pies (1.50 m.) de diámetro, desde una estación interna de
tratamiento a la siguiente, lo cual proporciona múltiples puntos de
acceso en el perímetro. Para hacer frente a la amenaza creada, la
planta instaló un sistema de rejillas para evitar el ingreso indebido
de animales y personas, así como estaciones de CCTV en el ingreso,
salida y lugares intermedios del terminal, para visibilidad y rastreo
máximos.
Vigilancia.
Esta parte trata los esfuerzos
físicos y electrónicos para observar los puntos de acceso designados y
los no designados. Aquí están incluidos los puntos estratégicos con
campo visual libre y iluminación adecuada de personas, propiedad y
actividad en lugares tales como áreas de estacionamiento, entradas
designadas (puertas, garajes, e ingresos de servicio), entradas no
designadas (ventanas, tubos de desagüe, conductos subterráneos, cercas,
pasadizos y acueductos), pasajes, calles, verandas y balcones.
Una
de las tecnologías que podrían tener en cuenta los profesionales de
seguridad son los sensores perimétricas y los sistemas de vigilancia,
que proporcionan una gama de opciones de alto nivel para monitoreo y
detección. Dependiendo de la naturaleza de la instalación (privada,
industrial, gubernamental, militar), una opción viable puede ser la
tecnología infrarroja. Creada para aplicaciones militares, la detección
de intrusiones perimétricas con sensores infrarrojos ha sido adoptada
con éxito en aplicaciones comerciales e industriales, en particular
aquellas que implican desafíos planteados por las condiciones del
ambiente como son lluvia, nieve, niebla y arena. Ahora los sistemas
presentan sensores autodiagnósticos, que han resultado impenetrables,
en un rango máximo promedio de 1000 pies (333.33 m.), a animales
pequeños, ramas agitadas por el viento, y otras fuentes de movimiento
que anteriormente hubieran originado falsas alarmas. Puesta en acción
en un formato modular para conformar un muro infrarrojo de múltiples
rayos invisibles, la tecnología brinda una detección superior de
penetraciones.
Mientras tanto, los adelantos con la fibra
óptica han eliminado la necesidad de electrónica sobre el terreno
aplicada a cercas, perímetros protegidos por muros, y sensores
subterráneos. Con un alcance de más de 60 km., el procesamiento
aplicado de algoritmos en un solo centro de control y las conexiones de
fibra óptica con las cámaras permiten a los oficiales de seguridad
evaluar a distancia las alarmas audibles, lo cual reduce la detección
positiva falsa y posteriormente los despliegues innecesarios.
Pero
probablemente los avances más útiles en la vigilancia se han dado en el
campo de la detección de movimiento por video. Los programas
informáticos pueden adaptar los sistemas según las condiciones
ambientales existentes en el local bajo vigilancia al analizar las
características de textura así como de movimiento. Y al incorporar una
unidad de almacenamiento digital una compañía podrá grabar y repetir
escenas antes, durante y después de una alarma, las cuales son vitales
para la evaluación de amenazas y la debida diligencia probatoria.
Control.
Las
barreras físicas y electrónicas que dirigen y limitan el acceso, las
medidas de control pueden incluir elementos que se encuentran en el
ambiente, como muros, arbustos, puertas, veredas, y otras técnicas
paisajistas, así como medidas tecnológicas como las tarjetas-llave o
dispositivos similares que restringen el acceso de personas,
departamentos o grupos predeterminados. Otra herramienta para el
control es colocar personal de seguridad u otros en ocasiones claves.
Los
elementos de control deben estar unidos con artefactos de vigilancia
adecuadamente ubicados de tal modo que para cualquier momento se pueda
formular un reporte de la cadena de acceso, el cual luego podría usarse
como una referencia casual o con relación a una investigación
específica.
También se deben tener en cuenta los avances
tecnológicos con respecto al control de acceso. Por ejemplo, los
sistemas de reconocimiento facial representan un salto significativo en
la efectividad de los controles de acceso de personas. Comparar las
características faciales de una persona que desea ingresar, con una
base de datos de perfiles de análisis de 128 puntos de información
previamente barridos, ayuda a obtener en el punto de ingreso una
identificación inequívoca.
Un asunto del que se deben
cerciorar los profesionales de seguridad, es que cualquier mecanismo de
control físico se debe desarrollar teniendo en mente la gente que lo
usará. Esto es importante porque la seguridad perimétrica más fuerte
puede ser vencida por un simple error humano. Por ejemplo, al conducir
últimamente una evaluación para una organización noticiosa “punto com”,
un equipo de Amsec encontró dispositivos de acceso a elevadores
activados con llave, acceso restringido a los pisos del edificio, y
puertas de vidrio de recepción con seguros electrónicos--todos ellos
dispositivos superiores de control de acceso.
Desafortunadamente,
debido a la ubicación mala del escritorio de recepción, el personal
sentado allí no podía identificar visualmente a una persona que
solicitase ingresar al complejo. Así que permitían el acceso a las
personas sin saber quiénes eran. Desde una perspectiva de seguridad,
esto violaba todos los protocolos esenciales de seguridad perimétrica y
en última instancia frustraba la intención de los dispositivos
desplegados. Y por añadidura, la estación de la recepción no tenía ni
un botón de pánico ni CCTV para controlar y registrar el movimiento de
acceso, lo que podía significar ningún contacto ni anotación en el caso
de una situación grave.
Pero a veces el problema de seguridad
no es originado por la organización misma. Al hacer un estudio de un
depósito para una operación de transporte de dinero, un equipo de Amsec
determinó que el control de acceso había sido comprometido
inadvertidamente por una fuente externa. El negocio adyacente había
colocado dos recipientes de basura, de siete pies (2.10 m.) de altura,
contra la pared posterior del depósito. En menos de 90 segundos los
consultores habían utilizado los recipientes para escalar la pared,
atravesar el techo, e ingresar sin ser detectados visual o
electrónicamente. La compañía atenuó la amenaza identificando
claramente los límites de propiedad, colocando una cerca, y modificando
las medidas de control del perímetro. Por ejemplo, se agregaron cámaras
de CCTV y puntos de alarmas de acceso para hacer frente a la
posibilidad de acceso por el techo.
Mantenimiento.
La
atención apropiada a las medidas físicas y electrónicas de protección
perimétrica y la revisión rutinaria y a largo plazo de esas medidas,
son tan importantes para asegurar una protección efectiva como la
instalación inicial de los elementos de acceso perimétrico. Por
ejemplo, los arbustos muy crecidos obscurecen la visibilidad, y los
cables de CCTV corroídos por la intemperie pueden causar problemas en
la transmisión de imágenes.
Para asegurar que los gerentes y
el personal tengan siempre en mente los asuntos de mantenimiento, debe
programarse un régimen de revisión y reemplazo de los componentes de la
seguridad perimétrica, y los oficiales de seguridad de cada turno deben
completar una lista de verificación estándar mientras hacen su ronda y
anotar cualquier problema de mantenimiento.
Además, se debe
usar una inspección al paso para buscar los problemas causados por
manipulación o desactivación natural, como los que podrían derivar del
sobrecalentamiento, exposición a la intemperie, fallas de componentes o
una onda eléctrica.
Un ejemplo de la importancia del
mantenimiento y las verificaciones adecuadas se puede apreciar en un
caso que involucra la construcción de un nuevo edificio. La compañía
cliente había ocupado el medio del edificio mientras continuaba el
trabajo en los pisos superiores e inferiores. Recientemente se había
instalado un sistema perimétrico de alarma por contacto, pero durante
una inspección el equipo consultor observó que habían sido retiradas
las envolturas diseñadas para evitar los corto circuitos en las alarmas
de ingreso de las puertas de acceso al nivel de estacionamiento
vehicular. Las puertas habían sido ajustadas por el personal de
mantenimiento, quienes no reinstalaron correctamente la alarma por
contacto. Pegando un sujetapapeles entre los dos polos magnéticos, el
equipo obtuvo acceso sin trabas después del horario normal de trabajo.
Esta amenaza a las personas y a la propiedad fue encontrada en un
sistema recién instalado: los riesgos aumentan cuando se descuidan los
sistemas de acceso que son familiares al personal propio y al
adversario.
Entrenamiento.
La evaluación, planeamiento e
instalación del perímetro serán poco menos que inútiles a menos que
vayan acompañados del entrenamiento en el uso, evaluación y cuidado de
los elementos de seguridad del perímetro. Durante las sesiones de
entrenamiento también se deberán cubrir los protocolos de
reconocimiento, rastreos de seguridad, procedimientos de emergencia,
encierres, estrategias para salidas primarias y secundarias, y
preparación de informes.
Uno de los clientes de los autores
descubrió que el entrenamiento apropiado del personal evitó una
violación de seguridad que probablemente habría conducido al robo y
otras pérdidas. En medio del trabajo de remodelación de un edificio,
una compañía constructora había solicitado acceso al piso y al cielo
raso de la instalación del cliente, para que pudiesen colocar los
cables para las líneas de comunicación. Antes de otorgar el acceso, el
gerente de seguridad se reunió con el personal de mantenimiento del
edificio y los funcionarios del contratista para preparar los
protocolos de acceso y las notificaciones diarias de asignación de
trabajos.
Se estableció el sistema de modo tal que el personal
de seguridad del cliente pudiese tener acceso a las notificaciones de
asignación en cualquier momento.
Tal previsión resultó ser
fundamental cuando un ladrón que se hacía pasar como obrero de
construcción, aun provista de un camión con una plataforma vacía,
intentó ingresar a la sección de equipo de computadoras de la compañía.
Fue detectado cuando el oficial de seguridad de turno le preguntó el
motivo de su visita y comparó la respuesta con las asignaciones de
trabajo para ese día. Si no hubiese sido por su respuesta equivocada,
el timador pudo haberse escapado con miles de dólares de equipo. En
lugar de ello, fue arrestado y declarado culpable de intento de robo.
Para
cerciorarse que el entrenamiento se aproveche al máximo dentro de una
organización, muchas compañías progresistas usan el entrenamiento y los
exámenes subsiguientes (de preferencia a cargo de un facilitador
objetivo, ajeno a la compañía), como condiciones para el empleo
continuado, criterios para las promociones y consideraciones para los
niveles de méritos.
Compromiso de la administración.
Después
de cerciorarse que se ha desarrollado un plan en el cual los esfuerzos
de mitigación guardan proporción con los riesgos descubiertos en la
evaluación, depende de la gerencia ponderar los costos y el rendimiento
de la inversión, encargarse de las aplicaciones, y determinar un
programa cronológico para la ejecución de las medidas adoptadas. Sea
que se adopten las recomendaciones o no, se debe guardar la
documentación del proceso y conclusiones de la planificación en caso
que se necesite validar los resultados en algún momento.
Los
autores han descubierto que los razonamientos que se basan en las
causas y efectos de escenarios verosímiles, son las herramientas más
poderosas para animar a la administración a que apruebe un proyecto.
En
el caso de Amsec, el gerente de seguridad del cliente trabaja con el
equipo de consultores para justificar los escenarios así como para
proporcionar a la gerencia una estimación de los costos de las acciones
de mejoramiento. Este arreglo presupuestado se compara luego con las
pérdidas posibles, lo cual permite que el equipo administrativo
desarrolle las prioridades así como el consenso.
Al
desarrollarse una relación vigorosa entre el departamento de seguridad
y la alta gerencia se ha preparado la escena para evitar mensajes
confusos y retrasos burocráticos, para poner énfasis en el mensaje
interno de cuidado y responsabilidad, y enviar un mensaje al exterior
para no dejar dudas respecto a la seriedad con la que la compañía mira
y ejecuta la seguridad.
Cultura institucional.
Finalmente,
se necesita comunicar que todas las medidas de seguridad están
diseñadas para evitar el crimen y promover la seguridad y la
productividad y que todos dentro de la organización tienen un papel por
cumplir.
Los profesionales de seguridad astutos utilizan estos
ojos y oídos extras para aumentar sus propios conocimientos y
vigilancia. Utilizando buzones de sugerencias, avisos electrónicos,
encuestas formales o simplemente conversación alrededor del surtidor de
agua, un profesional entrenado escuchará la retroinformación, la
evaluará en relación con el tema de seguridad y aplicará las ideas si
procede.
Hasta algo tan simple como el lenguaje corporal de un
empleado puede ser un indicador crítico de que algo está mal. Un
ejemplo es un guardia de seguridad que regularmente revisaba las
insignias de identidad en la entrada principal de una compañía y que
estaba familiarizado con los estados de ánimo y las actitudes del
personal regular. Entonces, cuando una mujer joven que por lo general
era muy conversadora y cortés, pasó lentamente el puesto de control con
un comportamiento adusto, el guardia evaluó la situación y observó a
dos individuos en la vereda parados con otro empleado visiblemente
incómodo. El guardia activó una alarma silenciosa y personal encubierto
rápidamente dominó a los dos individuos. Los instintos del oficial
probablemente evitaron una tragedia: Resultó ser una situación de
rehenes en desarrollo, con el propósito de robar información, en la que
la joven mujer había logrado escaparse de sus secuestradores. Los dos
hombres fueron arrestados y cada uno acusado de un cargo de rapto, uso
de un arma de fuego para cometer un crimen e intento de robo.
Como
lo ilustran estos casos, la seguridad perimétrica es más que cercas,
iluminación y personal. Una compañía puede alcanzar su objetivo de
brindar un ambiente seguro de trabajo, sólo al desarrollar una
estrategia general de seguridad cuidadosamente trabajada.
Mark
Lowers es presidente y jefe ejecutivo de Amsec Internacional. Es
miembro de ASIS. Tony Raker es vicepresidente de
comunicaciones/relaciones corporativas. Jim Rodgers es director de
desarrollo y miembro de ASIS.
Perspectivas en el estacionamiento de vehículos Sean
pequeñas o grandes, todas las entidades tienen instalaciones de
estacionamiento vehicular que pueden estar vacías la mayor parte del
tiempo. Virtualmente abandonadas, estas áreas se vuelven puntos
principales de delitos en los perímetros. Agréguese a esto el posible
aislamiento de un negocio que incorpora plataformas de carga, entradas
de servicio, callejones sin salida y contenedores de basura: es un
ambiente potencialmente inseguro en extremo.
En una zona de
estacionamiento el delito contra la propiedad más común es el robo,
seguido por lesiones físicas. En consecuencia, es vital revisar la
documentación histórica referida a delitos contra las personas y la
propiedad, como parte del proceso de auditoría de riesgos en el área de
estacionamiento, además de considerar el índice histórico de crímenes
en el área inmediata. Por añadidura, el informe debe incluir la
situación actual de la instalación con relación al cumplimiento
pertinente de la Administración de Seguridad y Salud Ocupacional y del
Acta de Americanos Incapacitados, considerando temas tales como rampas
de acceso adecuadas para personas incapacitadas, comunicaciones de
emergencia, seguridad física en una crisis y áreas de salida de
emergencia.
Si esta información no está facilmente disponible,
la primera recomendación del departamento de seguridad debe tratar la
documentación de incidentes y la revisión del cumplimiento del
reglamento.
Entre los elementos de seguridad física que se deben tomar en consideración: · Iluminación de emergencia · Barreras para las entradas · Lugares de estacionamiento designados · Acceso de peatones · Puntos de entrega · Flujo y control del tráfico · Visibilidad entre los vehículos · Escaleras y ascensores
Puede
que otros problemas no se traten necesariamente mediante el uso del
fortalecimiento del blanco y de las medidas físicas de seguridad. Por
ejemplo, las investigaciones de los autores sobre las instalaciones
para estacionamiento han descubierto un significativo fraude interno,
que va desde faltas de dinero en efectivo hasta robos de propiedad en
áreas protegidas.
Un factor importante en estos casos fue la
falta de verificación de antecedentes antes del empleo de aquellos
contratados como ayudantes o como personal de seguridad. Esta falta de
investigación de antecedentes se vuelve especialmente grave en los
casos que involucran daños corporales, en los que las cortes critican
la falta de verificación a fondo de empleados y con frecuencia
encuentran responsable a la compañía.
Finalmente, no se puede
exagerar el asunto de respuestas a los incidentes. El entrenamiento
adecuado--en el aula y en el campo--para el personal encargado de la
seguridad perimétrica y de las instalaciones de estacionamiento, debe
incluir cómo responder ante un intento de atraco, pedir ayuda policial
o médica, manejar los reclamos de los clientes y utilizar el equipo de
emergencia. El personal también debe ser entrenado en primeros
auxilios, incluyendo RCP, y el continuo del uso de fuerza. Deben
comprender los límites de su autoridad para detener o arrestar a las
personas; los procedimientos de manejo de dinero en efectivo, referidos
tanto a la protección como a la responsabilidad; los estándares y
protocolos de identificación; y el sistema interno de reporte, como los
registros de ocurrencias y informes de incidentes.
Lo que es
más importante, deben entender que las zonas de estacionamiento
vehicular son la primera línea de la defensa perimétrica.
Los
alimentos genéticamente modificados, la encefalopatía espongiforme
bovina (BSE también llamada la enfermedad de la vaca loca), y la
Escheria coli se encuentran entre los numerosos asuntos que han creado
controversias públicas en los últimos años.
Como resultado de
la atención dada por los medios de información a estos problemas, los
consumidores se han hecho muy conscientes de los peligros percibidos y
potenciales que provienen de las violaciones a la seguridad y
protección de los alimentos. Los mismos consumidores dudan mucho de los
fabricantes y los comerciantes minoristas cuando afirman que todo está
bien y que se han tomado las medidas de seguridad apropiadas.
En
una situación como ésta, cualquier asunto que lleva a los consumidores
a dudar la confiabilidad de un producto podría infligir grandes
perdidas financieras a los fabricantes y a los minoristas. La
planificación para situaciones imprevistas y la gestión de crisis se ha
convertido por lo tanto, en un aspecto de seguridad cada vez más
importante para estas compañías.
Este artículo trata sobre
cuatro aspectos específicos de los planes para situaciones imprevistas:
gestión de problemas, aprendizaje isomórfico, rol de los departamentos
de servicio al cliente, y selección y entrenamiento de un equipo de
gestión de crisis.
Gestión de problemas.
Es frecuente
que las compañías enfoquen la planificación para situaciones
imprevistas como si las crisis fueran inevitables. Ese no es el caso.
Si bien algunos incidentes ocurrirán – y aunque toda compañía debería
planear y practicar para enfrentar tales incidentes – es igualmente
importante que la gerencia desarrolle un proceso para prever los
aspectos que podrían convertirse en crisis, de tal forma que la
compañía pueda tomar acciones para solucionar esos aspectos antes de
que se produzca el daño. A este proceso se le llama gestión de los
problemas. Esta intervención anticipada produce grandes beneficios.
Dentro
de la industria de alimentos, la mayoría de las crisis caen dentro de
dos categorías generales. Primero están las crisis repentinas
relacionadas a incidentes (o basadas en eventos) consecuencia de
situaciones tales como fallas en las plantas, incendios y la
contaminación accidental o deliberada del producto. Segundo están las
crisis relacionadas con problemas, también denominadas crisis de lento
inicio o de baja intensidad. Estas son las que han provocado muchos de
los problemas de la industria alimenticia en los años recientes,
incluyendo las controversias alrededor de la BSE y de los alimentos
modificados genéticamente. Las crisis relacionadas con problemas pueden
ser más difíciles de solucionar, en parte porque generalmente no hay un
evento identificable que lo inicia. Ellas se van formando poco a poco
debido a una serie de ocurrencias.
Con la gestión de problemas,
la compañía está en constante exploración de un mundo cambiante para
identificar lo más anteladamente posible todos los problemas que
probablemente afecten las actividades de las compañías. Algunas serán
oportunidades, pero otras representarán amenazas. Una herramienta útil
para identificar los problemas que pueden surgir es el análisis PEST
(político, económico, social y técnico), en el cual la compañía
considera los eventos en términos de lo que implican en cada uno de los
cuatro campos.
Un ejemplo de la gestión de problemas dentro de
la industria alimenticia se puede encontrar en los alimentos
modificados genéticamente, en donde los científicos introducen o
retiran artificialmente material genético para, por ejemplo,
incrementar el rendimiento de los cultivos, mejorar el sabor y la
apariencia, o fortalecer la resistencia contra las pestes. Esto ha
resultado ser un tema polémico debido a las preocupaciones de los
consumidores y de grupos ambientalistas. A continuación, damos una
ojeada a los problemas que un análisis PEST podría haber originado en
los inicios del debate.
Político.
En el lado positivo,
la ingeniería genética podría haber aparecido como una opción atractiva
si mejorase la calidad y la cantidad de los alimentos y si mantuviera
sus precios a un costo bajo. En algunos casos hubiera sido beneficioso
para los países del Tercer Mundo. En el lado negativo, un análisis
podría haber revelado el potencial para una fuerte resistencia
proveniente de grupos ambientalistas y un resultante impacto financiero
sobre la compañía.
Económico.
La compañía podría haber
descubierto que los productores se beneficiaban por los bajos costos de
producción y los mayores rendimientos de los cultivos y los
consumidores por los bajos precios. También podría haber determinado
que estos productos ayudarían a garantizar suficiente provisión de
alimentos. En el lado negativo se escondía la posibilidad de que los
consumidores pudieran resistir estos productos, o incluso organizar un
boicot, y que las tiendas minoristas ubicadas en áreas con fuerte
oposición de los consumidores, pudieran no almacenarlos.
Social.
En
el lado positivo, los productores de alimentos podrían haber
considerado a la ingeniería genética como una fuente de alimentos
atractivos y económicos, con el potencial de proporcionar alimentos de
la estación durante todo el año. Sin embargo, podría haberse originado
temores de una “intromisión no natural contra la naturaleza” y de
problemas de seguridad, porque la duda sobre la seguridad de los
alimentos genéticamente modificados no fue resuelta completamente para
satisfacción del público. Podrían haber surgido otras posibles
preocupaciones, como limitar las selecciones para los consumidores de
los alimentos naturales y los efectos adversos sobre la vida animal y
vegetal
Técnico.
Las investigaciones de la compañía
podrían haber indicado que estas avanzadas técnicas científicas
aumentaban la producción de los cultivos y mejoraban la apariencia y el
sabor de los alimentos. También podrían haber ampliado las áreas
geográficas en las que pudiera crecer un tipo particular de cultivo.
Por el lado negativo, los métodos usados para limitar el daño de las
pestes a los cultivos podrían haber tenido finalmente un efecto
inverso, llevando a una existencia incontrolable de plantas e insectos,
lo cual podría poner en peligro los abastecimientos de alimentos y a
los humanos.
Después que se identifica un problema, debe ser
analizado, ordenado por prioridad y asignado a un ejecutivo de alto
nivel para su posterior estudio y manejo. El análisis PEST debe
presentar claramente las ventajas y desventajas del problema, ya que
estas últimas inevitablemente tendrán consecuencias para las finanzas
de la empresa. Esta “búsqueda anticipada” debe descubrir los riesgos
potenciales contra las actividades actuales e identificar las acciones
que podrían minimizar cualquier efecto adverso. En algunos casos, el
potencial impacto podría ser tan serio que todo el proyecto será
cancelado.
En el ejemplo de los alimentos modificados
genéticamente, la alta gerencia debió haber balanceado las
oportunidades de negocio derivadas de estos cultivos y los peligros y
efectos conocidos al interferir con la naturaleza. En vez de ello, los
encargados de tomar las decisiones se concentraron en los beneficios
financieros de estos productos y subestimaron las preocupaciones y la
resistencia de los consumidores, mientras que los grupos ambientales y
de consumidores parecen haber identificado y manejado los temas en
debate para su beneficio. El resultado fue una situación que, junto a
otras preocupaciones sobre la seguridad de los alimentos, fomentó un
ambiente de sospecha y preocupación. Si se hubiera iniciado desde el
comienzo un dialogo creíble con los consumidores y otras partes
interesadas, algunos de los problemas posteriores, incluyendo las
protestas y los boicots, podrían haber sido evitados.
Para
cambiar el enfoque respecto la gestión de problemas, una empresa debe
tener el apoyo de sus lideres, desde el jefe ejecutivo hacia abajo. El
éxito depende de que la empresa sea lo suficientemente flexible para
ajustarse a los cambios en el ambiente de los negocios y en las
necesidades de los consumidores. Por ejemplo en el caso de la BSE, la
industria de producción de carne de res en el Reino Unido y otros
países europeos ha sufrido enormemente. Las compañías que se dedican
solamente a la producción de carne de res podrían no sobrevivir,
mientras que aquellas con la habilidad y flexibilidad para
diversificarse tienen una mejor oportunidad de sobrevivir.
No es
costoso aplicar un enfoque de gestión de problemas. Por ejemplo, la
Internet brinda un procedimiento de bajo costo para reunir información,
lo cual hace posible establecer un sistema interno de supervisión a un
costo mínimo. A los gerentes se les puede encargar que controlen la
información pertinente a sus propias áreas de responsabilidad. Si bien
el costo es bajo, las potenciales recompensas son considerables, porque
la gestión de los problemas de una compañía puede ayudarla a evitar
totalmente una crisis o por lo menos a mitigar los efectos.
Aprendizaje Isomórfico.
Se
define como aprendizaje isomórfico a la facilidad de aprender de las
experiencias similares de otros. Ello puede ser particularmente
importante en el contexto de gestión de crisis y desastres, en lo cual
las compañías pueden beneficiarse de las experiencias de cada una de
ellas frente a diversos incidentes. Por ejemplo, a nivel de gerente
individual puede ser raro un problema particular, como la contaminación
de los alimentos en una línea de producción o un incendio en una
fábrica, pero en la industria en conjunto puede que no sea tan inusual.
Si se comparte la información entre los departamentos de una empresa y
entre profesionales de la industria en diferentes organizaciones, la
base colectiva de conocimientos que se desarrolla ayudará a todos a
enfrentar un evento inusual con pericia.
Brian Toft sugirió en
1992, en un artículo en el diario Prevención y Gestión de Desastres
(Disaster Prevention and Management), que hay por lo menos cuatro
formas separadas a través de las cuales las organizaciones pueden
aprender a emplear el estudio isomórfico: incidentes basados en
eventos, incidentes cruzados entre organizaciones, incidentes con una
modalidad común y sucesos internos.
Incidentes basados en
eventos. Diferentes incidentes ocurren, sea en la misma compañía o en
diferentes firmas, pero producen consecuencias similares. Un ejemplo
serían las circunstancias que rodean, y los efectos de, la introducción
accidental versus la deliberada de algunas substancias dañinas al
proceso de preparación de los alimentos. Aunque las circunstancias y
las implicaciones son muy diferentes, las consecuencias para los
consumidores serían esencialmente las mismas, y una compañía podría
aprender al saber que hizo otra empresa frente al problema.
Incidentes
cruzados entre organizaciones. En este caso, los hechos ocurren en
diferentes compañías que emplean el mismo proceso para fabricar
básicamente los mismos productos. Un ejemplo sería dos fábricas
envasadoras de alimentos, de propiedad de diferentes compañías y
ubicadas en diferentes ciudades, pero que usan esencialmente el mismo
equipo para las mismas tareas.
Incidentes con un medio común.
Estos incidentes involucran a diferentes industrias que comparten los
mismos o similares componentes, herramientas, técnicas o procesos en
sus operaciones. Un ejemplo en la industria alimenticia sería la
molienda de harina y arroz.
Eventos internos. Estos son eventos
que se dan en grandes compañías que poseen varios locales, con varias
unidades operacionales que producen o proporcionan los mismos o
similares productos. Un ejemplo sería una cadena de pastelerías de
producción masiva.
Además, un evento podría cruzar más de una
categoría. Por ejemplo podría ser un evento interno y un incidente
basado en un evento.
Las medidas que se requieren para
aprovechar el aprendizaje isomórfico son relativamente simples. El
primer paso es básicamente una inteligencia corporativa, similar a la
involucrada en la gestión de problemas. Ello supone reunir
sistemáticamente información respecto a accidentes, incidentes y
sucesos provenientes del mundo entero, una tarea que ha sido
simplificada por la Internet. En efecto, existen numerosos sitios Web
sobre la gestión de crisis y continuidad de negocios que proporcionan
dicha información en forma diaria.
Enlazarse a través de la
red informática es otro importante método de recolectar información.
Puede ser de valor incalculable inscribirse en organizaciones
comerciales, las que brindan un foro altamente confidencial y
especializado para intercambiar información vital al mismo tiempo que
protegen los intereses comerciales. (No obstante, algunos asuntos son
tan delicados en sentido comercial que se quedan inevitablemente dentro
de la organización.)
Las agencias del gobierno también pueden
ser una fuente de información. Sin embargo, la compañía tendrá que
hacer un seguimiento de varias agencias diferentes para tener el cuadro
completo. El tipo de problema (enfermedades transmitidas por alimentos,
contaminación deliberada), el tipo de producto alimenticio, el lugar de
compra (una tienda de comestibles para consumo en casa o un
restaurante), y otros factores establecen específicamente que agencia
del gobierno es la que recibe un reporte de incidente o un reclamo.
Deben
considerarse cuidadosamente todos los hechos que se relacionen, aun si
a primera vista no parecen ser pertinentes. Por ejemplo, hace poco
tiempo, en el Reino Unido, las entidades profesionales responsables de
la conducta de los practicantes de medicina han estado estudiando los
sistemas que emplean las tripulaciones de las líneas aéreas para
comunicar sus preocupaciones sobre la competencia profesional de sus
supervisores, para determinar si cualquiera de los procedimientos
básicos son aplicables a su campo.
Los incidentes en las plantas
de elaboración de alimentos - y, por cierto, en casi cualquier otro
tipo de planta de fabricación - pueden ser de interés para otros,
aparentemente no relacionados, sectores de la industria alimenticia. Un
ejemplo es la explosión e incendio producidos en 1988 en la plataforma
petrolera Piper Alpha frente a la costa de Escocia, que provocó 167
muertes. La causa del desastre fue una falla en el sistema de
“permiso-para-trabajar” -por el cual un gerente autorizado da permiso
escrito para que se ejecute cierto trabajo de mantenimiento.
El
incidente implicaba el retiro de una válvula vital. La válvula fue
retirada por uno de los turnos de trabajo, el cual no informó a los
ingenieros de mantenimiento del siguiente turno ni registró el retiro
en el sistema de permiso-para-trabajar. La operación de la planta se
reinició sin la válvula, ocasionándose la explosión y el incendio.
Los
problemas observados en este incidente son aplicables a las grandes
fábricas procesadoras de alimentos, que trabajan sobre la base de
turnos rotatorios continuos, con ingenieros y personal de mantenimiento
trabajando en todos los turnos. Si los gerentes pueden comprender donde
y cómo falló el sistema de informes en la plataforma petrolera y cómo
prevenir una falla similar en el futuro, pueden adaptar esa solución a
sus propias circunstancias.
Como lo ilustran estos ejemplos,
toda la información reunida debe ser analizada para determinar si se
puede aplicarla a las actividades de la compañía, luego de lo cual se
pueden identificar las lecciones y se puede efectuar cualquier
corrección a los procedimientos de la compañía. Idealmente, el equipo
de gestión de crisis (u otro departamento que reúna y analice la
información) revisaría sistemáticamente toda la información para
difundir el material importante a los gerentes apropiados.
Servicio al cliente.
Una
fuente de información infrecuentemente usada que podría proporcionar
una advertencia anticipada sobre una crisis en desarrollo, es el
departamento de servicio al cliente de una compañía. Las grandes
empresas pueden recibir varios miles de quejas por año, cada una de las
cuales tiene el potencial para provocar una demanda legal contra la
compañía. Pero posiblemente no es obvio para la persona inexperta si un
reclamo es un simple incidente aislado o la primera señal de un
problema substancial.
Para aprovechar este recurso al máximo, el
personal del departamento debe ser adecuadamente entrenado para poder
analizar cantidades considerables de información en forma precisa y
rápida. Deben saber distinguir, entre la cacofonía de quejas, las
pistas indispensables que revelan cuál de las llamadas merece una
atención especial. Por ejemplo, el personal debe ser capaz de
identificar rápidamente la planta de fabricación específica o la línea
particular dentro de una planta en donde se elaboró un producto, la
procedencia de los ingredientes y el marco de tiempo dentro del que fue
fabricado, incluyendo el turno en que fue producido. Esta información
revelará patrones, como puede ser una serie de llamadas que reflejen
problemas con el producto de una planta.
Además, los sistemas de
reporte deben ser capaces de identificar contaminantes particulares
(por ejemplo, alfileres, agujas y vidrio) para poder dar una
advertencia rápida a los gerentes de operaciones. Esta información
detallada es particularmente esencial para los gerentes responsables de
tomar decisiones respecto a retirar algún producto. Ellos deben tener
toda la información disponible para decidir si es necesario retirar el
producto y si fuese así, la magnitud de lo que hay que retirar.
Las
compañías deben, por consiguiente, establecer procedimientos
definitivos para reportar los incidentes a la alta gerencia. Los nuevos
empleados deben pasar por un programa inicial de educación, debiéndose
dar una sesión anual de repaso del entrenamiento. Gran parte del
entrenamiento puede basarse en el estudio de casos que resalten
tendencias previas y ejemplos de reclamos, así como tácticas exitosas e
infructuosas empleadas para atenderlos.
La tecnología puede
también tener un papel en el análisis de información. Por ejemplo, un
fabricante de alimentos ha identificado varios factores relacionados
con quejas de clientes que podrían indicar un problema importante.
Estos factores incluyen cualquier reclamo de vidrio dentro del producto
así como reclamos repetidos contra un local industrial o a un producto
en particular. Cuando se presentan estos factores, la base de datos
computarizada automáticamente genera una alarma que se traslada
inmediatamente al gerente correspondiente. En un caso, el sistema
identificó un número creciente de quejas por la presencia de vidrio en
un producto. Se tomaron las acciones necesarias durante el proceso de
fabricación y se evitó una crisis.
Personal para la gestión de crisis.
Tan
importante como es reunir y analizar la información, el éxito con que
una compañía maneje los hechos dependerá en última instancia de la
calidad de su equipo de gestión de crisis. Algunas organizaciones, como
el ejército, reclutan activamente a personal que demuestra sólidas
habilidades para el liderazgo y la capacidad para manejar una crisis.
Estas
cualidades no son necesariamente requisitos para ingresar a la
industria privada en general o a la industria alimenticia en
particular. En el mundo de los negocios en general, el personal para la
gestión de crisis es seleccionado comúnmente para sus habilidades
funcionales y por el conocimiento de las materias y no por sus
cualidades o destrezas personales, lo que no permite conocer su
habilidad para reaccionar ante una situación de crisis. ¿Que
habilidades son críticas para la gestión de crisis? Según una
investigación realizada por Rhona Flin, una profesora de sicología en
la Universidad de Aberdeen en Escocia, para manejar una crisis se
necesitan habilidades de liderazgo, una personalidad estable y el poder
para tomar decisiones. El primero requiere que un gerente de gestión de
crisis inspire confianza, consiga respeto, actúe con autoridad e
imparcialidad, que se comunique bien y sea capaz de minimizar un
potencial conflicto a través de un equipo multidisciplinario. Las
características distintivas de una personalidad estable incluyen
confiabilidad, buen sentido y la habilidad de permanecer tranquilo bajo
presión. El poder para tomar decisiones es el resultado de las otras
dos y exige que los gerentes estén preparados para formular y poner en
práctica las decisiones cuando están bajo presión, que empleen un
juicio equilibrado, analítico y sólido, y sepan si usar un estilo
autoritario o consultivo para la toma de decisiones.
Las
herramientas usadas para seleccionar individuos para un equipo de
gestión de crisis incluyen los informes de evaluación y desempeño,
entrevistas, referencias profesionales, exámenes psicométricos y
ejercicios de simulación. Idealmente, todos los miembros potenciales
del equipo deben ser probados y examinados en una situación ficticia de
crisis para medir cómo reaccionarían ante una emergencia.
Pero
escoger a personas con grandes cualidades para la gestión de crisis no
es suficiente para garantizar el éxito. La capacitación es esencial. En
la mayoría de los casos, la preparación debe ser efectuada a base de
equipos porque la interacción entre los miembros del equipo es un
componente vital para la gestión de crisis. El contenido del
entrenamiento también debe incluir algún trabajo teórico, por ejemplo
sobre tipos de crisis y estructuras para la gestión, el análisis de
información y los estudios de casos, particularmente ejemplos de buenas
prácticas.
Cambiar la forma cómo una compañía enfoca la gestión
de crisis requiere un compromiso continuo de la gerencia. Pero la
alternativa es aceptar un nivel desconocido de exposición a riesgos. Y
esa es una alternativa que ninguna compañía puede aceptar.
Roger E. Nicklin es Jefe de Seguridad de Associated British Foods en Londres. Es miembro de ASIS
Las
grandes corporaciones como Motorola Asia-Pacífico (de la que soy el
director de seguridad), tienen el beneficio característico de contar
con departamentos de seguridad propios o con consultores, quienes
pueden asesorarlas sobre el rango de los riesgos de seguridad que
enfrentan. Aunque las empresas de menor tamaño pueden carecer de estos
recursos, sus empleados no necesitan estar menos seguros cuando van por
negocios a lugares desconocidos. Esto es así porque cuando se trata de
viajar, la seguridad es más una cuestión de sentido común que de dinero.
Consideremos,
por ejemplo, el caso de un profesional de seguridad de otra compañía
multinacional, que tenía la autoridad para impedir los viajes de
empleados a áreas inseguras. El recibió la llamada de una agencia de
viajes que la empresa empleaba regularmente. La agencia le pidió que
autorizase un viaje a Jakarta, Indonesia. Este había sido solicitado
por un empleado que quería visitar unos sitios de perforación de
petróleo en zonas alejadas y reunirse con funcionarios del gobierno.
Pero
el año era 1998 y Jakarta estaba en medio de desórdenes. La realidad en
el terreno era que el gobierno no realizaba reuniones, no había viajes
al interior del país y los norteamericanos y personal de otras
nacionalidades estaban siendo evacuados del área a donde el empleado
planeaba viajar. Naturalmente, el viaje no se aprobó. La historia es
casi divertida, excepto que pudo haber concluído trágicamente.
Al
empleado no le hubiese costado nada verificar simplemente el sitio Web
del Departamento de Estado de los EEUU o verificar las últimas noticias
sobre el país de destino. Si hubiera hecho esto, no habría estado tan
ansioso de hacer el viaje. Felizmente un agente de viajes estaba
suficientemente alerto para hacer una llamada telefónica. Pero la
suerte no es un compañero de viaje con quien siempre se puede contar.
Existen
varios pasos económicos que pueden dar las compañías para proteger su
seguridad. Aquí están algunos métodos que puede emplear cualquier
empresa.
Viajar por la Web
Numeroso sitios en la Web
ofrecen información de seguridad para los viajeros locales e
internacionales. Algunos cobran por ello, como lo hacen Kroll Travel
Watch, City Briefs de Control Risks Group y las encuestas de Air
Security International. Sin embargo, algunos consultores sí ofrecen
información gratis en sus sitios, incluyendo a Pinkerton Global
Intelligence Services y Air Security International.
También
existen numerosos sitios que mantienen los gobiernos. El mejor para
viajes al extranjero es la página de la Oficina de Asuntos Consulares
del Departamento de Estado de EEUU (Bureau of Consular Affairs of the
Department of State). No obstante, diversos gobiernos ofrecen
diferentes evaluaciones de la situación internacional. Así es una buena
idea revisar los sitios de consejo para viajeros preparados por
diversas naciones. El Ministerio de Relaciones Exteriores (Foreign
Office) del Reino Unido es una excelente fuente, mientras que el
Canadá, Nueva Zelandia y Australia también poseen sitios dedicados a la
seguridad para viajes que actualizan frecuentemente.
Los
gobiernos también ofrecen en la Web información sanitaria que puede
ayudar a los viajeros a adoptar medidas para evitar enfermedades. El
Centro de Control y Prevención de Enfermedades (CDC) de los EEUU posee
información sobre las enfermedades que suelen presentarse durante los
viajes, así como alertas sobre brotes de enfermedades peligrosas en
todo el mundo.Lo que quizás sea más importante aún, el sitio Web del
CDC brinda consejos para evitar esos contagios.
Los sitios Web
de noticias son otra manera rápida y económica de mantenerse al tanto
de los lugares con dificultades. Los medios conocidos, como CNN y
MSNBC, ofrecen cobertura virtualmente en tiempo real. Luego existen
pequeños sitios, como Kevin Coffey´s Corporate Travel Safety, que
presentan consejos para los viajeros, y AirSafe.com, que da una
historia general de la seguridad de las aerolíneas internacionales y
consejos para evitar las trampas, incomodidades y peligros de los
viajes aéreos.
Crear una página de viajes
Las compañías
que tienen una red y el software necesario para instalar un sitio Web,
pueden fácilmente crear una página de seguridad para viajes que sus
empleados puedan usar para conseguir información. En Motorola hemos
creado un sitio interno que es administrado por la función de control
de riesgos y evaluación de amenazas mundiales, que pertenece a Motorola
Global Security (Seguridad Mundial de Motorola). La página presenta
varios recursos de los sectores gubernamental y privado.
Estos
incluyen los avisos de Motorola Global Security, los que normalmente
reunen datos respecto a los viajes a ciertos países o regiones,
recibidos de nuestras diversas oficinas y del Departamento de Estado de
los EEUU.
La página también incluye resúmenes sobre las ciudades
más importantes del mundo. Estos proporcionan a los empleados una
manera conveniente de familiarizarse con sus lugares de destino antes
de llegar; de ese modo, no vagan por las calles mirando el mapa que
tienen en las manos (lo que equivale a pintarse el centro de un blanco
en la espalda). También existen enlaces con varios sitios de
información, como el Departamento de Estado de EEUU, oficinas de
relaciones exteriores de la Comunidad Británica, y varios sitios de
viajes comerciales.
Adicionalmente, los empleados pueden navegar
por una variedad de materiales diseñados para brindar advertencias de
seguridad producto del sentido común. Hay una relación de los miembros
del cuerpo directivo mundial de Motorola Global Security, así como sus
números de teléfono, fax y buscapersonas y sus direcciones e-mail. No
pedimos que todos lo viajeros se pongan en contacto con seguridad antes
de salir, pero sugerimos que estudien el material de la página Web y se
comuniquen con nosotros si se dirigen a zonas conflictivas.
Unirse a un grupo de seguridad
La
seguridad en Motorola se ha beneficiado enormemente de nuestra relación
con el Overseas Security Advisory Council (OSAC, Consejo Asesor sobre
Seguridad en el Extranjero) del Departamento de Estado de EEUU. El OSAC
nos proporciona información actualizada sobre tendencias en la
seguridad, condiciones en varios países y contactos de emergencia en
las embajadas de EEUU en todo el mundo. Sus representaciones están
ubicadas en distintos países, de forma que la información que ofrecen
se basa en un sólido conocimiento de lo que sucede en el lugar.
Además
de información útil, OSAC también brinda un foro en donde las empresas
pueden intercambiar información respecto a la seguridad y el delito.
Algunas
historias resultan ser rumores, pero otras se vuelven legítimas
preocupaciones. El personal diplomático americano local suele
participar activamente en los capítulos de OSAC, lo que ayuda a que
todos comprendan lo que el Departamento de Estado puede o no puede
hacer por ellos. Por otro lado, sus miembros comparten informes sobre
vendedores y proveedores de servicios, lo que les ayuda a escoger a los
mejores proveedores de seguridad.
Pueden ser miembros de los
OSAC todas las compañías americanas en cualquier lugar del mundo o
empresarios americanos que trabajan en compañías multinacionales en
otros países. Mayor información sobre ellos puede obtenerse en su sitio
Web (accesible vía www.securitymanagement.com).
Planear para las emergencias
Las
compañías que tienen empleados que viajen deben también desarrollar un
planes de crisis y estar preparadas para reaccionar con rapidez ante
los eventos. Cuando las condiciones en un país justifican una atención
especial, Motorola usa equipos de crisis que incluyen a gerentes de
negocios, personal de seguridad, representantes de recursos humanos y
otros especialistas. Estos equipos, que trabajan a nivel corporativo o
regional, preparan planes específicos para lugares de los países
considerados en las alertas del Departamento de Estado, con información
actual sobre la situación política y el delito dada por los empleados
de la representación local de Motorola.
También tienen en cuenta el potencial para desastres naturales, como terremotos e inundaciones.
Los
equipos se reunen trimestralmente para desarrollar soluciones antes de
que los problemas se conviertan realmente en desastres. Entre las
contingencias contempladas está la evacuación parcial o total empleando
transportadoras comerciales, vuelos contratados y en ciertas
circunstancias, transporte proporcionado por el gobierno. Además,
analizamos las estrategias para las reacciones que se den en el país,
de forma tal de asegurar la mayor protección para los empleados de
Motorola.
Desarrollar seminarios de seguridad
Nuestro
departamento de seguridad efectúa en forma rutinaria lo que la compañía
llama sus "Seminarios para viajes seguros" para grupos de empleados.
Estas sesiones dan una oportunidad para que los empleados compartan
historias de sus viajes, así como para intercambiar ideas sobre la
seguridad personal.
Algunas historias pueden ser divertidas,
alguna serias, pero este intercambio ayuda a que todos se den cuenta de
que los peligros en un viaje son reales y no solamente leyendas
urbanas. Cuando alguien explica que le costó una semana conseguir un
pasaporte de reemplazo porque no llevó una copia del original y que su
esposa estaba fuera de la ciudad y que su secretaria estaba de
vacaciones cuando lo perdió, eso hace que el grupo aprecie
verdaderamente nuestro consejo de "lleve consigo copias de todos sus
documentos ".
Entre los consejos que se deben ser enseñar en los seminarios figuran los siguientes:
Conservar los documentos.
A
los empleados que viajan se les debe enseñar a conservar copias de los
documentos importantes, así como listas de números telefónicos claves.
Motorola recomienda a sus empleados que incluyan en sus listas el
número de la embajada de los EEUU en su lugar de destino, así como
contactos locales de negocios y los números del personal de seguridad
regional.
Adicionalmente, el viajero debe llevar varias copias de su pasaporte en caso de que el original se rompa o se pierda.
Tener en cuenta la apariencia.
Un
empleado de una empresa multinacional caminaba por las calles de Manila
recientemente cuando otro extranjero le hizo notar que estaba usando el
logotipo de su compañía en la parte delantera de su camisa. Este tipo
de vestimenta es una invitación a los potenciales secuestradores.
Es
mejor si el personal que viaje viste en forma casual y evita el uso de
joyas finas. Los criminales frecuentemente escogen a sus víctimas
debido a su apariencia personal y riqueza aparente. Por eso, al
personal se le debe entrenar, por ejemplo, en no llamar la atención
usando un Rolex. Y a los viajeros se les debe recordar que también es
peligroso usar joyas de fantasía. Aun si son falsas, el ladrón no lo
sabrá hasta después de cometer el delito.
No ser vulnerable.
Es
frecuente que los delincuentes elijan como víctimas a los viajeros que
muestran una obvia incapacidad de resistir a un asalto físico, como los
incapacitados o los ancianos o aquellos con los brazos llenos de
equipaje. Para su protección, los vulnerables deben viajar en grupo.
Darse tiempo.
Siempre
haga temprano su control en el aeropuerto y cuide su equipaje. Marque
bien sus maletas pero sin usar identificación de la empresa.
Coordinar el transporte.
Los
viajeros de negocios siempre deben usar vehículos previamente
coordinados para viajar del aeropuerto al hotel. Los empleados nunca
deben tomar taxis "gitanos" porque podrían estar aliados con ladrones
(por lo menos tres extranjeros han sido asesinados en Jakarta con esta
estratagema). También es prudente negociar la tarifa antes de subir al
carro o taxi. Me gusta referir la historia de un amigo mío que estaba
en un lugar turístico cuando un empresario local le pidió que subiese a
un camello para tomarle una fotografía. Le aseguraron que no debía
pagar por subirse al animal o por tomarse la foto. Después de que se la
tomaron y quería desmontar, le dijeron que costaba cien dólares bajarse
del camello.
Registrarse con el servicio.
Los viajeros
deben siempre emplear el servicio de botones para llevar el equipaje a
la habitación, luego de registrarse en el hotel. Esto lo protegerá
contra una emboscada de ladrones esperando en una habitación vacía.
También deben siempre reservar una habitación que esté entre el tercer
y el séptimo piso del hotel, para que los ladrones escaladores de
paredes no puedan alcanzar la habitación, pero sí las escaleras de los
bomberos. Otro consejo para los viajeros es hacer que sus habitaciones
parezcan ocupadas, colgando los letreros de “No molestar” (“Do not
disturb”) en las puertas, cuando salen y dejando la TV y luces
encendidas. También es mejor no dejar la llave en el mostrador de
recepción cuando salen.
Tomar preocupaciones para la salud.
A
los empleados se les debe aconsejar que antes de viajar tengan todas
las vacunas sugeridas. Se debe recordar que más viajeros sufren daño
por los mosquitos que por los estragos combinados de todos los otros
animales. Estadísticamente son más peligrosos que los leones, tigres,
osos y cocodrilos juntos. Los viajeros también pueden usar repelentes
de insectos cuando están afuera, para evitar los peligros de las
enfermedades transmitidas a través de insectos.
También deben
saber evitar los alimentos no cocidos y las verduras sin pelar. También
se debe evitar el agua corriente a menos que haya sido purificada. Los
viajeros deben asegurarse que las tapas selladas de las botellas de
agua estén intactas. Uno de mis colegas de seguridad refería como las
botellas de agua mineral en su habitación del hotel de Moscú tenían sus
tapas enroscadas en vez de estar selladas. Bien se podría sospechar que
el agua no provenía de la “fuente artesiana” como lo decía la etiqueta.
En
una época de globalización, las empresas enfrentan muchas
incertidumbres. Pero una cosa cierta es que algunos empleados tendrán
que viajar. Las empresas precavidas los prepararán para lo que les
aguarde en adelante. Ese es un trabajo para el que los profesionales de
seguridad están capacitados y que pueden proveer de una manera
beneficiosa. Como lo ilustran estos consejos, proteger el cuerpo y el
alma no tiene que costar un brazo y una pierna.
Charles
Chamberlin, M.A., es director de seguridad para la Región Asia Pacífico
de Motorola, con base en Hong Kong. Chamberlin tiene casi treinta años
de experiencia en organizaciones policiales y de seguridad privada.
Actualmente brinda sus servicios en el Comité Permanente de Seguridad
de Telecomunicaciones de ASIS. (@ Todas las páginas Web a las que se
hacen referencia en este artículo, están disponibles vía
www.securitymanagement.com. Sólo vaya a la página principal, presione
sobre “Beyond Print” y vaya a la sección sobre enlaces de Travel
Security).
TENDENCIAS EN LA SEGURIDAD DE VIAJES
El
secuestro de viajeros corporativos parece ser un negocio que va en
aumento. Kroll Associates, una firma conocida de seguridad, ha
trabajado en media docena de casos de secuestro en el primer semestre
de este año, dice el director general William Daley. “Hace un par de
años, habría sido media docena en todo el año”, agregó Daley.
Para
empeorar las cosas, se mantienen cautivas a las víctimas por mayores
períodos. Incluso si el rescate es pagado, algunos secuestradores
conservan a sus víctimas a cambio de un rescate adicional. “Están
tomando esto como una pequeña industria”, dice Daley, quien trabaja en
la oficina de Kroll en la ciudad de Nueva York.
El secuestro
sólo es uno de un creciente conjunto de amenazas a las que tienen que
hacer frente los viajeros de una corporación. Los expertos señalan
varias tendencias que los directores de seguridad tendrán que enfrentar
en los años venideros.
Por ejemplo, algunos analistas habían
confiado que el espectro de los secuestros de aviones se fuera
desvaneciendo. “Yo habría dicho que era una forma de actuar que estaba
extinguiéndose”, dice Andreas Carleton-Smith, director de operaciones
en Norte América del Central Risk Group de McLean, Virginia.
Sin
embargo, el secuestro de una aeronave de la India hacia Afganistán el
año pasado y de una aeronave colombiana a manos de rebeldes
izquierdistas, muestran que la piratería aérea sigue siendo una
amenaza, por lo menos en el Sur de Asia y en América del Sur.
En
el terreno, la creciente marea de violencia étnica a través del mundo
ahora inunda regiones una vez consideradas tranquilas. Particularmente,
el suavizante Pacífico Sur se ha vuelto un paraíso perdido. Un golpe de
estado en Fiji y sangrientos combates armados en las Islas Salomón este
año, muestran que la región esta experimentando un renacimiento étnico,
dice Kent Brown, director gerente de Pinkerton Global lntelligence
Services, en Arlington, Virginia. Aunque los hombres de negocios del
extranjero hasta ahora no han sido los blancos, los conflictos
demuestran que los viajeros deben tener siempre presente la seguridad,
incluso cuando viajan por áreas que normalmente son tranquilas.
La
fragmentaciónétnica ha sido igualada por una inquietante fragmentación
del delito en paísescomo Colombia y Filipinas. Por ejemplo, en
Colombia, los secuestros cometidospor los rebeldes de izquierda han
sido aumentados por raptos efectuados por unavariedad de pandillas de
secuestradores, que incluyen a antiguos policías ysoldados. “Hace cinco
o seis años, usted sólo tenía que tratar con ungrupo”, dice Daniel
Daly, presidente de Global Security Consultants, una firmadedicada a la
seguridad de ejecutivos, con base en la ciudad de Nueva York.“Usted
sabía con quien tenía que hablar. Ahora tiene que tratar con
muchosgrupos”.
Además de las preocupaciones sobre la seguridad
personal, los ejecutivos que viajan también deben estar informados de
lanecesidad de proteger la información propia de la corporación. Las
compañíasestán descubriendo que las computadoras portátiles que son
robadas en losaeropuertos u hoteles ya no son casos de simple robo.
Contrariamente, sonrobadas únicamente por la información de negocios
que contiene su hardware, diceDaly, de Kroll.
Para combatir a
estas nuevas amenazas, los encargados de la seguridad corporativa están
desarrollando mejores políticas de seguridadpara viajes. Por ejemplo,
más departamentos de seguridad corporativa trabajancon las oficinas de
viajes de la organización para formular "políticascorporativas seguras
para viajes", dice Brett Laquercia, director de desarrollode negocios
para servicios de seguridad en Kroll Associates. Estas
políticasestablecen que los empleados que vayan a viajar hacia áreas de
alto riesgo,deben primero conseguir la autorización del personal de
seguridad. Kroll también está recibiendo más pedidos para revisar,
desde el punto de vista de seguridad, el itinerario de los viajes que
las corporaciones ofrecen comoincentivos.
Los directores de
seguridad están encontrando que laInternet es un gran aliado para
recibir y divulgar información de seguridad(como se nota en el artículo
adjunto). La Web permite que los empleadosestudien en línea el material
de seguridad sobre su punto de destino, liberandoal personal de
seguridad de efectuar charlas personales que consumen tiempo.La
Internet también facilita que las compañías tengan acceso a bases de
datos enlínea, que muestran el record de seguridad de aerolíneas
extranjeras ydomésticas, permitiendo de este modo que los empleados
eviten compañías aéreaspeligrosas, dice Charlie LeBlanc, director
general de Air SecurityInternational, una firma de seguridad de
aviación que tiene sus oficinas enHouston, Texas.
Respecto a la
seguridad personal, Laquercia afirmaque cada vez más los empleados usan
el transporte aéreo para sus viajes dentrode un país, en lugar de
arriesgar viajes en carro o autobús en países comoMéxico y Colombia.
Además, más empresas contratan a conductores entrenados enseguridad
para recoger a empleados del aeropuerto. Tales servicios
cuestantípicamente de $1,000 a $2,000 por día, según Laquercia.
"Mientras
la vida corre, el camino se hace más extraño" escribió el poeta y
diplomático James Russell Lowell en 1,889. Más deun siglo después,
muchos viajeros de negocios agregarían “peligroso” a esa descripción,
pero las empresas están resueltas a aventurarse por estas sendasmenos
utilizadas en busca de nuevos mercados, y la seguridad debe ayudar a
quelos empleados viajen por ellas en forma segura sin importar cuan
largo y extraño el viaje.
Quizás
no sea sorprendente que la palabra “travel” (viaje) derive de la misma
raíz que la palabra “travail”, que originalmente significaba un viaje
penoso. Un viaje puede convertirse rápidamente en un “travail”
(penalidad) para un viajero de negocios no preparado. Las estrategias
de seguridad corporativa que están diseñadas para proteger al personal
que viaja pueden tomar muchas formas. Pero son cuatro los factores
críticos. Primero, seguridad debe conseguir la cooperación de las otras
funciones corporativas. Segundo, seguridad debe reconocer que pueden
surgir riesgos atípicos cuando un viaje al extranjero involucre a
grupos de personal en vez de ejecutivos individuales. Tercero,
seguridad debe prepararse para cualquier incidente que involucre a la
familia de un ejecutivo que podría estar sincronizada para coincidir
con su ausencia. Cuarto, la corporación debe desarrollar un plan de
respuesta para ayudar a los empleados que tengan problemas cuando
viajen.
Cooperación.
Para desarrollar un programa de
seguridad de viajes exitoso, el departamento de seguridad debe
conseguir la ayuda de otros departamentos dentro de la corporación. Los
socios más importantes en esta tarea son el personal de recursos
humanos y el departamento de mercadeo.
Recursos humanos. Aunque
los mejores consejos disponibles se pueden dar a los viajeros durante
las reuniones de información previas al viaje o por correo electrónico
conforme se va acercando su fecha de partida, el viajero típico de
negocios sólo puede evitar problemas desarrollando un sentido propio de
conciencia sobre los peligros que existen y recordando la mejor manera
de evitar estos peligros.
Al igual que en cualquier otra
estrategia de seguridad corporativa, los empleados deben tener una
actitud positiva hacia el concepto y estar de acuerdo con sus metas y
objetivos. En donde se requiera que el personal contribuya
verdaderamente a la aplicación y mantenimiento de la estrategia--por
ejemplo, llevar a cabo un procedimiento, evitar ciertas formas de
comportamiento, o hasta simplemente mostrar un elevado sentido de toma
de conciencia--una aplicación exitosa depende aún más de su completa
cooperación.
Involucrar al departamento de recursos humanos a
lo largo de este proceso puede contribuir considerablemente al éxito de
la estrategia.
Por ejemplo, como el personal de recursos humanos
muchas veces es responsable del entrenamiento y desarrollo, ellos
pueden asegurar que el tema de seguridad de viajes sea tocado con
frecuencia y que las sesiones de orientación se presenten de la manera
más interesante e informativa.
El departamento de recursos
humanos también mantiene la información personal de los empleados en
relación con sus otras funciones. Puede, por tanto, ayudar al personal
de seguridad al ser la fuente de esa información personal cuando sea
necesario. Por ejemplo, RH puede asegurar que los detalles sobre los
familiares estén disponibles para el departamento de seguridad las 24
horas del día por si ocurriera algún incidente de seguridad mientras un
ejecutivo esté de viaje.
Mercadeo. Otra función corporativa que
puede contribuir a los planes de seguridad de viajes es el departamento
de mercadeo. Como puede ser difícil vender seguridad a los trabajadores
en general de la corporación, el departamento de mercadeo puede ayudar
a seguridad a lanzar el mensaje y evaluar si el mensaje ha sido
recibido.
Por ejemplo, el conocimiento especializado de
comercialización puede ayudar a desarrollar campañas de toma de
conciencia y encuestas para medir la utilidad de un programa de
seguridad específico desde la perspectiva del empleado. Este enfoque
fue utilizado por el departamento de seguridad en una compañía
multinacional con la que trabajó el autor. La compañía pidió que la
compañía del autor concibiese un programa progresivo de conciencia de
seguridad para su personal. El departamento de mercadeo del cliente fue
incluido para ayudar en la creación de una nueva iniciativa de mercadeo
de seguridad cada tres meses. Los resultados de esta operación conjunta
fueron impresionantes.
La información difundida a través de la
iniciativa, que incluía seguridad en los viajes así como otros temas de
seguridad como seguridad física y protección de datos privados, no
cambiaba drásticamente cada trimestre. Sin embargo, el departamento de
mercadeo se aseguró de que las modalidades y los vehículos utilizados
variasen bastante. Por ejemplo, una modalidad consistía en formar
grupos de discusión de empleados sobre temas de seguridad tales como
las percepciones comunes de la seguridad versus la realidad de la
seguridad.
Otras modalidades incluían el entrenamiento
tradicional en el salón de clases y las sesiones de desempeño de
funciones. Por ejemplo, en un ejercicio se entrenó a los empleados cómo
actuar cuando son abordados por desconocidos en escenarios sociales,
como por ejemplo un bar. En esta situación, el empleado en
entrenamiento bebe alcohol verdadero con sus colegas mientras un
entrenador intenta extraerle información sensible de la corporación.
Mercadeo
también ayudó a concebir concursos de concientización de seguridad y
verificaciones por grupos de compañeros sobre asuntos como políticas de
escritorios limpios y accesos no autorizados aprovechando los ingresos
de los empleados. Además, el departamento de mercadeo pudo ayudar a
desarrollar un entrenamiento dirigido a la toma de conciencia de
seguridad utilizando las sesiones de lanzamiento de un nuevo producto
como catalizador para las discusiones sobre la protección de
información referida a productos en desarrollo.
Al final de cada
trimestre se efectuaron encuestas sobre la comprensión de la seguridad
por parte de los empleados. Los resultados revelaron que el personal
estaba tomando más conciencia. Aumentaron los niveles de reporte de
comportamiento sospechoso y disminuyeron los niveles de delitos menores
que afectaban las pertenencias personales de los empleados, como
sucedió con los incidentes adversos que involucraban a personal de la
compañía en viajes de negocios.
Protección de grupos.
Cuando
se requiere que un grupo de empleados de la empresa viaje al
extranjero, en lugar de ejecutivos individuales, se pueden reducir
ciertas clases de riesgos, como los asaltos y violaciones. Sin embargo,
el riesgo de otros delitos, como robos, hurto de computadoras
portátiles y robo de información de propiedad de la empresa, podría
aumentar cuando los empleados viajan juntos. Por tanto, los viajes en
grupo requieren estrategias diferentes. Una manera de reducir estos
riesgos es contratar o asignar a un asesor de seguridad para que viaje
con el equipo.
Uno de los riesgos más comunes relacionados con
los viajes en grupo es el robo de información propia de la empresa,
sobre todo en casos donde un gran número de empleados de una
organización están concurriendo al mismo evento. En una misión reciente
emprendida por la empresa del autor, una compañía envió 60 empleados a
una exposición en una ciudad del oeste de Europa. El cliente admitía
que el viaje daba muchas oportunidades para que los competidores y los
corredores de información robasen información de la empresa.
La
compañía estaba en un campo en donde era probable el espionaje
industrial,.y la experiencia previa con la compañía sugería que
simplemente efectuar una reunión de información antes del viaje no era
probable que los preparase para los sutiles métodos de ingeniería
social de recopilación de información que podrían encontrarse. Como
consecuencia, la compañía decidió enviar a dos consultores de seguridad
experimentados como asesores en el terreno.
Esta táctica dio a
los empleados una oportunidad para analizar sus preocupaciones y
recibir consejos inmediatos sobre el manejo de las situaciones conforme
se presentasen. Era frecuente que se les pidiese a los asesores que
verificasen que los acercamientos de clientes potenciales fuesen
verdaderamente de corporaciones legítimas y no de entidades ficticias
inventadas para obtener acceso a información sensible.
En otro
caso, el equipo administrativo de alto nivel de una corporación NASDAQ
basada en Europa viajó a Nueva York para anunciar los resultados
trimestrales de la corporación. Los resultados mostraron ser
considerablemente más positivos que lo había sido predicho, lo que
aumentó la atención de los medios de prensa hacia el gerente general y
gerente financiero principal. La corporación quería maximizar la
publicidad positiva que había conseguido y los pedidos de varios
elementos de los medios para conseguir entrevistas provocaron que los
itinerarios del equipo administrativo de alto nivel fuesen cambiados
casi a cada hora.
Para asegurar que cualquier riesgo relacionado
con esos cambios pudiera ser identificado y mitigado y para asegurar
que los planes de respuesta fueron mantenidos al día, se envió un
asesor de seguridad. Consecuentemente, el equipo administrativo de alto
nivel pudo realizar las entrevistas consideradas como las de mayor
beneficio sin estar sujeto a los incrementados riesgos que se asocian a
un horario en un permanente estado de flujo.
Debido a que el
asesor de seguridad estaba cerca, por ejemplo, pudo dar instrucciones a
los conductores de vehículos para asegurar que no se perdiesen o
tomasen atajos a través de áreas de alta criminalidad. De igual manera,
los ejecutivos no estuvieron tentados a caminar las tres cuadras desde
un lugar de entrevistas a otro sin considerar primero si esas tres
cuadras podrían pasar por un vecindario peligroso. El asesor también
estuvo allí para mitigar otros riesgos que se presentaron, como cuando
los ejecutivos llegaron a cansarse; el asesor se aseguró de que no
bajasen la guardia o que no dejasen información sensible en un sitio
mientras se apresuraban por llegar a otro.
Asuntos familiares.
Los
gerentes de seguridad deben considerar los posibles riesgos contra la
familia de un ejecutivo de alto nivel que surgen cuando éste o ésta se
encuentra fuera en un viaje de negocios. Por tanto, para desarrollar un
exitoso plan de seguridad de viajes, la seguridad corporativa debe
proporcionar una seguridad incrementada para proteger a las esposas,
parejas o hijos de un ejecutivo que pudieran atraer la atención de
criminales o terroristas mientras el ejecutivo(a) se encuentra de viaje.
Desde
la perspectiva de un criminal, un secuestro u otra amenaza de extorsión
contra algún miembro de la familia de un ejecutivo podría ser mucho más
efectivo si ocurriese cuando el ejecutivo se encuentra geográficamente
separado de su familia, del equipo de administración de incidentes de
la compañía, y de la policía que investiga el incidente. Esta
separación podría originar que el ejecutivo ceda rápidamente a las
demandas de los secuestradores y omita los procedimientos establecidos
en la compañía para responder ante una crisis.
Los efectos
prácticos de esta situación quizás se demuestran mejor haciendo
referencia a cierta clase de incidente conocido en Europa Occidental
como “secuestro del tigre”, como “rapisecuestro” en Guatemala o como
“secuestro al paso”en el Perú. Estos términos describen una forma de
actividad criminal en donde una persona es retenida por un corto
periodo de tiempo, con frecuencia sólo unas cuantas horas, para así
obligar a otra persona a que cumpla las demandas del criminal. Las
demandas pueden incluir el pago de un rescate o el acceso a alguna
instalación donde se guarde dinero en efectivo u otros bienes
deseables.
Incluso cuando los empleados están en un viaje de
negocios podría ser aún aplicable su capacidad de ceder a tales
demandas porque simplemente dar a conocer información como números de
identificación personal, palabras en código o información acerca de
ciertos procedimientos podría facilitar el robo de una gran cantidad de
dinero en efectivo o de bienes por parte de los criminales.
En
estos casos, el departamento de seguridad debe mantener abiertas las
líneas de comunicación de forma que el ejecutivo sea informado de las
demandas del rescate, de que las preguntas que prueban que la persona
está viva han sido satisfechas, y de otros detalles del incidente. Los
buenos procedimientos de comunicación pueden darle al ejecutivo la
confianza de que la situación se está manejando apropiadamente.
Asimismo,
cuando las demandas sean hechas directamente al ejecutivo, él o ella
debe saber que los planes de la corporación incluyan específicamente
esas situaciones y que no se espera que el ejecutivo se encargue del
asunto por su cuenta.
Respuesta.
A pesar de los mejores
esfuerzos de los profesionales de seguridad y de los mismos viajeros,
algunos empleados enfrentarán algún tipo de actividad criminal. En
consecuencia, un programa de acción es crucial para asegurar que el
personal siga recibiendo alguna forma de protección en caso de que
ocurriera algún incidente adverso.
Es frecuente el caso en que
el personal detecta una actividad sospechosa, pero como no está
inmediatamente seguido por un incidente real, el empleado no hace un
informe. La compañía debe hacer a sus empleados saber lo importante que
es reportar cualquier tipo de actividad sospechosa, y el departamento
de seguridad debe establecer un mecanismo para que el personal informe
dicha actividad y reciba un asesoramiento inmediato.
Responder
de esta manera a las primeras señales de alarma puede prevenir un
incidente. Tomemos el caso de los empleados de un banco que detectan
cierta actividad sospechosa durante varios días, antes y durante las
entregas de dinero en efectivo a cargo de una empresa de carros
blindados. Estos empleados están típicamente entrenados para informar
esta actividad, hablar con la policía local, pedir que se aumente la
presencia policial y cambiar las horas en las que se presente la
compañía de carros blindados. El plan en general es frustrar cualquier
actividad que esté planeada por los criminales.
La misma
estrategia ha sido usada de manera efectiva en el contexto de seguridad
de viajes. Por ejemplo, en un caso, una ejecutiva estaba asistiendo a
una serie de reuniones en una ciudad en el extranjero. Durante sus
viajes alrededor de esta ciudad, la ejecutiva divisó a los mismos dos
hombres varias veces. La ejecutiva empezó a preocuparse de que los
hombres la estuvieran siguiendo. Consciente de que su empleador tenía
un considerable perfil internacional y que en el pasado habían ocurrido
incidentes adversos involucrando al personal de la organización,
inmediatamente llamó por teléfono al número que le fue proporcionado
por seguridad corporativa. La ejecutiva describió lo que había visto y
dio una idea de sus preocupaciones. El asesor de seguridad utilizó los
contactos existentes para comunicarse con la estación de policía más
cercana a la ubicación de la ejecutiva e hizo los arreglos para que un
oficial de la policía hiciese contacto con la empleada.
El
asesor de seguridad también hizo contacto con el jefe de seguridad del
hotel de la empleada y solicitó apoyo para que la trasladasen a otro
hotel revisado y autorizado por la seguridad corporativa. La respuesta
policial facilitó el arresto de los dos hombres–ambos miembros de una
banda criminal organizada que en los últimos meses había estado
buscando blancos entre extranjeros para secuestrarlos.
En otro
ejemplo, un ejecutivo decidió salir a caminar luego de haber cenado
mientras se encontraba de viaje de negocios en el extranjero. Luego de
unos 30 minutos, se percató de que ya no reconocía el ambiente y no
estaba seguro de cómo regresar a su hotel.
Además, se dio
cuenta que los alrededores cada vez se volvían menos y menos
recomendables. Se fijó que había más paredes con inscripciones, más
vehículos abandonados y más ventanas rotas. Había muy poca gente en la
calle y no se sentía confiado para pedir ayuda a ninguno de ellos.
El
ejecutivo utilizó su teléfono celular para llamar al número
proporcionado por su empleador y explicó su situación. El asesor de
seguridad pudo determinar su ubicación exacta comparando los nombres de
las calles que el ejecutivo había visto con los de un mapa detallado de
la ciudad. El asesor dirigió al ejecutivo a una estación de policía que
estaba ubicada a menos de 400 metros. Cuando llegó allí, el ejecutivo
pudo llamar a un taxi y fue llevado en forma segura a su hotel.
Para
que este tipo de programa de respuesta sea efectivo, el departamento de
seguridad debe estar bien preparado. Así como saber que ciertos
empleados en particular se encuentran en el extranjero en un momento
dado y que se puede esperar algún contacto de parte de ellos, seguridad
también debe tener acceso inmediato a cualquier información detallada
sobre la ciudad o país que se está visitando. Esto normalmente
significa tener más que el tipo de información que está disponible en
los boletines de asesoría de viajes.
El personal de seguridad
debe estar preparado para proporcionar alternativas de alojamiento,
transporte, servicios bancarios y otros servicios a los empleados que
estén de viaje. El personal de seguridad también debe tener al alcance
información relativamente detallada sobre refugios seguros, junto con
una serie de contactos confiables en diversas agencias oficiales, como
son la policía, aduana e inmigración.
Para tener éxito, este
programa debe recurrir a las habilidades de un asesor de seguridad
experimentado que esté familiarizado con la organización a la que
pertenece el ejecutivo, con sus actividades de trabajo y con el país o
región que está siendo visitado. De manera similar, la oficina a donde
se informa debe estar disponible las 24 horas del día ya que una
emergencia puede ocurrir en cualquier momento. Si el departamento de
seguridad no cuenta con suficiente personal para asegurar una cobertura
continua, la compañía puede obtener dichos servicios mediante acuerdos
contratados. Sin embargo, la seguridad corporativa debe ser cautelosa.
Únicamente personal experimentado debe proporcionar el servicio de
respuesta.
Una exitosa estrategia de seguridad para los viajes
implica más que enviar a los ejecutivos por correo electrónico los
últimos boletines de viajes del gobierno antes de que salgan de viaje.
Pero con el planeamiento y procedimiento adecuados, el departamento de
seguridad puede ayudar a asegurar que los empleados eviten las
“travails” (penalidades) de viajar.
Brian Cremin es director
gerente del Crime Management Group (CMG, Grupo de Gestión de Crímenes),
cuya oficina central se encuentra en Dublín, Irlanda. CMG es una
consultora administrativa internacional especializada en el crimen
organizado y en riesgos terroristas. La compañía, a través de su
compañía subsidiaria, 365assist, también proporciona servicios de
asesoría de seguridad durante crisis, a pedido. El es un miembro de
ASIS.
Preocupaciones en los viajes de negocios en America Latina
April 27 2004, 3:09 PM
Preocupaciones en los viajes de negocios en America Latina
por John A. Briley
Un
ejecutivo estaba viajando del aeropuerto de Bogotá, Colombia, por una
avenida principal cuando de improviso un taxi le cerró el paso a su
carro y dió un frenazo, obligándolo a detenerse. Una camioneta apareció
inmediatamente detrás del auto del ejecutivo, y cinco hombres, todos
con uniforme de policía y luciendo armas, saltaron y rodearon el
vehículo. Exigieron al conductor que abriese las puertas.
Afortunadamente
para el ejecutivo, su compañía había tomado las precauciones
apropiadas. Estaba siendo transportado por un conductor entrenado en
seguridad en un vehículo blindado de nivel tres (el cual es capaz de
resistir el fuego de una Magnum 44 o Uzi 9 mm. hasta ciertas
velocidades). El conductor se negó a la exigencia de los pistoleros de
abrir las puertas, y rápidamente llamó por radio a su base. Aunque uno
de los bandidos trató de romper las ventanas del auto con la culata de
su rifle, no pudo romper el vidrio reforzado. Al advertir la llamada
por radio, los asaltantes se pusieron nerviosos y huyeron.
Este
incidente de la vida real, ilustra vívidamente los riesgos de hacer
negocios en algunas ciudades latinoamericanas con una alta tasa de
criminalidad, como Bogotá, la Ciudad de México, Sao Paulo (el Brasil),
y Caracas (Venezuela). Las compañías que necesitan operar en o enviar
empleados a estos lugares de alto riesgo enfrentan desafíos especiales
que van más allá de las presiones competitivas normales de los negocios
a nivel mundial.
Las empresas deben cerciorarse de que sus
empleados conozcan las amenazas específicas que hay en sus puntos de
destino y que estén preparados para abordarlas. Los expertos concuerdan
en que es esencial una preparación antelada para aquellos que viajen a
una ciudad peligrosa. Respecto al nivel de medidas de protección que
pudieran ser las óptimas, las recomendaciones varían.
Que los
empleados que viajan a o trabajan temporalmente en un local de alto
riesgo puedan mantener cierta apariencia de una vida normal, puede
depender en parte del tipo de trabajo que efectúa el empleado.
Cualquiera que transporte joyas, grandes sumas de dinero en efectivo, o
cualquier otra cosa de alto valor “debe tener un guardaespaldas, un
conductor de confianza, e, idealmente un carro de seguimiento con
contacto radial”, dice Greg Rodriguez, un consultor internacional de
seguridad que trabaja en México, y ex oficial federal de EEUU para la
aplicación de la ley.
Los viajeros más típicos deben saber en
todo momento por lo menos dónde están y a dónde van, y no deben dejar
su conciencia de seguridad ni siquiera por un momento, dice Rodriguez.
“Por supuesto que usted no se va a encerrar en la habitación de su
hotel en la Ciudad de México durante una semana. Pero sería mejor que
supiera qué se enfrenta” en términos de amenazas, dice. Salir de noche
en la Ciudad de México está bien, agrega, pero nunca salga solo y
siempre use un conductor confiable (la mayoría de los hoteles de alta
categoría brindan servicios seguros de conductores). Katrin Forster,
funcionaria jefa de finanzas de FTAA Consulting, un consultorio de
negocios latinoamericanos, coincide en que a pesar de la necesidad de
ser precavido, las actividades normales se pueden continuar si uno
posee el conocimiento específico y actualizado de las áreas que son
seguras. Por ejemplo, Forster observa que los viajeros de negocios en
busca de una vida nocturna animada y de hacer compras en Bogotá “deben
limitarse a las áreas de moda alrededor de las carreras 82 y 83”.
Forster
también dice que los viajeros pueden tomar en forma segura los taxis
del aeropuerto, siempre y cuando se pidan los taxis directamente de una
caseta oficial de taxis dentro del terminal. Sin embargo, otros
directores de seguridad están en desacuerdo, recomendando contra del
uso de cualquier transporte público en tales locales.
Forster,
quien ha vivido en Bogotá por 25 años, advierte que los viajeros
solitarios, especialmente mujeres, deben “vigilar siempre sus bebidas
porque ha habido casos de personas a quienes se les ha dado a
escondidas la droga escopolamina”, la cual básicamente hace que la
gente pierda el conocimiento. Y aconseja en contra de salir después de
las 5 p.m. en el centro de Bogotá. “Solía haber bares seguros en la 5a.
(carrera 5), pero muchas personas fueron secuestradas”, explica.
Rodriguez
también advierte los riesgos especiales contra las mujeres en México.
Las estadísticas criminales muestran que las mujeres son elegidas con
más frecuencia como blancos de secuestros en ese país, bajo la teoría
que sus esposos o hermanos (léase: el varón que es sostén de la
familia), pueden encontrar rápidamente la forma de pagar los rescates.
Además, dice, el delito común es un problema.“Muchas mujeres estacionan
frente a una tienda y empiezan a buscar sus chequeras en sus carteras.
Eso no es inteligente. Eso la convierte a usted en blanco instantáneo
del delito”, dice.
Muchos profesionales de la seguridad
aconsejan tener niveles aún mayores de seguridad como norma. Un
director de seguridad que pidió mantener el anonimato, opina que en
Bogotá todo restaurante, edificio de oficinas, club privado, u otro
establecimiento que visitan los viajeros de su compañía, debe tener una
fuerza de seguridad armada en el local.
Este profesional de la
seguridad, que trabaja para una corporación multinacional, también
advierte a los empleados contra el uso informal de taxis de la calle
para desplazarse por la ciudad. “Todo viaje de negocios implica el uso
constante de un asociado de negocios de confianza o un conductor
profesional de seguridad para moverse de cita en cita”, dice.
Otra
preocupación es que el grupo guerrillero Fuerzas Armadas
Revolucionarias de Colombia (FARC) ha penetrado casi todos los aspectos
del poder en Bogotá, incluyendo las fuerzas de seguridad y los bancos,
y fácilmente puede enterarse de los nombres y perfiles de víctimas
potenciales, sus organizaciones, itinerarios (de negocios y sociales),
arreglos de alojamiento, y actividades en sus tiempo libre. Por lo
tanto, recomienda “una cierta cantidad de reserva respecto a las
reuniones –-quiénes asistirán y el local”. Asimismo, advierte que el
uso habitual de tarjetas de visita casi ha desaparecido en Bogotá
debido a que las bandas criminales usan las tarjetas como una fuente de
inteligencia para identificar y seguir a las potenciales víctimas de un
secuestro.
A veces la mejor estrategia es no enviar viajeros de
negocios a las ciudades de mayor riesgo. Si el trabajo se tiene que
hacer allí, la compañía puede emplear a profesionales locales y puede
realizar las reuniones en lugares más seguros. Ana María Uribe, una
abogada del estudio jurídico Prieto & Carrizosa en Bogotá, dice,
“Nuestros clientes de otros países ya no vienen aquí”, debido a la
situación de seguridad. “Solíamos tener muchos clientes que venían acá
para cerrar negocios y hacer tratos, pero ahora tenemos que ir a otros
lugares, como Miami, para llevar a cabo el negocio”.
Si bien
puede variar la opinión respecto a proporcionar protección en Bogotá y
otras ciudades, el consenso sobre la zona rural de Colombia es más
rotundo: los rebeldes dominan el campo; no viaje allí sin la protección
del más alto nivel de que pueda disponer.
Cuando la compañía
canadiense de gestión de construcción y de ingeniería Hatch entró en
una operación minera conjunta con Bechtel (un homólogo americano) en
Cerro Matoso, Colombia, el primer paso que dió Hatch fue retener a un
asesor sobre seguridad mundial que se especializaba en lugares con
altos niveles de amenaza. “Se aseguraron que todo empleado de Hatch
(que fuese a Cerro Matoso) lo hiciese con un guardaespaldas y con un
conductor”, dice Tom Reid, director mundial de comunicaciones de Hatch.
Hatch
asignó un empleado a tiempo completo para mantenerse en contacto
constante con el personal en Colombia y actuar como un enlace con los
familiares de esos empleados.Esto se hizo porque “es difícil asegurarse
una línea telefónica segura en Colombia, así que es mejor efectuar esas
comunicaciones en dos pasos”, explica Reid. El hombre de enlace pudo
mantener informados a los familiares de los empleados sobre las fechas
específicas de viaje y otros detalles clave. Gracias a estas medidas,
la compañía no experimentó ningunos intentos de violaciones de la
seguridad a lo largo de la operación 1998-2001, informa Reid.
A
veces los delitos específicos o las maneras de llevar a cabo un delito
se vuelven populares entre los criminales en ciertos lugares. Por
ejemplo, en Sao Paulo, en mayor medida que en otras ciudades, las
intersecciones son un punto favorito de espera para los ladrones,
asaltantes armados, y secuestradores de autos (esto es especialmente
cierto en las intersecciones con densa congestión de tráfico). Los
asaltantes armados frecuentemente trabajan en equipo, disfrazados como
mendigos o vendedores que seleccionan como blancos a ocupantes
distraídos y desprevenidos.
“Estos tipos se acercan fingiendo
que están pidiendo limosna o vendiendo flores o goma de mascar.Después
extraen una .38 de la camisa. Los otros conductores ni siquiera se
enterarán”, dice Robert Creswell, CPP, presidente del consultorio
Creswelll y Asociados con sede en Sao Paulo. Su consejo:Mantenga sus
puertas con seguro y las ventanas levantadas cuando esté detenido o
moviéndose lentamente.
En contraste, Bogotá y la Ciudad de
México tienen un alto índice de secuestros a cambio de rescate. Aunque
se ha tenido estos delitos por varios años, la capital mexicana
ultimamente ha visto índices que se disparan de “secuestros expresos” y
“rapisecuestros” en los cajeros automáticos. Los secuestros expresos
hacen blanco principalmente a los de clase media y a los moderadamente
ricos (versus los muy ricos) para raptos de corta duración, mediante
los cuales los secuestradores esperan conseguir un rescate de unos
cuantos miles de dólares, aunque a veces la puja comienza por mucho más
que eso.
Los autores de los rapisecuestros en los cajeros
automáticos se orientan contra cualquiera que parezca tener una
billetera o cartera. Las víctimas son llevadas de cajero en cajero,
frecuentemente en el baúl de un auto, mientras sus cuentas bancarias
son vaciadas por los raptores.
Los joyeros, que son conocidos
por llevar grandes cantidades de dinero en efectivo, “han sido
secuestrados en partes muy exclusivas de la ciudad”, dice Rodriguez. El
les aconseja que realicen la mayor cantidad posible de negocios
mediante teléfono, correo, o Internet, y luego hacer sus transacciones
de contacto directo en edificios altos de oficinas en donde no van a
llamar la atención tanto como sucedería en una joyería o en un negocio
más visible de la planta baja..
Rodriguez también trabaja con
banqueros, los cuales, hace notar, tienden a tener horarios
establecidos, visitando las mismas sucursales todos los días a las
mismas horas. Esos hábitos los hacen blancos más fáciles de delitos que
las personas que son menos predecibles, dice. “Les digo, ´Tienen que
modificar sus rutinas. La gente los está observando´”.
Un
profesional de seguridad de una importante compañía internacional de
servicios financieros hace eco del consejo de Rodriguez. “No se levante
todos los días a las 5 a.m., vaya al gimnasio, regrese, tome desayuno
en su habitación, salga por la puerta principal y tome un taxi en la
esquina”, dice. “Vaya a la esquina sin los acaudalados americanos.
Algunos días haga su gimnasia por la tarde. En ocasiones utilice otra
puerta para salir del hotel, si es seguro”.
Aunque algunos
crímenes son planeados, muchos son acciones del momento. Los criminales
son oportunistas que simplemente están atentos a los turistas
vulnerables. En Sao Paulo, en donde la mayor parte de los actos
ilícitos son delitos de oportunidad, la mejor herramienta para reducir
el riesgo es conciencia de y familiaridad con el medio local, dice
Creswell.
Si son blancos de criminales, los viajeros de negocios
deben comprender cuál es la mejor manera de responder en cada
situación. Por ejemplo, muchos de los criminales brasileños son matones
callejeros que tienen muy poco miedo a las fuerzas de la ley. Por lo
tanto, dice Creswell, si se le enfrenta un asaltante armado, manténgase
calmado y no haga movimientos inesperados. “Mantenga las manos
claramente a la vista. Haga lo que le piden. Responda sólo a sus
preguntas y no discuta. No intente entablar una conversación. Facilite
la partida del asaltante”.
Debido a la mezcla de riqueza y
pobreza en Sao Paulo, ninguno de los vecindarios es totalmente seguro.
“Usted tiene residencias de un millón de dólares al costado de
casuchas”, puntualiza Creswell. “Así que es crucial que se familiarice
con el lugar en donde se aloja”. Tome nota de las condiciones de las
calles, densidad del tráfico, áreas de estacionamiento, iluminación,
tráfico de un sentido o de doble sentido, y acceso hacia y desde el
edificio. “Al conocer lo que es normal, notará cuando algo no lo es”.
Asimismo,
si va a tener un carro, sugiere que conduzca un vehículo que tenga por
lo menos dos años, en vez de uno nuevo. Y, afirma, nunca deje los
documentos del vehículo en su carro. Lléveselos después que estacione.
También es importante que tenga un buen mapa de la ciudad de modo que
no tenga que detenerse para pedir indicaciones.
Además, dice
Creswell, los trabajadores que están en una ciudad extranjera deben
aprenderse sus rutas hacia y desde su trabajo, clubes, centros
comerciales, y otras paradas rutinarias. (Pero como se ha mencionado
anteriormente, deben evitar tener una rutina; por lo tanto, deben
aprenderse múltiples rutas hacia cada punto de destino y deben alternar
entre ellas.) Antes de ir a cualquier lado, Creswell aconseja a los
viajeros:“Haga copias de sus rutas y llévelas consigo. Esto es útil,
por ejemplo, al tomar taxis, para evitar los problemas de comunicación
y las demoras”.
Creswell insta a los viajeros a que sepan la
ubicación de las estaciones de policía, hospitales, edificios
gubernamentales y otras instalaciones a lo largo de sus rutas comunes
que puedan brindarles un refugio seguro o ayuda en caso de una
emergencia. También advierte en contra de deambular sin una agenda
definida. “Planee por adelantado las actividades para su tiempo libre.
Conozca cuáles son los establecimientos seguros para frecuentar antes
de ir. Tome las rutas directas a los restaurantes y clubes nocturnos”.
Creswell
también aconseja que los viajeros que tengan un accidente de tráfico
deben, cuando sea posible, conducir a un área segura y bien iluminada
antes de bajar del vehículo. El viajero no debe discutir con el otro
conductor. También es importante mantener el control de todos los
documentos personales.
Si hay una víctima en un accidente de
tráfico, la ley exige que se le preste ayuda.El viajero debe tomar
contacto con las autoridades locales, así como con el representante o
abogado de su compañía.Si es posible, haga que le acompañen, dice
Creswell.
Creswell ofrece estos consejos para los empleados con
nombramientos por períodos prolongados: estudiar la cultura y
costumbres locales, tratar de aprender por lo menos los fundamentos del
idioma local. En cuanto a las viviendas para alojamiento, dice, en el
Brasil los departamentos ofrecen mejor seguridad que las viviendas
unifamiliares, siempre que el acceso a los ingresos, salidas y áreas
comunes sea controlado estrictamente por porteros adecuadamente
entrenados y sistemas electrónicos de seguridad.
Otro asunto que
se presenta para los trabajadores con nombramientos de largo plazo es
el empleo de personal doméstico. Creswell hace ver que en algunos
países, incluyendo Brasil, los empleados domésticos como criados,
jardineros y conductores son la norma para la gente que vive allí. Pero
advierte que aunque no sean cómplices intencionales, a menudo son los
medios a través de los cuales un asaltante consigue acceso u obtiene
información crítica respecto a la residencia elegida.
Y la
seguridad personal no es el único problema. El robo de información
patentada es otra importante preocupación para los viajeros. “Si usted
deja una computadora en su habitación, puede esperar que alguien
revisará sus archivos”, dice el profesional de seguridad de los
servicios financieros. ¿Su consejo? “Haga su trabajo en un disco y
métalo en el bolsillo de su chaqueta cuando salga a cenar. Y no lleve
más materiales de trabajo en su viaje que los que le sean absolutamente
necesarios. ”Es más probable que los empleados de las compañías
importantes sean blancos del robo de propiedad intelectual.
Para
preparar a sus viajeros para la gama de amenazas que pueden encontrar,
él se cerciora que todo empleado que viaja al extranjero antes del
viaje reciba una cuidadosa orientación de seguridad específica de la
ciudad. Su principal advertencia para los empleados que estarán
circulando en forma independiente en ciudades de alto riesgo: “Actue
como si supiese adónde se dirige, incluso cuando no lo sepa. No camine
por ahí mirando las partes altas de los edificios como un turista. Y
confíe en sus instintos. Si voltea una esquina y el cabello de su nuca
se eriza, salga de allí”.
En resumidas cuentas, concuerdan todos
los expertos: haga su tarea. Entienda las amenazas de cada ciudad que
va a visitar antes de que salga de casa, y sepa exactamente cómo
comportarse para minimizar su riesgo y cómo reaccionar en una situación
de naturaleza criminal. Al prepararse adecuadamente los viajeros pueden
obtener beneficios de la experiencia de negocios que buscan, sin
experimentar de primera mano cualquiera de los problemas que plagan
algunos de los puntos de destino.
John Briley es redactor
gerente principal de iJet Travel Intelligence. Carl Provencher, quien
es director de inteligencia de seguridad de iJet, colaboró en el
artículo.
Protección de la Información en las Conferencias de Negocios
April 27 2004, 3:10 PM
Protección de la Información en las Conferencias de Negocios
Por John A. Nolan, III
Michael,
un recopilador de información para un cliente muy activo en la
industria de las telecomunicaciones, estaba en el baño de hombres en
una gran exposición comercial. Al lavarse las manos salpicó de agua
todo el lavatorio y la repisa. Mientras estaba secando la repisa, el
presidente de una de las compañías de las cuales debía conseguir
información, entró acompañado de otro hombre. Inmediatamente dejaron de
conversar y miraron por debajo de los compartimientos. Convencidos de
que no serían escuchados por alguien sentado en uno de los
compartimientos y descartando a Michael como un ayudante de limpieza ya
que él seguía limpiando la repisa, reanudaron su conversación sobre la
manera de que podrian trabajar juntos en un proyecto, uniendo las
mejores tecnologías de sus compañías. Siguieron conversando incluso
cuando aceptaron las toallas de papel ofrecidas por el supuesto
“ayudante”. Cuando salieron y se separaron, Michael siguió al hombre
desconocido hasta su puesto en la exposición. El informe de
inteligencia que preparó el “ayudante” le permitió a la compañía de
telecomunicaciones anticiparse en seis semanas al lanzamiento del
producto de la nueva empresa conjunta de sus competidores, algo que
nunca podrían haber anticipado sin esta inesperada oportunidad de
recolección.
Como lo demuestra este caso ficticio, la
información puede escapar de modos sorprendentes. Aun así, muchas
compañías siguen concentrando sus esfuerzos para proteger su
información propia en medidas internas.
Instalan programas de
muros cortafuegos y autenticación biométrica en la red informática,
establecen una política de escritorios limpios, y ponen en práctica
procedimientos correctos para la destrucción de documentos. Pueden
hasta asegurar las computadoras portátiles con cables de acero
inoxidables y alarmas. Pero no consideran cómo los empleados pueden
simplemente regalar información gratis en las exposiciones comerciales.
Por su misma naturaleza, una exposición comercial existe para
facilitar el intercambio de información. Y una enorme cantidad de
información es compartida de manera legítima y apropiada en las
conferencias por fuentes muy variadas. Los profesionales intercambian
puntos de vista en las reuniones científicas y técnicas. Los vendedores
en sus puestos dialogan sobre sus productos con cualquier persona que
se detenga allí. Los editores buscan nuevos anunciantes para los
diarios de la industria, los consultores tratan de mantenerse al día
con los cambios en la industria y en las compañías individuales y los
reporteros consiguen las noticias. Pero no toda la interacción
profesional es lo aparenta ser.
Los profesionales de
inteligencia competitiva (IC) dedicados a proyectos de recopilación y
protección, consideran tales eventos como ambientes básicamente sin
protección porque quienes tienen la responsabilidad profesional de los
programas de protección de la información muy pocas veces toman parte o
siquiera están presentes. Algunas compañías sabidas han desarrollado
enfoques rigurosos, completos e integrales para la recopilación de
datos y así aprovechan la abundancia de información de valor
competitivo que puede descubrirse en estos ambientes.
Las
compañías necesitan aceptar que se crea una vulnerabilidad considerable
cuando sus empleados viajan a las exposiciones comerciales y otras
reuniones de profesionales y entender que para los profesionales de
inteligencia competitiva esos lugares son unas minas de oro para
recolectar información.
Para poder cerrar esta vía de pérdida
de información, los profesionales de seguridad deben entender los
métodos que usan estos recopiladores para reunir información
corporativa sensible de empleados inadvertidos que no están conscientes
de lo que sucede. El siguiente resumen resalta las técnicas contra las
que una compañía debe preparar a sus empleados a reconocer y
defenderse.
Niveles de complejidad.
Los esfuerzos de
recolección pueden ser clasificados de acuerdo a su nivel de
complejidad. Primero debe notarse que reunir inteligencia en una
exposición comercial no significa merodear por el pabellón de
exhibiciones con una bolsa grande, acumulando folletos, tarjetas de
negocios y muestras de productos. Pero incluso los intentos menos
elegantes tendrán éxito si el personal ignora que está siendo
manipulado.
Consideremos el caso clásico del miembro más joven
de un equipo corporativo que asiste a una conferencia de negocios (Lo
llamaremos Chad). El es quien debe quedarse para las últimas horas de
la exhibición, con la esperanza de poder convertir en cliente a un
visitante casual. Chad por lo general es una de esas personas que sabe
que su posición no vale mucho, no ha sido muy apreciado últimamente y
sin embargo sabe casi todo lo que los demás saben -- excepto que
debería evitar hablar demasiado a un oyente paciente y compasivo.
A
Chad siempre lo dejan solo en el puesto de exhibición, excepto los
astutos recopiladores de inteligencia. El no solamente sabe todo de su
compañía -- los precios, los productos y otras cosas más -- sino que
también está ansioso a conversar sobre lo que sus compañeros han estado
aprendiendo de los otros asistentes e informando en las sesiones de
rendir cuentas a lo largo de la reunión. Los recolectores de
inteligencia comercial que lo han visitado tienen en mente más que
simpatía en las pocas horas que quedan antes de que Chad empiece a
cerrar su puesto.
Los siguientes resúmenes de los cinco
niveles de sofisticación en la recolección de información son
generalizaciones. Sin embargo, resultan instructivos para poder
enmarcar el análisis.
Nivel Uno. En este nivel, los empleados
de la compañía viajan a las reuniones y para que se reembolsen sus
cuentas, deben presentar informes de las actividades efectuadas durante
los viajes. Como los reportes que se necesitan para el reembolso pueden
ser cortos y simples, cualquier información, mucho menos inteligencia,
que se pueda recoger es simplemente un hecho fortuito. A estos
empleados no se les ha dicho que recolecten información, así que a lo
más representan una amenaza menor.
Nivel Dos. Luego están las
compañías en donde los profesionales de inteligencia competitiva en
realidad dan instrucciones y sensibilizan a los viajeros de la
corporación respecto a los objetivos específicos de recolección de
información que siguen insatisfechos y qué es lo podría obtenerse --y
de quién--en la conferencia. Por ejemplo, a los viajeros se les podría
orientar sobre los nuevos productos de un competidor y pedirles que
averiguen todo lo que puedan sobre sus precios, distribución o ciclo
vital. Otros datos comunes que pueden interesar a la compañía incluyen
cuánto están gastando los competidores en investigación y desarrollo
(I&D), cuantos ingenieros están siendo contratados y en que áreas y
qué resultado se intenta obtener de cualquier re-ingeniería o cambio en
la organización interna que pudiera suceder (por ejemplo, menores
cantidades de rechazo, mayores cifras de producción). El grupo dedicado
a la inteligencia de negocios también programará una sesión de reporte
después de que regrese el viajero. Estos esfuerzos para reunir
información se dirigen a blancos especifícos y representan una amenaza
seria.
Nivel Tres. En el siguiente nivel se encuentra el
gerente de inteligencia competitiva quien identifica las conferencias,
viajeros y objetivos con meses de anticipación, lo que permite un
considerable nivel de planeamiento. Los gerentes de IC en este nivel
conocen las necesidades permanentes de inteligencia de la compañía y
tratan de que el personal que enviarán a la exposición tengan relación
con los asistentes de otras organizaciones en la conferencia. Por
ejemplo, se tratará que los ingenieros encajen con sus colegas de las
otras organizaciones con quienes tengan una relación previa, quizás
porque pertenecen a los mismos grupos profesionales, son antiguos
colegas o asistieron juntos a la universidad.
Los expertos en un
área en particular pueden ser emparejados con alguien que esté
presentando un trabajo sobre ese tema en lo cual pueda haber algo de
valor competitivo que puede satisfacer las exigencias actuales o
continuas de inteligencia. Los profesionales de I&D buscarán a
otras personas de I&D para poder averiguar qué porcentaje de los
ingresos de la otra compañía se asigna a I&D o qué tipos de nuevos
laboratorios se están construyendo. Estos esfuerzos para reunir
información representan una de las amenazas más serias porque una
cuidadosa concordancia entre agentes y blancos aumentará la
probabilidad del éxito.
Nivel Cuatro. En este nivel están
aquellas compañías donde el personal de inteligencia competitiva es aun
más activo y organizado. Ellos preparan a sus corresponsales en toda la
compañía para entender los distintos medios de recopilación de
información y les pueden dar entrenamiento especializado. El
entrenamiento puede incluir métodos específicos de inteligencia como la
forma de extraer información, identificar y evaluar potenciales
fuentes, desarrollar fuentes de información y mantener relaciones con
dichas fuentes mientras siguen explotándoles por el valor de su
información. Si los empleados a quienes se acercan en tales
circunstancias no han sido entrenados para que se pongan sospechosos,
miedosos o renuentes a cooperar, es probable que estos esfuerzos tengan
mucho éxito.
Algunas veces, esta preparación antelada se amplia
hasta arreglar que los empleados sirvan en organizaciones profesionales
como miembros de comités que solicitan y seleccionan ponencias para la
conferencia. Esta táctica les permite animar a quienes trabajan para
competidores en los que la compañía tiene interés, para que presenten
trabajos e incluso ayudarles a preparar las ponencias.
En
otras situaciones, una compañía puede dotar a los agentes de
recolección de información que estén en el auditorio, de preguntas
específicas y directas que pueden hacerse a un conferenciante. Tales
preguntas tienden a ser respondidas, incluso si pertenecen a un nivel
mas alto de sensibilidad del que el conferenciante debería estar
abordando, ya que son planteadas en una atmósfera de cordialidad
profesional, realzada por el deseo del expositor de dar una buena
impresión a sus colegas.
Miembros "impresionados" del público
pueden entonces hacer preguntas adicionales (y más sensibles) después
de la conferencia e incluso invitar al conferenciante a tomar café o un
trago para hacer que hable con más libertad.
Nivel Cinco. El
nivel más alto de complejidad es donde encontramos la participación
activa de los profesionales de la seguridad. Las operaciones de
inteligencia en este nivel son muy parecidas a un juego de fútbol
americano. La parte del proyecto dedicada a recolectar información se
llama "atacante"; el lado defensivo se denomina "defensor". Este grado
de participación en las reuniones requiere que profesionales del equipo
de seguridad asistan a las reuniones o a las exposiciones comerciales y
que preparen lugares para los informes, en donde los empleados
entrenados para reunir información llegan en momentos programados para
reunirse con los “atacantes” y los “defensores”, para presentar
evaluaciones actualizadas de lo que está sucediendo realmente.
Tales
operaciones ofrecen una variedad de beneficios para la compañía que
trata de recopilar información (o evitar su difusión). Los empleados
pueden recordar inmediatamente los eventos que de otra manera se
deterioran con el transcurso del tiempo. Los “atacantes” pueden reunir
información en tiempo real y dedicarse a análisis de primera mano que
puede brindar oportunidades para imponer requerimientos adicionales a
los empleados asistentes, cuando los eventos y los informes exigen
ampliar la cobertura--algo que obviamente no podría suceder si la
compañía se hubiera limitado a reunir información de los reportes
posteriores a las conferencias.
Adicionalmente, los
“atacantes” pueden enseñar rápidamente al personal de ventas los
productos o servicios del competidor que se presentaron en la
exposición, de los cuales necesitan información adicional. Sin duda,
estas técnicas altamente organizadas para la recolección de información
representan la mayor amenaza.
Operaciones defensivas.
En
una exposición comercial, la preparación de los empleados es quizás el
arma mas importante del arsenal defensivo de la compañía. Consideremos,
por ejemplo, el caso de una compañía que tiene dos mujeres embarazadas
que conforman el grupo que recolecta información. Su forma de enfocar
el asunto es sencillo. Se notan visiblemente incómodas cuando visitan
los puestos de exhibición de sus competidores, y aunque llevan las
insignias de identificación de su compañía, son tratadas en forma
bastante cortes por sus competidores, quienes inevitablemente preguntan
“¿Les gustaría descansar unos momentos?”.
Las futuras madres
aceptan y se sientan por una hora o más, escuchando mientras tanto las
interacciones entre sus competidores y sus clientes, visitantes,
vendedores u otras personas que hablan de una amplia variedad de
temas--muchos de los cuales resultan ser de gran significación para el
equipo de recolección.
Protegerse contra estos esfuerzos es
crítico. Ahí es donde entra el grupo de defensores. Las operaciones
defensivas se concentran en preparar a los asistentes antes de que
salgan de la oficina. Les hacen saber a los asistentes las preguntas e
intereses de las personas que trabajan, o razonablemente se supone, que
trabajan para la competencia (incluyendo consultores y académicos cuya
investigación es financiada discretamente por un competidor). Una vez
en la exposición, también alertan oportunamente a los asistentes sobre
las preguntas que se están haciendo en otras sesiones o alrededor del
área de exhibición y en reuniones sociales, que son obvios intentos
para reunir información. Esta advertencia incluirá detalles de las
personas que están haciendo las preguntas y su niveles de competencia.
Los
defensores también ayudan al personal a preparar respuestas
profesionales y corteses a estas preguntas, que evitarán la difusión de
información propia de la empresa. Los defensores además se aseguran de
que exista un nivel consistente de entendimiento por parte de los
empleados respecto a lo que deben y no deben decir. Por otro lado,
verifican que los puestos de exhibición, sitios de orientación,
ambientes de recepción y otros lugares estén organizados de tal modo
que sus charlas de ventas no comprometan información sensible.
Las
exhibiciones comerciales y otras reuniones de profesionales forman una
parte inevitable de los negocios. Representan grandes oportunidades
para el mercadeo y establecimiento de enlaces que las compañías no
pueden dejar pasar. Pero también ofrecen a los buscadores de
información un acceso fácil a los secretos celosamente guardados por
una compañía. Los profesionales de seguridad deben asegurarse que los
empleados conozcan los riesgos y sepan jugar mientras conservan
cuidadosamente sus propias cartas.
John A. Nolan III, CPP,
Profesional Certificado de OPSEC (OCP), es presidente del Phoenix
Consulting Group, en Huntsville, Alabama. Su último libro es
“CONFIDENCIAL: Descubrir legal y éticamente los secretos de negocios de
sus competidores--y proteger los suyos” (CONFIDENTIAL: Uncover Your
Competitors' Top Business Secrets Legally and Ethically--and Protect
Your Own (HarperCollins, 1999). Es miembro de ASIS.
¿Cuál es su cociente de contrainteligencia?
Las
siguientes preguntas le ayudarán a preparar a sus empleados para el
ambiente de búsqueda de información que penetra toda reunión de
carácter profesional.
1. ¿Sabe quién en su empresa va a viajar
a conferencias, exposiciones comerciales o a reuniones de profesionales
el próximo año?
2. ¿Les ha dado orientación sobre el comportamiento en un ambiente de amenazas contra la información?
3.
¿Se les ha indicado cómo actuar en los lugares en donde se obtiene la
mayor cantidad de información (salones de los hoteles en donde se dan
las conferencias, autobuses que llevan a las funciones nocturnas, áreas
de descanso, y las conversaciones en las salas de conferencias, antes y
después de las exposiciones)?
4. ¿Forma usted parte del
proceso de revisión antes de la publicación o una conferencia en la que
los empleados van a presentar ponencias?
5. ¿Si es así, lo
hace desde el punto de vista de otra compañía? ¿Se ha preguntado qué
dice el documento a la competencia de lo que hace su compañía y qué
revela cuando se compara con los trabajos que otros en su compañía van
a presentar en la misma reunión?
6. ¿Conoce lo suficiente
sobre los métodos de recolección de inteligencia de sus competidores,
para preparar adecuadamente a sus empleados para el viaje?
7.
¿Dispone de un proceso establecido que indica a los empleados a quién
llamar y qué informar cuando suceden hechos específicos?
8.
¿Alguna vez ha acompañado a cualquiera de sus equipos de productos,
grupos de investigación u otros, a cualquier tipo de reunión
profesional para así poder comprender el ambiente en el cual trabajan?
9. ¿Conocen sus empleados las clases de enfoques que se emplean para reunir información y en qué lugares se pueden usar?
10.
¿Se les ha enseñado a sus empleados a reconocer las técnicas que son
usadas por los que reúnen información, y se les ha proporcionado las
técnicas defensivas apropiadas?
Si
bien la mayoría de directores de seguridad corporativa pueden proteger
eficazmente el producto en sus propias instalaciones de fabricación o
de almacenaje, ellos ejercen mucho menor control en los lugares
ubicados en el extranjero o bajo contrato y cuando el producto viaja
desde los centros de producción hasta el cliente. Para desarrollar un
eficaz programa de seguridad del producto, tanto durante la producción
como durante el tránsito, el profesional de seguridad debe comprender
la amenaza y las técnicas fundamentales usadas por los ladrones, las
debilidades inherentes a ciertas estrategias de fabricación o de
embarque y las herramientas y soluciones que pueden mitigar el riesgo.
A
medida que más compañíías fabrican, distribuyen y venden productos en
todo el mundo, se ha hecho cada vez más difícil proteger las
existencias en la planta y en tránsito. Las fronteras internacionales
esconden a expertos ladrones que han creado un nivel inestable de
riesgo que hace sólo unos pocos años era difícilmente imaginable.
En
el mundo de los negocios de hoy, por ejemplo, los procesos de
fabricación son contratados completa o parcialmente a compañías en todo
el mundo, muchas de las cuales no poseen controles adecuados en el
sitio de trabajo. Del mismo modo, cuando los fabricantes transportan el
producto a través de fronteras internacionales, deben confiar el
embarque a diversos contratistas , volviendo estos recursos vulnerables
al hurto a lo largo de la ruta de tránsito, lo que hace más difícil
determinar donde ocurrió un delito. Para combatir estas amenazas, el
personal de seguridad debe aplicar estrictas medidas de seguridad en la
planta y durante el desplazamiento.
EN LA PLANTA
Cada
planta debe por supuesto tener seguridad física básica y controles de
acceso. Pero los gerentes de seguridad también necesitan desarrollar
políticas y procedimientos especiales destacando las amenazas más
comunes contra la rentabilidad industrial: el robo, el desvío del
producto y la falsificación.
Robo. El robo de recursos de las
instalaciones industriales es a menudo el trabajo de una persona
perteneciente a la organización, que trabaja con vendedores u otros
empleados. Recientemente por ejemplo, unos empleados deshonestos de un
productor taiwanés de microchips, fueron sobornados para que reuniesen
los microprocesadores que habían sido rechazados durante las pruebas y
los enviasen a delincuentes fuera de la planta. Luego los procesadores
fueron marcados falsamente como si hubiesen sido certificados y
vendidos a confiados vendedores de PC y a otras personas. Los
microchips rechazados no sólo recortaron las ventas del producto
legítimo, sino que también empañaron la reputación del fabricante,
cuando los consumidores descubrieron que sus componentes eran
defectuosos.
Los problemas no se detenían allí. Otros empleados
estaban sacando de la planta microprocesadores operativos de
contrabando y los vendían a los distribuidores, aumentando más aœn las
pérdidas de la compañía. Debido a que carecía de controles de
inventario y no efectuaba ninguna auditoría del proceso de elaboración,
el fabricante ignoraba la magnitud de los robos de procesadores
defectuosos y legítimos, hasta que la gerencia fue alertada por un
empleado que se había enterado sobre esta actividad.
Soluciones.
Deben ejecutarse controles de existencias para verificar el producto
durante todo el ciclo de producción y embarque. Deben enviarse
auditores internos a las áreas de producción para inventariar todos los
productos y materiales mientras son preparados para ser embarcados o
cuando son registrados como una entrega. Los auditores también deben
registrar el movimiento del producto dentro de la instalación, como
cuando el producto es llevado de un área de retención a otra de
almacenamiento.
Los agentes de seguridad deben ser entrenados
para que reconozcan la diferencia entre los productos buenos y los
rechazados y deben efectuar inspecciones del producto y materiales que
están siendo embarcados o recepcionados en las instalaciones. Durante
estas verificaciones, los agentes deben comparar al azar el inventario
de algunas cajas contra las facturas del contenido.
También
deben inspeccionarse periódicamente los depósitos de basura, que a
menudo se usan para esconder productos que después serán robados. Para
asegurar que los agentes están cumpliendo sus tareas, los supervisores
de seguridad deben probar periódicamente los procedimientos de
seguridad. Por ejemplo, el gerente de seguridad puede preparar una caja
de prueba (dirigida a un cliente que no existe), que contiene productos
perdidos, para determinar si los agentes descubrirían la pérdida. (La
caja sería interceptada por el supervisor de seguridad antes de que
deje la instalación).
Los materiales usados en la producción
de artículos de alto valor no deben ser dejados en almacenes
convencionales ni sobre el piso de la planta, sino dentro de envases de
almacenamiento seguros, con estrechos controles de acceso. Cuando se
necesiten los materiales, se les exigirá a los gerentes de producción
que firmen por una cantidad específica del material, el cual luego se
les entregará bajo la observación de un agente de seguridad.
Estas
medidas ayudaron a un fabricante norteamericano multinacional de
computadoras, cuando se dio cuenta que estaba perdiendo
microprocesadores (chips) de RAM de computadora en una de sus plantas
de ensamblaje en Alemania. Bajo los nuevos procedimientos de seguridad,
los chips se guardan en un estante de almacenamiento seguro, al cual
sólo tiene acceso el personal de seguridad de mayor nivel. Cuando se
necesitan chips adicionales para el ensamblaje, un gerente de
producción debe firmar por una cantidad cuidadosamente inventariada y
debe demostrar con documentos, que cada chip es usado en la producción.
Los estrictos controles de inventario han reducido el robo de chips
casi a cero.
Al emplear una empresa de seguridad contratada,
el fabricante debe pedir que el personal de la fuerza de seguridad sea
rotado por lo menos una vez cada 12 meses. Esto rompe cualquier
relación que pudiera desarrollarse entre los empleados de la compañía y
los agentes de seguridad, la que podría llevar a la corrupción. Cuando
los agentes salen por rotación o porque dejan sus trabajos, un gerente
senior ajeno al departamento de seguridad debe efectuar una "entrevista
de salidaÓ, en la cual se les debe preguntar a los agentes acerca de
sus impresiones del trabajo de seguridad, incluyendo las debilidades
potenciales, fortalezas y mejoras que puedan sugerir.
Muchos empleados se sienten más cómodos hablando de estos problemas cuando están dejando una compañía.
Incluso
si una compañía contrata el proceso de fabricación a una empresa
extranjera, debe solicitar que sus plantas apliquen las medidas de
seguridad mencionadas. Para asegurar su cumplimiento, a la empresa
fabricante se le debe exigir que reciba auditorías de sorpresa o
permitir que la compañía asigne uno de sus gerentes de seguridad para
que observe la planta. En el œltimo caso, el gerente de seguridad debe
ser cambiado cada seis a doce meses.
La disposición interna de
la instalación puede desempeñar un papel importante para reducir el
robo cometido por los empleados. Por ejemplo, el área de fabricación no
debe estar cercana a los cuartos donde los empleados se cambian de
ropa, en donde se pueden esconder productos robados. Si los cuartos de
cambio de ropa son ubicados lejos del área de fabricación, los
empleados se verán forzados a llevar los artículos robados a una mayor
distancia, aumentando así las oportunidades de ser descubierto.
También
es importante tener áreas separadas para el embarque y la recepción,
porque la mezcla de materiales que llegan y productos que salen, crea
confusión y oportunidad para el robo. Seguridad debe limitar los
privilegios de acceso de los contratistas, como personal de entrega,
obreros de reparación y conserjes, hacia las áreas de trabajo y
almacenamiento.
La tecnología se puede usar para verificar el
flujo de materiales. Por ejemplo, muchas compañías usan programas
informáticos para analizar las proporciones y patrones del material
rechazado, para determinar si existen problemas de fabricación. Esta
información, usada principalmente con fines de control de calidad y
evaluación de productividad, generalmente no es compartida con el
personal de seguridad e investigadores. Sin embargo, si el gerente de
seguridad pudiese revisar este datos, podría descubrirse un patrón de robos.
Desvío.
Uno de los problemas más grandes para las compañías que venden
internacionalmente, es el desvío del producto: consiste en intencional
o accidental mente desviar el producto a destinos no previstos, donde
luego el producto es vendido sin la autorización del fabricante. Este
es típicamente un truco para evitar restricciones regionales de
importación o impuestos que aumentan el precio de la mercancía
legítima. También puede ser una manera de comprar bienes a bajo precio,
porque los fabricantes a veces harán descuentos a los bienes para
irrumpir en un nuevo mercado.
Entre los productos que
normalmente son los más desviados a Europa están los pantalones
vaqueros, anteojos para sol, ropa deportiva y cigarrillos, mientras que
la ropa costosa, cosméticos, perfumes y electrónicos son desviados a
Asia. Debido a que estos productos desviados generalmente se venden por
debajo del precio del mercado, socavan la venta del producto legítimo.
Segœn
cálculos del FBI (oficina federal de investigaciones), aproximadamente
80 por ciento de toda la mercancía robada o desviada reingresa a los
cauces del comercio legítimo al menudeo. En muchos casos, los bienes
desviados y los legítimos se venden lado a lado en los anaqueles de la
tienda y a menudo los minoristas ignoran que han comprado bienes de
dudosa procedencia.
El desvío puede tomar muchas formas. Una
implica el desvío de excedentes de producción. Este esquema es comœn en
China y Tailandia dónde faltan controles. En el caso de un contratista
fabricante de ropa en Hong Kong, por ejemplo, el superintendente de la
planta estaba operando un segundo turno, desconocido para la empresa
que había contratado esta unidad de producción para armar una cantidad
específica de pantalones por día. Después de que el primer cambio se
retiraba, otro grupo de obreros entraba secretamente a la planta.
Ellos
producían aproximadamente 10,000 unidades adicionales por mes. Este era
un producto legítimo en el sentido que la ropa tenía todas las
características físicas del producto verdadero, pero eran vendidos a
través de canales ilícitos. Esta práctica afectó la rentabilidad y la
participación de la compañía en el mercado.
Otro tipo de
desvío es el envío equivocado del producto que ha sido marcado para ser
destruido. Por ejemplo, el productor taiwanés de semiconductores
(chips) mencionado anteriormente, también fue víctima del desvío. En
este caso, la compañía había contratado una empresa externa para reunir
chips desechados directamente dentro de la fábrica y luego acarrear el
material a otro lugar para su destrucción. El problema fue que los
chips realmente no fueron destruidos. En lugar de ello, fueron
vendidos.
Soluciones. El problema en la planta de
semi-conductores se podría haber prevenido si el fabricante hubiese
destruido los chips defectuosos en el mismo sitio, bajo condiciones
estrechamente controladas.
Incluso cuando se contrate una
empresa externa para destruir productos obsoletos, el fabricante debe
insistir que el proceso sea efectuado en su local, antes de que el
material sea acarreado al exterior.
Esto es especialmente
importante cuando los artículos programados para destrucción todavía
pueden ser utilizables. Por ejemplo, algunas compañías detendrán la
fabricación de un componente electrónico cuando una nueva tecnología
sea desarrollada. Estos componentes viejos pueden contener tecnología
antigua que está siendo dejada de lado, pero todavía están en
condiciones operativas y podrían ser usados por falsificadores o por
los que desvían el producto, para dañar la participación en el mercado
que tiene el fabricante.
Cuando los productos están programados
para ser destruidos, los auditores internos deben contabilizar todos
los artículos que están siendo demolidos y observar mientras se mueven
a través del proceso de destrucción. Un segundo auditor, normalmente un
supervisor, debe luego inspeccionar el producto para asegurarse que en
efecto ha sido destruido completamente, antes de sacarlos al exterior.
Al
igual que con el robo, la mejor protección contra el desvío es una
sucesión de verificaciones y auditorías a lo largo del proceso de
fabricación y distribución. Antes de contratar a una compañía para que
destruya productos que han sido rechazados o para fabricar ropa, el
gerente de seguridad debe conducir una investigación exhaustiva
utilizando lo que se conoce como "diligencia debida". Debe cubrir la
historia comercial de la firma contratista y a sus dueños y
funcionarios. La verificación de antecedentes debe incluir un análisis
financiero de la compañía y de sus socios principales. El gerente de
seguridad debe hacer una investigacion que cubra las areas civiles,
delictivas, de bancarrota y verificar referencias.
Las
verificaciones de antecedentes no siempre son fáciles en los países
extranjeros. El gerente de seguridad debe empezar con el departamento
de comercio o industria del país o la comisión nacional de valores y
bolsa. En Asia también existen empresas investigadoras que tienen
archivos de compañías en la región, que incluyen información detallada
sobre conducta delictiva pasada.
Para prevenir excedentes
intencionales de producción, la compañía principal debe asignar un
representante en la firma contratada para que supervise y documente
todas las jornadas de producción. El gerente de seguridad debe rotar
este puesto en forma regular para asegurarse que el individuo no está
siendo sobornado o se haga de la vista larga. Otra opción es contratar
una compañía investigadora de la propiedad intelectual, para que
efectœe operaciones encubiertas en las instalaciones del contratista y
determine si el producto está siendo fabricado en demasía. Los
investigadores deben visitar la fábrica por la noche, los fines de
semana y durante los feriados, para asegurarse que las máquinas no
están trabajando.
Además, la compañía matriz puede trabajar
estrechamente con la agencia de aduanas de un país, para determinar si
los embarques de la compañía al extranjero son mayores a lo que se
supone sean.
Falsificación. El desarrollo de productos falsos
que son difíciles de distinguir de los reales, es un problema creciente
que hace daño a los fabricantes de una amplia gama de productos,
incluyendo ropa, maletines, joyería, relojes, vestimenta deportiva,
jabón, programas informáticos, discos compactos, cosméticos, bebidas y
productos farmacéuticos. En algunos casos, como con las medicinas y los
repuestos para autos, la mercancía falsa puede ser peligrosa.
Las
estrictas leyes en América del Norte y Europa han desanimado
fuertemente a los falsificadores, pero América Central y del Sur, Asia,
Rusia e India mantienen una robusta industria de productos
descontinuados.
Un esquema comœn incluye a falsificadores
expertos que invierten la ingeniería de un producto para determinar y
duplicar el proceso de fabricación para crear una copia que es
difícilmente distinguible del original.
Para empeorar las
cosas, se ha sabido que fabricantes de impresoras y envases legítimos
que están bajo contrato con los principales fabricantes, están
deliberadamente produciendo excedentes de material de embalaje, los
cuales son vendidos a los falsificadores para que los llenen con
productos falsos.
Por ejemplo, en 1998 una compañía en
Pakistán empezó a comprarle botellas plásticas desechadas a un
importante fabricante de jabón. Se suponía que los recipientes iban a
ser reciclados, pero en cambio encontraron la forma de hacerlas llegar
a un mercado lleno de jabón falso. Fraudes similares han involucrado a
auténticos envases de caramelos, cajas con programas informáticos y
otros embalajes. Solución. Seguridad tiene varias opciones.
Primero, debe realizarse una investigación de los aspectos
organizacionales, operativos, financieros y de competitividad de las
firmas que se contratan para fabricar envases y cajas para el producto.
Antes de que los envases desechados sean retirados para ser reciclados,
cada paquete debe ser contabilizado y malogrado para evitar que se use
nuevamente. En el caso del fabricante de jabón, las botellas plásticas
debieron haber sido aplastadas y agujereadas.
En los envases
se pueden colocar hologramas difíciles de duplicar, para ayudar a
disuadir la falsificación. Los hologramas vienen en muchas formas, pero
principalmente son etiquetas que se adhieren a un producto. Después se
les pide a los minoristas que verifiquen que todo el producto tenga los
hologramas antes de ponerlo en los estantes de venta.
Para un
falsificador es difícil reproducir un holograma debido al grado alto de
información confidencial que se usa en su fabricación. Sin embargo, los
hologramas pueden ser robados por los empleados y ser vendidos a
piratas para ser usados en los productos falsificados. Por
consiguiente, el fabricante debe especificar que se haga sólo un cierto
nœmero de hologramas; luego deben ser inventariados y guardados en una
lugar segura.
Otra técnica usada por algunos fabricantes, es
grabar una pequeña marca en la parte interior o inferior del producto.
En algunos casos, las marcas son sólo visibles bajo luz UV
(ultravioleta) o con un láser.
Estos métodos trabajan bien,
pero los fabricantes de vez en cuando deben cambiar la ubicación y
diseño de las marcas para desorientar a los falsificadores.
EN EL CAMINO
Uno
de los desafíos de seguridad más difíciles es la protección de los
componentes y productos durante su tránsito entre las plantas o países,
en diversos puntos del proceso de fabricación, ensamblaje y
distribución. La oportunidad para el robo se ve incrementada debido a
la estructura descentralizada de la mayoría de los programas de
seguridad de las compañías. Por lo general existe un gerente de
seguridad diferente a cargo de cada instalación, país o región. Aunque
cada uno le brinda estrecha atención a los asuntos dentro de su área de
responsabilidad, a menudo la colaboración es limitada entre las
regiones.
Por ejemplo, un gerente de seguridad en Europa es
improbable que vuele a Asia o América Latina para ayudar a un colega a
investigar una pérdida producida como resultado de fallas en alguna
parte de la cadena de suministro entre los dos continentes. Los
ladrones conocen y aprovechan estas interrupciones en la comunicación.
Si
falta cooperación incluso entre profesionales de seguridad, Àcuán
probable es que la seguridad sea una prioridad para gerentes que no
trabajan en seguridad?
Por ejemplo, existe poco incentivo para
que un gerente de logística aplique controles más estrechos. Los
gerentes de logística y de transporte son frecuentemente evaluados (y
compensados), sobre la base de la rapidez y eficacia con que pueden
mover el producto entre fabricantes, distribuidores y minoristas. Aun
cuando se descubra que existen bienes faltantes en la cadena de
abastecimiento, la persona responsable de supervisar el movimiento
generalmente no recibe amonestación o cuestionamientos, con tal de que
los procedimientos elementales de seguridad de la compañía hayan sido
seguidos.
Además, a veces las compañías se fijan en el costo
de un contrato sin tener en cuenta los riesgos potenciales de un
arreglo. Esta actitud puede ser costosa para una compañía. Un
fabricante de disqueteras (disk drives) en Malasia, por ejemplo, animó
al expedidor de la carga para que encontrase la ruta más barata posible
para transportar los artículos a California. Para reducir los costos de
transporte, la empresa envió las disqueteras destinadas para Los
Angeles, a través de Australia. Mientras el embarque pasaba por las
manos de varias compañías, incluso una aerolínea, desaparecieron dos
plataformas que contenían producto por valor de U.S. $400,000 . Debido
a que habían participado tantos manipuladores de la carga, y que la
documentación no era conforme a lo largo de la cadena de suministro, no
había manera de saber donde fue robada la carga. Para empeorar las
cosas, las agencias que controlan el cumplimiento de la ley en Malasia,
Australia y los Estados Unidos, se negaron a investigar porque no
estaba claro dónde ocurrió el delito y qué agencia podría asumir la
jurisdicción.
Soluciones. Como se hace con cualquier relación
comercial, las compañías deben verificar las credenciales de los
embarcadores. También es esencial comprobar que esas compañías efectœen
verificaciones de los antecedentes delictivos y de las referencias de
sus empleados.
Cuando se efectœen las verificaciones de
antecedentes de las compañías de transporte, el investigador debe
determinar si cada compañía transportadora está asegurada adecuadamente
contra pérdidas que sean documentadas. Esta cobertura le permite al
fabricante recibir el pago de la compañía aseguradora, en caso de que
cualquier producto fuera robado o se perdiera durante el tránsito. A la
compañía transportadora también se le debe solicitar que revele el
nivel de deducibles y que demuestre cómo cubriría esos costos.
Además,
deben examinarse sus procedimientos de control y auditoría, para
asegurarse que los centros de distribución, donde el producto
normalmente se guarda durante un tiempo breve, están apropiadamente
asegurados. Se deben verificar los procedimientos de inventario para
asegurar que la compañía transportadora registra todo el producto
conforme llega y sale de la instalación. Seguridad también debe
asegurarse que dichos centros tengan un sólido control de acceso,
sistemas de vigilancia y agentes para patrullas.
Deben usarse
jaulas de alta seguridad para producto de alto valor, como las
computadoras. Deben estar instaladas alarmas audibles para alertar de
cualquier intrusión a los agentes de seguridad de la instalación.
Incluso
después de contratar a una compañía transportadora, es aconsejable
verificar los centros de distribución periódicamente. Por ejemplo,
algunos fabricantes contratan a investigadores para realizar estudios
de seguridad trimestrales de los centros de distribución a lo largo de
la red nacional de una compañía transportadora, para asegurarse que las
medidas de seguridad y controles de inventario se llevan a cabo en
forma consistente.
El gerente de seguridad de la compañía
fabricante debe revisar otras medidas de seguridad usadas por la
compañía de transporte. Por ejemplo, la compañía fabricante debe
comprobar que el contratista de transporte emplee detectores de códigos
de barras para poder rastrear el producto mientras se mueve a través
del tránsito. Esta tecnología permite a la compañía verificar las
condiciones de un embarque, mientras va del punto A al punto B y
verificar que todas las cajas contenidas en el embarque están presentes
y contabilizadas para cuando lleguen a su destino final.
Bajo
estos sistemas, a las cajas se les coloca el código de barras y son
examinadas cuando salen de la planta de fabricación. Después las cajas
son examinadas en cada parada a lo largo del camino, incluyendo en la
llegada y salida de todos los centros de distribución y en el destino
final. El sistema registra la hora, día y la ubicación de un producto
cuando se registra sus ingresos y salidas.
Seguridad debe
verificar si la compañía transportadora usa sellos resistentes a la
manipulación y cerraduras en los camiones de carga. Sin embargo, aun
cuando los sellos pueden ser œtiles para disuadir el robo de las
cargas, no lo son en una investigación a menos que se hayan llevado
registros cuidadosos que le permitan al investigador localizar con
precisión dónde o cuándo ocurrió una brecha. Por consiguiente,
Seguridad también debe examinar los procedimientos del embarcador.
La
compañía transportadora debe hacer que un supervisor coloque el sello
después de que el camión ha sido cargado y el nœmero de seguridad del
sello debe anotarse en un libro de registro. Luego, el nœmero de
seguridad debe enviarse a un supervisor que esté en el destino final,
por correo electrónico, facsímil, o teléfono. Cuando el embarque llega,
el supervisor del destino final debe verificar y anotar el nœmero de
seguridad del sello, el cual no habrá cambiado si es que el camión no
ha sido abierto mientras transitaba.
Para los artículos de
alto valor, Seguridad debe usar una compañía de transporte que provea
de rastreo electrónico a todos los camiones en tránsito. Al usar un
transmisor del Sistema de Posicionamiento Global (GPS) u otra
tecnología similar, el personal de seguridad puede rastrear un camión,
un contenedor de embarque o un paquete individual a lo largo de todo su
viaje. Un programa informático en la estación central de control de la
compañía transportadora puede alertar al personal de seguridad, cuando
los productos o vehículos estén siendo desviados de su ruta prevista.
Si
la compañía de transporte no proporciona este servicio, el gerente de
seguridad puede pedirlo como una condición para hacer negocio. Por otro
lado, la compañía fabricante puede comprar un dispositivo rastreador
para su propio producto (a un costo de entre U.S. $500 y U.S. $1,500) y
colocarlo directamente a su embarque. Luego tendría que contratar a una
compañía de terceros especializada en seguimiento, para que rastree el
producto en tránsito, normalmente a un costo de aproximadamente U.S.
$30 por mes. En el œltimo caso, a la compañía transportadora se le debe
indicar que el producto del fabricante será rastreado.
Los
fabricantes también deben pensar en habilitar una línea telefónica
especial (usualmente un nœmero de llamada gratuita), que pueda ser
usada en caso de que un embarque se vea demorado durante el
desplazamiento.
Por ejemplo, el conductor de un camión podría
llamar a la línea especial para informar que su vehículo ha sufrido
desperfectos. El embarcador puede después enviar agentes de seguridad
al área para cuidar el producto, hasta que el camión sea reparado.
Adicionalmente,
algunos establecimientos de comercio al por menor sólo aceptan
embarques con previa cita. Si el conductor del camión llega demasiado
tarde, el minorista no aceptará el embarque hasta que sea hecha una
nueva cita. En el pasado, el despachador de la compañía transportadora
sería notificado y se definiría una nueva cita, normalmente para el día
siguiente. El camionero llevaría entonces el embarque a un área de
descanso para pasar la noche, en dónde sería vulnerable al robo. Con
una línea telefónica especial puede informarse directamente al
fabricante, quien puede hacer los arreglos para que el embarque tenga
seguridad en el área de descanso.
Los fabricantes también deben
considerar la nueva tecnología para sellar cajas, como la cinta
resistente a la manipulación. Por ejemplo, la cinta normal para embalar
puede ser sacada o cortada por ladrones y luego reemplazada, dejando
poca evidencia de se manipuló indebidamente la caja; las cajas que han
sido robadas no podrían descubrirse hasta que lleguen a su destino
final y sean abiertas. La cinta resistente a la manipulación, que es
sólo un poco más cara que la cinta de embalaje regular, cuando ha sido
cortada por ladrones cambiará de colores o mostrará palabras como
"Abierto". (Esto se hace a través de químicos contenidos en la cinta
que reaccionan ante cualquier rotura en ella). Con este producto, los
conductores de camión, agentes de seguridad y otros trabajadores de los
centros de distribución pueden ser rápidamente alertados de que ha
ocurrido un delito, dándole una mejor oportunidad a los investigadores
para encontrar evidencia para resolver el delito.
Los
fabricantes también necesitan ejecutar controles y procedimientos
internos de seguimiento. Los documentos sensibles deben ser protegidos
y sólo el personal que es responsable de registrar la salida de
embarques y la recepción de entregas debe tener acceso a las facturas,
manifiestos, cartas de embarque y comprobantes de entrega. Cuando las
facturas y otros documentos están viajando con el embarque, deben estar
asegurados dentro de un bolsillo o sobre resistente a violaciones, que
sólo es abierto cuando el embarque llega a su destino final. Este
procedimiento ayuda a evitar que los conductores de camión y otros
empleados cambien los formatos para esconder un robo; también previene
que los conductores y empleados puedan determinar el tipo y valor de
las mercancías contenidas en el embarque.
El fabricante debe
restringir el acceso a las facturas y documentos que estén en blanco,
los cuales podrían ser robados y falsificados para esconder un delito.
Del
mismo modo, es importante usar procedimientos seguros de acceso
inicial, así como protección contra el ingreso a ciertos archivos, para
evitar el acceso no autorizado a inventarios y registros de embarque
computarizados.
Cuando los robos ocurren, debe conducirse una
investigación completa.Por ejemplo, Whirlpool descubrió el año pasado
que sus máquinas lavadoras, refrigeradoras y componentes estaban
desapareciendo al ser transportadas en camión, desde sus plantas en
México hacia los comerciantes minoristas americanos.
Un
investigador siguió un embarque cualquiera en su automóvil y encontró
que uno de los camiones conteniendo aparatos salió del camino cerca de
Laredo, Texas, al parecer a un punto de caída bastante usado. Los
ladrones sacaron cuidadosamente las bisagras de las puertas del
remolque para no afectar los sellos de la puerta, descargaron los
aparatos y después reemplazaron las puertas para esconder el delito.
Después
de entrevistar al conductor, los investigadores confirmaron que había
sido sobornado para ayudar varias veces a los ladrones, saliendo fuera
del camino y permitiendo el acceso a su camión.
Cuando se dio
esta información, la Policía Estatal de Laredo pudo rastrear a los
ladrones y quebrar una bien organizada operación que se estima que ha
sido responsable por más de 1.5 millones de dollares en mercancía
perdida.
Una manera de detener este tipo de crimen es que
Seguridad ejecute periódicas investigaciones al azar de los camiones en
tránsito. Bajo este sistema, un investigador seguiría un camión al
salir del área de fabricación, asegurando que sigue la ruta previamente
designada. El investigador también notaría si el conductor sigue los
procedimientos de seguridad apropiados durante el tránsito, como cerrar
con llave el camión al detenerse en las áreas de descanso.
Otra
estrategia que está ganando el favor de los gigantes de los productos
de consumo como Panasonic, es enviar los productos en cajas simples,
sin etiquetas que tengan la marca de fábrica. (Las cajas interiores que
contienen el producto destinado a los estantes de las tiendas conservan
los logotipos y la descripción del contenido). Intel y Dell pudieron
reducir sus pérdidas de embarque en casi 80 por ciento al usar "la
envoltura simple" en sus embarques y embalando estrechamente
plataformas enteras de producto.
Las compañías trabajan duro
para desarrollar productos valiosos y forjar el reconocimiento a los
nombres de las marcas, que aumentará la lealtad del cliente y las
ganancias. Los gerentes están aprendiendo que deben igualmente trabajar
duro para evitar que esos recursos sean robados o falsificados, para
que el buen nombre de la compañía no sea empañado y las ganancias
pierdan su brillo.
Jeffrey A. Williams, CPP, es vicepresidente
de Pinkerton Asia Ltd. y supervisa las actividades de desarrollo
comercial y de servicio al cliente a lo largo de Asia y Australia. El
radica en Sydney. Antes de llegar a Pinkerton en 1992, Williams cumplió
una carrera de 23 años en el Departamento de Defensa de los EEUU como
agente especial en la Oficina de Investigaciones Especiales de la
Fuerza Aérea. Su œltima asignación fue como oficial de
contrainteligencia y seguridad del segundo comandante en jefe, Comando
de Transportes de los EEUU.
El
tráiler entregado por la compañía distribuidora-–un gran centro de
distribución de varios locales con sede en Nueva Jersey--estaba lleno
de un surtido de alimentos perecederos y no perecederos, productos de
tabaco, productos de belleza y de atención de salud, y mercancía en
general. Como muchas de las entregas de la compañía, que se programan
24 horas al día, seis días a la semana, el tráiler había sido dejado
durante la noche; el conductor simplemente había dejado el tráiler
cargado allí y vuelto al centro de distribución. El personal de
recepción de la tienda descargaría los artículos cuando llegasen por la
mañana. El siguiente conductor que dejase un tráiler cargado en la
tienda llevaría el vacío de regreso al centro de distribución.
Para
proteger la mercancía luego de que se había dejado el tráiler, las
puertas del tráiler fueron aseguradas con sellos con cerradura de
varilla. La única manera de quitar la cerradura era utilizar un
cortador de pernos de 36 pulgadas, el cual poseían todas las tiendas.
Miles de entregas se habían realizado de esta manera por años sin
incidentes. Esa situación iba a terminar en las primeras horas de una
mañana de enero a finales de los años 90, con el primero de una serie
de robos y escalos de tráileres.
Al comienzo, se pensó que
alguien que pertenecía a la organización estaba cometiendo los delitos,
como es el caso frecuente en los robos de carga. Pero la evidencia
llevaba a otro lugar. Al final, lo que ayudó a resolver el caso fue la
combinación de unos cuantos golpes de suerte, personal con inteligencia
práctica, un fuerte trabajo detectivesco y un fiscal colaborador. La
experiencia ofrece lecciones para cualquier empresa. /p>
Respecto
a los delitos. Alrededor de las 8:10 a.m. de ese día de enero, el
gerente de una de las tiendas que recibía las entregas llamó al autor
para informar que su tráiler de entregas, que había sido dejado a la
1:00 a.m., había sido forzado cierto tiempo después de haber llegado.
El sello con cerradura de varilla había sido cortado y había
desaparecido más de $4,000 en cigarrillos y otra mercancía. Una
investigación preliminar dio como resultado una lista de posibles
sospechosos que incluía a unos socios empleados en la tienda, empleados
recientemente cancelados, y el mismo conductor del tráiler de entregas.
Doce
días después, mientras este incidente todavía estaba bajo
investigación, el autor-–en ese tiempo director de seguridad de la
compañía distribuidora-–recibió una llamada similar de otra tienda, a
primeras horas de la mañana, informando que habían forzado su tráiler
de entregas entre la hora en que había sido dejado en la tienda
(aproximadamente a las 11:30 p.m. la noche anterior) y la hora en que
se inició la descarga (alrededor de las 6:30 a.m. de ese día).
Nuevamente
los cigarrillos habían desaparecido, así como una variedad de otros
artículos considerados fáciles de vender a compradores de materiales
robados, como fórmula para bebes, pañales y café. Este caso involucraba
a un conductor distinto al del primer caso, pero ambos robos seguían el
mismo patrón.
Nueve días después se reportó otro hurto
nocturno de un tráiler. Una vez más robaron cigarrillos y otras
mercaderías por valor de varios miles de dólares y una vez más, un
conductor diferente hizo la entrega.
Los robos de tráileres
continuaron por más de cinco meses. A veces pasaban dos semanas sin un
incidente; otras veces sucedían dos robos en la misma semana. Las
pérdidas de mercadería al por mayor variaban de $3,000 a $6,000 por
incidente. Además de la pérdida en dinero estaba el costo agregado de
las nuevas entregas y los problemas operativos.
Ideas preliminares.
El
departamento de prevención de pérdidas de la compañía distribuidora
documentó en detalle cada incidente y buscó cuidadosamente patrones o
denominadores comunes que pudieran proporcionar pistas sobre los
responsables de los robos o en dónde darían su siguiente golpe los
ladrones. Pero el análisis de los incidentes no reveló nada de
utilidad. Por ejemplo, sólo en unos cuantos de los robos entregó el
conductor más de uno de los traileres forzados. A menos que hubiese una
súbita conspiración que implicase a muchos conductores, parecía
improbable que los conductores estuviesen involucrados en estos robos.
Además,
geográficamente no existía ningún patrón. Un incidente en el norte de
Nueva Jersey era seguido por un incidente en el sur de Nueva Jersey,
luego otra vez en la parte norte del estado, después en Nueva York,
luego en el centro de Nueva Jersey, y así sucesivamente. Y con 205
tiendas recibiendo tráileres, muchos de los cuales eran entregados de
noche, efectuar una vigilancia sobre todos ellos, o siquiera sobre una
porcentaje significativo, no era factible.
Para frustrar
intentos adicionales de escalo, el departamento de prevención de
pérdidas consideró una variedad de medidas, incluyendo instalar alarmas
en los tráileres. Sin embargo, esta opción requeriría colocar alarmas
en casi 400 tráileres. La idea fue descartada como una posible medida
preventiva porque el costo era prohibitivo y no había seguridad de que
una alarma audible originaría que los ladrones abortasen un robo.
La
opción de instalar seguros especiales también fue rechazada por ser
demasiado costosa. Igualmente, la eliminación de las entregas nocturnas
no era una opción ya que crearía una pesadilla logística: la capacidad
de funcionamiento del centro de distribución dependía de que un gran
porcentaje de las entregas se realizase por la noche. Además, un turno
entero que involucraba a docenas de camioneros del sindicato Teamsters
no se podría trasladar a los turnos de día y tarde.
Otro
problema era la atención de la policía. Los robos ocurrían en varios
pueblos por toda Nueva Jersey y Nueva York, rara vez en la misma
jurisdicción más de una vez. El centro de distribución podría haber
estado experimentando una ola de delitos, pero la policía de las
municipalidades individuales veía cada incidente como un hecho ocurrido
una o máximo dos veces, así que pocos recursos y tiempo de la policía
fueron dedicados a los ingresos forzados.
Aunque estaba claro
para el departamento de prevención de pérdidas que se necesitaba
atrapar a los ladrones, el personal también se dio cuenta que
básicamente dependían de ellos mismos para que esto sucediera. El
obstáculo más grande en su camino era la incapacidad de predecir
dónde-–entre las 205 tiendas que recibían entregas del centro de
distribución-–golpearían los ladrones la próxima vez.
Pista crítica.
Para
suerte del centro de distribución, el siguiente hurto proporcionó una
valiosa pista para predecir las acciones de los ladrones. En ese caso,
el tráiler en cuestión había sido dejado a las 6:55 a.m., y el personal
de la tienda descubrió el robo a las 7:30 a.m., dando a los
investigadores el período de tiempo más estrecho de todos los robos
hasta esa fecha; el escalo, evidentemente, había ocurrido poco después
de que el tráiler fuera dejado.
Esta información era importante
puesto que el departamento de prevención de pérdidas había teorizado
previamente que los ladrones sabían cual era la noche en que cada
tienda estaba programada para recibir una entrega y entonces
simplemente esperaban la llegada del tráiler a la tienda. Pero en este
último incidente, la ubicación de la tienda en un área altamente
residencial hacía improbable que los ladrones hubiesen esperado en o
cerca de la tienda toda la noche para forzar su ingreso al tráiler poco
después de su llegada.
Esta información adicional produjo una
nueva teoría. El personal de prevención de pérdidas sospechaba ahora
que los ladrones estuviesen siguiendo los tráileres desde que salían
del centro de distribución. Dicha situación podría explicar lo
aleatorio de los incidentes, ya que ni siquiera los ladrones sabrían a
dónde iban hasta que el tráiler llegase a su destino.
Luego,
los ladrones podrían decidir, basándose en los alrededores, si forzar
el trailer o regresar al centro de distribución y esperar la partida de
otro trailer.
Quizás en el último incidente los ladrones se
habian sentido incómodos con el destino del tráiler que habían seguido
más temprano esa noche y habían regresado al centro de distribución
para seguir a otro tráiler, lo cual explicaría por qué el robo no
ocurrió hasta después de las 6:55 a.m. Además, la ubicación del centro
de distribución era tal que alguien podía sentarse brevemente en un
vehículo estacionado cerca sin atraer mucha atención.
Vigilando
a los sospechosos. Trabajando con la nueva teoría de la selección de
sus blancos por los ladrones, el departamento de prevención de pérdidas
empezó a efectuar vigilancia nocturna del camino donde estaba ubicado
el centro de distribución, así como de las calles y propiedades
adyacentes. El personal sabía que estaban buscando un camión furgón o
una furgoneta porque el vehículo utilizado en los robos previos tenía
que ser lo suficientemente grande para poder llevarse cantidades
considerables de mercancía.
Además, sospechaban que sería un vehículo alquilado, así que el personal estaba en busca de un camión Ryder o U-Haul.
Pronto
aparecieron los resultados de los esfuerzos de vigilancia. Alrededor de
las 2:05 a.m. de la cuarta noche de vigilancia, el supervisor de
prevención de pérdidas, Paul, divisó dos hombres sentados en un camión
furgón Ryder aproximadamente a 140 m. del centro de distribución. Llamó
al autor y un empleado de prevención de pérdidas, Jim, para ayuda.
Cuando
el siguiente camión tráiler salió del centro de distribución, los
hombres en el camión furgón salieron de donde estaban estacionados y
empezaron a seguir al tráiler. Para no dejar que el camión
desapareciera, Paul lo siguió. Telefoneó al oficial de seguridad en la
garita para averiguar el destino del tráiler y le comunicó esta
información al autor. Ochenta y cinco kilómetros después, el tráiler
llegó a su destino, una tienda en el norte de Nueva Jersey. Sin ser
descubierto, Paul había seguido el camión furgón a lo largo del viaje.
Tan
pronto como el tráiler fue dejado en la tienda y el conductor había
partido, los hombres en el camión furgón se detuvieron detrás de la
tienda. Paul observó mientras uno de los hombres cortó el sello con
cerradura de varilla en la puesta trasera del trailer y subió al
tráiler. El segundo hombre se quedó afuera como vigía. Paul entonces
detuvo su vehículo detrás de la tienda. Su rápida aproximación hizo que
el hombre que estaba de vigía escapase corriendo y Paul cerró la puerta
posterior del tráiler y la aseguró, atrapando en su interior al otro
ladrón.
Aproximadamente en ese momento llegaron el autor y Jim a la escena.
A
continuación, Paul le hizo señas a un carro patrulla de la policía y le
informó al oficial de los eventos ocurridos hasta ese momento,
incluyendo la condición del ladrón dentro del trailer. Luego, el
oficial pidió apoyo por radio. Llegaron dos oficiales más y el
individuo dentro del trailer fue sacado y esposado.
En el
cuartel general de la policía, el ladrón, a quien llamaremos Chris, no
llevaba ninguna identificación y no cooperaba. Negó tener algún
conocimiento de los robos previos.
Fue entonces que se le dijo a
Chris que la evidencia dentro del camión Ryder lo vinculaba a uno de
los anteriores robos de tráiler: una caja de mercancía etiquetada con
el nombre de la tienda donde había ocurrido el robo anterior se
encontró debajo del asiento del conductor. Al ser enfrontado con esta
evidencia, el sospechoso decidió cooperar completamente. Le dijo a la
policía que él era uno de los cuatro hombres que habían estado
ingresando a la fuerza a los tráileres del centro de distribución, así
como a tráileres de otras compañías, incluyendo almacenes grandes.
El
sospechoso procedió a explicar que los ladrones trabajaban en equipos
de dos o tres hombres y dio los nombres de los otros miembros de su
equipo. También proporcionó el nombre y la ubicación del lugar donde se
compraban los bienes robados, en donde él y los demás miembros del
equipo vendían la mercancía que robaban.
Debido a que Chris
tenía siete órdenes judiciales activos en cinco condados distintos de
Nueva Jersey, estaba dispuesto a hacer cualquier cosa para cooperar con
la investigación. Accedió a ayudar a organizar una operación para
detener a los otros miembros del equipo y del lugar donde vendían los
bienes robados.
Hizo esto esperando recibir un poco de indulgencia, aunque la policía no prometió nada.
La operación.
Como
el lugar de comercialización de bienes robados estaba en otra
municipalidad, se inició contacto con la oficina del fiscal del condado
para conseguir su ayuda. Chris proporcionó información detallada sobre
cómo trabajaban él y su equipo y cómo decidían qué camiones-tráileres
seguir y qué sitios evitar. Usando esta información, los miembros del
departamento de prevención de pérdidas y de la oficina del fiscal
desarrollaron un plan detallado. Con Chris trabajando como el “hombre
dentro de la organización”, virtualmente todos los aspectos de la
estrategia fueron considerados controlables.
Menos de una semana
después de que Chris fuera aprehendido, el plan fue activado. Chris,
ahora liberado bajo fianza y cooperando completamente, llegó al centro
de distribución a la 1:00 a.m. con dos miembros de su equipo.
Estacionaron su camión alquilado en el lugar habitual y esperaron la
partida de un tráiler. Debido a que los otros miembros del equipo no
sabían que su compañero había sido capturado en el último hurto, no
tenían motivo para pensar que las actividades de esa noche no eran sino
otro trabajo de escalo.
El departamento de prevención de
pérdidas había arreglado para que se alterase el horario de remesas de
esa noche, de tal forma que el único tráiler por salir después de la
1:00 a.m. sería el que estaba destinado a ser el cebo. Chris
aseguraría, como parte de su papel en la operación, que él y su equipo
siguiesen ese tráiler en particular.
Los miembros del
departamento de prevención de pérdidas y de la oficina del fiscal
esperaron la llegada del tráiler cebo en el destino previamente
acordado, una tienda elegida para la operación debido a que era
particularmente adecuada para la vigilancia. El grupo observaba
mientras el conductor dejó el tráiler detrás de la tienda y partió.
Minutos
después, Chris y su equipo estacionaron el camión alquilado detrás de
la tienda y procedieron a forzar el tráiler. En esta fase el grupo de
vigilancia no hacía otra cosa que observar y grabar videos de los
criminales.
Cuando se terminó el robo, se permitió a Chris y a
los otros ladrones partir con la mercancía robada para llevarla al
lugar donde la vendían. Los miembros del departamento de prevención de
pérdidas y de la oficina del fiscal seguían a una distancia segura:
Chris había proporcionado el nombre y la dirección exacta del lugar de
venta de bienes robados (un pequeño centro de distribución de licor,
tabaco y mercancía en general).
Cuando Chris y su equipo
llegaron al lugar, comenzaron inmediatamente a llevar la mercancía
robada al edificio. Una vez más, los miembros del departamento de
prevención de pérdidas y de la oficina del fiscal permanecían
estacionados disimuladamente en las cercanías, filmando la actividad.
Poco después de que todo la mercancía robada había sido llevada al
edificio, Chris salió e hizo la señal previamente acordada para indicar
que la transacción se había completado.
Inmediatamente, los
miembros del departamento de prevención de pérdidas y de la oficina del
fiscal convergieron en el edificio, con estos arrestando a los
participantes, incluyendo a Chris. Uno de los miembros del equipo subió
al camión Ryder en un intento por escapar, pero fue sacado de él y
aprehendido por Jim.
Descubridores, dueños.
Tan pronto
como se emitió la orden de registro, el personal de prevención de
pérdidas examinó las existencias almacenadas en el edificio de venta de
artículos robados y al hacer esto recuperaron miles de dólares en
bienes que podían ser identificados como pertenecientes a la compañía
de distribución. Además, la oficina del fiscal llevó un perro detector
de drogas, y se encontraron cantidades considerables de cocaína así
como dos armas no registradas (y una placa donde se leía “Apoye a su
policía local”). El proceso de identificar y recuperar todos los bienes
robados tomó horas. Se usó el mismo camión alquilado implicado en el
delito para trasladar la mercancía recuperada a la oficina del fiscal,
donde fue fotografiada y rotulada como evidencia.
El propietario
del pequeño centro de distribución que servía como depósito de bienes
robados fue posteriormente declarado culpable. Además, perdió su
licencia expedida por el estado para manejar productos de alcohol y
tabaco, lo cual esencialmente lo puso fuera del negocio. Igualmente,
dos miembros del equipo fueron declarados culpables de cargos de robo
agravado, y cada uno fue sentenciado a cinco años.
Chris,
aunque no fue acusado en este caso, aún tenía que presentarse en cinco
condados diferentes para responder a los cargos. Aunque cada juez
consideró la cooperación y ayuda que proporcionó Chris en este caso,
sin embargo recibió una sentencia de cinco años en cada condado, para
cumplir simultáneamente.
Epílogo positivo.
Pero la
historia no terminó con la condena de los ladrones. A unos 18 meses de
su sentencia en la cárcel, Chris fue considerado apto para el Programa
de Libertad Condicional Intensamente Supervisada (ISP, por sus siglas
en inglés) en Nueva Jersey. Aunque contaba con un largo historial de
antecedentes criminales, todos sus delitos eran de una naturaleza no
violenta. Eso, junto con su papel al ayudar a acabar con los robos del
equipo, lo hizo apto para el programa.
El autor se presentó a
favor de Chris en su audiencia de libertad condicional y estuvo de
acuerdo en conseguirle un trabajo en la compañía de distribución, para
cumplir con el requisito de empleo del Programa ISP. El autor tomó en
consideración los riesgos que esto implicaba, pero también recordó como
Chris había jugado un papel decisivo para el resultado del caso de los
robos de carga y pudo ver el potencial de tener tal persona en forma
encubierta en la compañía.
Además, el puesto no era un trabajo sindicalizado, así que su despido sería relativamente fácil si llegase a ser necesario.
La
decisión dio buenos resultados. La capacidad de Chris para enterarse
del robo y otra actividad contraproducente en la compañía donde ahora
trabajaba era asombrosa y de gran utilidad para la gerencia. En la
primera semana de su trabajo, Chris proporcionó información que llevó a
la aprehensión y despido de un empleado que estaba vendiendo cocaína en
la propiedad de la compañía.
Durante los siguientes tres años,
Chris proporcionó inteligencia valiosa que tuvo como resultado que el
departamento de prevención de pérdidas detuviera y despidiera a varios
empleados y vendedores por una variedad de robos. También jugó un papel
decisivo en una investigación que terminó con una banda de jugadores
dirigida por un supervisor de división y en otra investigación que
acabó con un plan de soborno en un departamento de recepción.
En
otras oportunidades, Chris simplemente proporcionaba la inteligencia
que necesitaba el departamento de prevención de pérdidas, sin
involucrarse personalmente en la actividad que estaba siendo
investigada. En otras ocasiones, era necesario que Chris participase en
la actividad para poder proporcionar los detalles necesarios para que
la investigación concluyese de manera exitosa. En dichos casos, era
necesario mucho cuidado y planeamiento para aislar a Chris cuando se
realizaban las capturas, para no revelar su papel en la investigación.
Por
ejemplo, en la investigación del soborno en el departamento de
recepción, Chris realmente tuvo que participar de forma breve en la
actividad ilegal para obtener los detalles del funcionamiento de la
conspiración y para identificar a todos los que estaban involucrados.
También tenía que grabar las conversaciones telefónicas que sostenía
con el individuo que dirigía el plan, aunque las grabaciones no fueron
utilizadas como evidencia.
Una vez que se obtuvo toda la
información, el departamento de prevención de pérdidas utilizó el
pretexto de una auditoria sorpresa para “descubrir” la actividad
ilegal. Esta táctica hizo posible que seguridad aprehendiese a los
participantes clave en la conspiración, sin exponer a Chris.
Pasado
el tiempo, Chris completó el Programa ISP. Hoy, dirige su propio
exitoso negocio, utilizando las habilidades, contactos y experiencia
que adquirió mientras trabajaba en el centro de distribución. Su
empresa da trabajo a 24 personas, algunas de las cuales han tenido sus
propios roces con la ley y ahora están tratando de reencaminar sus
vidas. Él y el autor se mantienen en contacto.
Craig T. Frank,
CPP, CFE (Examinador certificado de fraude), es gerente de prevención
de pérdidas, protección y riesgo de los Supermercados King, Inc., cuya
sede principal se encuentra en Parsippany, Nueva Jersey. Es miembro de
ASIS.
Alimentos
Kraft de México pensó que estaba en buenas manos. Sus operaciones de
seguridad local estaban supervisadas por una compañía de guardias de
seguridad de propiedad de un oficial de la policía local. La compañía
parecía ser confiable. También supervisaba operaciones de seguridad de
varias otras empresas multinacionales. Lo que Kraft no se dio cuenta
fue que el dueño (lo llamaremos Paco) era corrupto.
Como lo
cuenta Steve Montgomery, director de seguridad de Alimentos Kraft de
México, Paco utilizaba sobornos, amenazas, coima, intimidación y otras
intrigas para mantener control del programa de seguridad de la carga de
Kraft mientras que también tramaba robar esos mismos camiones. En pocas
palabras, estaba sacándoles el jugo mediante una doble maniobra:
ganando millones en un lucrativo contrato de seguridad con Kraft y
vendiendo en el mercado negro mexicano los productos por cuya
protección se le pagaba.
Paco sabía que los populares quesos
Kraft, las galletas Nabisco y otros productos comestibles eran fáciles
de trasladar y vender, en especial bebidas en polvo como Tang y Clight.
Utilizaba la complicidad de conductores, policías y otros para desviar
y robar la carga. Aquellos que rechazaban los sobornos o las noches en
un club nocturno del que él era dueño eran amenazados con la muerte.
Sólo
en 2001, se estima que Paco, su hermano y sus contactos policiales se
llevaron $524,000 en productos. A mediados de 2001, Kraft se dio cuenta
de que algo tenía que hacerse. Montgomery fue contratado y se le
asignó la investigación. Como resultó ser, la culpabilidad de Paco no
fue difícil de descubrir. Un mes después de la llegada de Montgomery,
Paco intentó sobornarlo con un Cadillac.
Librar las
operaciones de la compañía del control de Paco resultaría ser más
difícil. Cuando Montgomery le hizo saber a Paco que no podía ser
sobornado, Montgomery empezó a ser detenido rutinariamente por
policías-–evidentemente asociados de Paco–-debido a violaciones
frívolas de manejo.
Montgomery no fue disuadido. Planeó una
estrategia con dos orientaciones: incorporar tecnología y contratar un
proveedor nuevo y confiable de guardias de seguridad.
Rastreando camiones.
Los
conductores contratados de camiones eran la parte principal del
problema. Por lo tanto, en el área tecnológica, Montgomery decidió
reforzar la protección de la carga haciendo instalar sistemas de
posicionamiento global (GPS, por sus siglas en inglés) en la flota de
camiones que la empresa arrendaba de terceros; los GPS ayudarían a la
empresa a rastrear los movimientos de la carga.
En ese momento,
Kraft tenía contratos con 179 compañías diferentes de camiones para
mover sus productos. La gerencia decidió que éste era también un buen
momento para reducir su grupo de contratistas de camiones. Kraft pudo
disminuir sus proveedores de camiones a 50, pero 10 de esos
proporcionaban 80 por ciento de los camiones. (Actualmente, Kraft
intenta utilizar exclusivamente esas 10 empresas, pero, en temporadas
de alto volumen, la empresa recurre a los servicios de las otras 40
compañías). De las 10 empresas que eran utilizadas regularmente, ocho
solicitaron ayuda para financiar la instalación del equipo. Kraft
acordó financiar el costo inicial para esas empresas de camiones, y las
empresas acordaron que el préstamo sería reembolsado en el plazo más
breve.
Una vez que se contrataron a los contratistas de
camiones, Montgomery anunció una licitación para compañías que pudiesen
proporcionar esta tecnología. Para disminuir la posibilidad de que
firmas indeseables participasen en la licitación, Kraft estableció
criterios elevados para el abastecimiento y operación de los GPS, dice
Montgomery. “Ello eliminó a casi todos.” Solo dos empresas devolvieron
ofertas. Una compañía cobraba por viaje, lo cual habría sumado una
cantidad exorbitante. El postor ganador, Vance Internacional de Oakton,
Virginia, (con una oficina en la Ciudad de México) ofreció un precio
fijo-–mucho más barato que el cobro por viaje–-basado en las zonas
geográficas a ser protegidas. Tan importante como eso, Montgomery había
trabajado antes para Vance en un caso de secuestro en México, y se
sentía seguro de que la firma era confiable.
Kraft y las
compañías de camiones hacen un pago mensual por concepto de monitoreo a
Vance. Esta obligación compartida surgió debido a que estas compañías
de camiones también utilizan el GPS para otros clientes además de Kraft.
El nuevo guardia.
Otro
paso fue abordar los problemas de personal. A inicios de septiembre de
2001, Montgomery secretamente empezó a contratar y entrenar una fuerza
de guardias de seguridad. Se reunió con varios proveedores de recursos
humanos, incluyendo firmas de alcance mundial. Sólo una, una agencia
local de personal llamada Gemini, estaba dispuesta a aceptar todas las
condiciones que Kraft había establecido, dice Montgomery.
Para
reclutar a los mejores y más responsables candidatos para guardias,
Montgomery restringió la contratación sólo para graduados de escuela
secundaria (la mayoría de los mexicanos no lo son, dice). También los
evaluó a fondo, haciéndolos pasar por dos entrevistas, un examen
poligráfico, una prueba de drogas, una verificación de referencias y
una verificación de antecedentes. Además, a los guardias se les pagaría
50 por ciento más de lo que típicamente gana un guardia en la Ciudad de
México. Como la corrupción policial era una preocupación, Montgomery
también decidió que nadie con lazos con la policía sería contratado.
Manteniendo
el rumbo. Asimismo, algo tenía que hacerse con respecto a los
conductores. Pero los conductores no son empleados de Kraft; son
empleados de las empresas proveedoras de camiones. Por lo tanto, Kraft
no podía hacer las verificaciones al grupo de conductores. Para vencer
este obstáculo, Kraft empezó a pedir a los contratistas de camiones que
firmasen acuerdos declarando que ellos serían responsables de
reembolsar a Kraft si cualquiera de los conductores estuviese
involucrado en un robo. Como resultado, los contratistas han eliminado
a muchos conductores corruptos.
Además, Vance instituyó un
programa para verificar a los conductores y cerciorarse que todos los
permisos y licencias estén en orden. Los conductores deben proporcionar
una licencia y tomarse una foto en Vance, la cual envia la foto al
punto de llegada para asegurar que el conductor correcto llega al
destino correcto. Además, Vance mantiene para Kraft una base de datos
de los conductores.
Haciendo el cambio.
El 12 de octubre
del 2001, Kraft estaba lista para acabar con el control de Paco sobre
las operaciones locales de seguridad de la compañía. El primer paso fue
reemplazar a los oficiales. Montgomery había contratado y entrenado a
167 guardias para los ocho locales de la empresa. “Los cambiamos en un
día,” dice Montgomery. Al día siguiente, Paco llegó y le cerraron las
puertas. Como era previsible, Paco mostró desagrado cuando fue
desalojado de Kraft. Pero Montgomery dijo que Kraft no titubeó. “Lo
enfrentamos de poder a poder”, dice. “Le hicimos saber que no nos
íbamos a echar para atrás”.
Igualmente crítico fue luchar por el
control de los envíos. Al intervenir el 23 de octubre, Vance hizo que
los contratistas de camiones para Kraft instalasen los sistemas de
posicionamiento global de Track Star International, Inc. en los
vehículos designados para Kraft. Kraft pudo habilitar 80 por ciento de
su flota con el GPS.
Desafortunadamente, poco después, Wal-Mart,
un cliente de gran importancia, le informó a Kraft que ya no
despacharía productos Kraft a los mercados locales. Aquello le exigía a
Kraft contratar 300 camiones adicionales de varios proveedores. Kraft
creía que no sería económico instalar GPS en esos vehículos, en
especial porque la compañía sabía que no utilizaría a algunos de estos
contratistas a largo plazo. Como resultado, 258 camiones-–menos de la
mitad de la flota arrendada–-tienen GPS. La mayoría de estos camiones
operan en el área de la Ciudad de México, pero algunos van tan lejos
como Tijuana (a 1700 millas de distancia) o Mérida (a 800 millas de
distancia en la península de Yucatán).
Monitorización con GPS.
La
monitorización se lleva a cabo mediante el software que se encuentra
dentro del teléfono celular de cada vehículo. Debido a que simplemente
retirando el teléfono se impediría rastrear al camión, Kraft
rutinariamente mueve estas unidades a diferentes ubicaciones
encubiertas dentro del camión. Luego, los oficiales de Vance
monitorizan los movimientos precisos de la flota en un centro de
comunicaciones que funciona las 24 horas. Cada camión está representado
por el icono de un pequeño camión moviéndose sobre un mapa, y los
operadores están alerta a cualquier desviación de las rutas designadas.
Al hacer clic en el icono de un camión se presenta toda la información
de esa unidad, incluyendo al conductor, números de contacto, la
aseguradora de la compañía camionera, y así sucesivamente.
Cuando
el sistema empezó a operar se dio especial atención a las rutas que
antes habían sido frecuentemente afectadas. Los monitores estaban
atentos a cualquier señal de paradas o movimientos inesperados.
Además,
los conductores podían llamar la atención del centro de monitorización
presionando un botón de emergencia escondido en la cabina. En ese
momento, un oficial de seguridad de Vance apagaría el motor del camión
en forma remota. Alternativamente, el oficial podría hacer sonar la
bocina o ponerle seguro a las puertas. Igualmente, el audio dentro de
la cabina podría ser grabado mediante control remoto.
Como parte
del convenio para el rastreo, Vance también tiene oficiales en
vehículos en varios puntos a lo largo de las rutas de los camiones,
como lo hace Kraft. Cuando se identifica un problema, estos vehículos
siguen el camión a distancia, pero lo suficientemente cerca como para
mantener el contacto visual. (No todos los camiones tienen GPS, pero
todos los vehículos de seguimiento sí, de modo que los conductores no
tienen que estar indicando su posición por radio a la estación de
monitorización). En los casos en que ha ocurrido un incidente, los
culpables han sido atrapados ya sea por los oficiales de Vance o por el
personal de seguridad de Kraft.
Generalmente, los oficiales no
van con los conductores de los camiones debido al riesgo de que ambos
sean secuestrados. En dos casos, un oficial que seguía a un camión en
un vehículo aparte se acercó demasiado y fue secuestrado junto con el
conductor, luego de lo cual los bienes fueron robados.
Para
prevenir fallas de la señal satelital, Kraft pasó tres semanas
identificando las áreas sin servicio celular. Las rutas por estas áreas
han sido modificadas y los conductores no deben acercarse a estas áreas
sin servicio. En los pocos casos donde ha fallado la señal, el centro
de comando ha podido ponerse en contacto con los vehículos de
acompañamiento y coordinar una caza.
Además, Kraft también
empezó a enviar “camiones falsos”. Estos vehículos cargaban personal
armado en lugar de queso y galletas. Estaban diseñados como señuelos
para engañar a los secuestradores. Pero, hasta la fecha, ninguno de
estos camiones ha sido atacado. Eso no ha sorprendido a Montgomery;
ello además le confirma que los delitos son coordinados por los
conductores, quienes escogen ubicaciones y momentos específicos para
los robos.
Resultados.
Por lo menos se han intentado 11
robos desde que se instaló el nuevo régimen de seguridad, seis sólo en
marzo y abril de 2002, todos frustrados. En algunos casos, Montgomery
apagó el motor del camión por control remoto, calculando la desconexión
del motor para que coincidiese con la llegada inminente de sus fuerzas
de seguridad. En otros casos, utilizó el GPS para rastrear a los
camiones hasta los almacenes donde estaban siendo descargados, antes de
enviar a oficiales de seguridad para recuperar los vehículos y los
bienes. Un observador vigilaría físicamente la descarga desde lejos,
como refuerzo al GPS.
Afortunadamente, ninguna de las capturas
ha llevado a la violencia. Los oficiales de Vance generalmente llegan
sin armas a las escenas del delito e inmediatamente llaman a contactos
de confianza en la policía y a las unidades armadas de seguridad de
Kraft. No ha habido disparos ni lesiones, dice Montgomery. “Los
hampones no tienen ganas de morir por queso y galletas.”
El
único detalle desalentador es que como los robos no han tenido éxito,
las sentencias han sido leves. A los ladrones frustrados no les imponen
más de 45 días de cárcel en México, dice Montgomery. Además, Kraft hizo
arrestos de ciudadano, pero como los culpables eran policías, sus
colegas los liberaron en poco tiempo.
Deshacerse de Paco no ha
sido fácil-–aún aparece aproximadamente una vez al mes y expresa su
insatisfacción con uno de los gerentes de local, dice Montogomery–-pero
ello ha pagado enormes dividendos. Kraft estima que ha ahorrado por lo
menos $1.5 millones en gastos de seguridad y en pérdidas evitadas desde
que se cortaron los lazos con él.
Michael A. Gips es un editor senior de Security Management.
Una
organización de seguridad sin ejercicios de seguridad es como una
producción teatral sin ensayo general.No importa cuan talentosos sean
los actores o cuánto tiempo pasan separadamente estudiando sus
líneas.Sin varios ensayos bajo el ojo crítico del productor y sin todos
los protagonistas practicando juntos bajo condiciones que simulen la
esperada presentación en vivo--incluyendo, por ejemplo, las condiciones
de luz y sonido--la noche de estreno probablemente fracasaría.Un
ejercicio es el ensayo general de la seguridad.
Los ejercicios
de seguridad aclaran quién hace qué, y revelan las debilidades y
necesidades de equipo.Validan la efectividad de la respuesta y mejoran
la coordinación entre seguridad, fuerzas policiales, y otras entidades
de apoyo de emergencia. Son la única forma de prepararse para una
presentación en vivo.
En el siguiente análisis de cómo debe
conducirse un ejercicio, el autor hace uso de 17 años de experiencia en
la planificación, conducción y participación en ensayos y ejercicios de
seguridad tanto enlas instalaciones de armas nucleares del Departamento
de Energía como en las centrales nucleares. Aunque estas pautas están
dirigidas ante todo a ejercicios en instalaciones de alto riesgo, los
cuales, por ejemplo, podrían apuntar a detectar y detener intrusos
maliciosos, muchos de los principios y protocolos de planeamiento
también son aplicables a instalaciones de bajo riesgo.
Desarrollo del ejercicio.
La
persona de seguridad responsable de administrar el programa de
ejercicios de seguridad (por lo general un instructor de seguridad)
tiene varias responsabilidades clave.Primero es decidir cuál será el
tema del ejercicio.Debe estar basado en las amenazas específicas que
podría enfrentar la organización conforme se haya determinado en su
propia evaluación de riesgos. (En este artículo, se presume que el
ejercicio es contra un adversario que trata de introducirse a la
instalación.)
Además de diseñar el ejercicio, el instructor de
seguridad debe establecer un programa anual de ejercicios y asegurar
que esté integrado con otros programas de seguridad y de la
instalación.Los programas de ejercicios deben tomar en cuenta las horas
de trabajo de los empleados y otros factores operacionales. Por
ejemplo, la alta gerencia probablemente no vería favorablemente a
guardias de seguridad corriendo por los pasadizos durante el “día de
llevar su hijo al trabajo”.
El instructor también es responsable
de completar y mantener los informes de los ejercicios y otros archivos
relacionados. Se puede usar estos documentos después para aprender de
los ejercicios y para verificar que los ejercicios fueron efectuados.
El
instructor de seguridad tendrá, por supuesto, que haber pasado por el
proceso de entrenar a la fuerza de seguridad en cualquiera de los
procedimientos que van a ser sometidos a prueba en el ejercicio. No
tiene sentido que la fuerza de seguridad realice ejercicios hasta que
estén adecuadamente entrenados en los conjuntos de procedimientos y
habilidades que se aplicarán.
Participantes en el ensayo.
Además
de entrenar a los empleados en los procedimientos que serán puestos a
prueba, el instructor de seguridad debe designar y entrenar al personal
en los diversos papeles que se deben hacer durante el ejercicio.Los
ejercicios y mini-ejercicios de entrenamiento pueden implicar sólo al
instructor y a un guardia de seguridad o pueden involucrar a un turno
completo de seguridad. Sin embargo, los ejercicios totalmente
desarrollados, y especialmente los ejercicios de fuerza contra fuerza
requieren una escala más amplia de asignaciones. Los participantes
podrían incluir los siguientes roles.
Controlador principal.
Esta
persona poseerá un conocimiento completo de la situación y de las
operaciones de respuesta de seguridad. El o ella debe tener libertad
para recorrer el área del ejercicio para brindar una supervisión
apropiada.Esta función puede ser cumplida por el instructor de
seguridad.
Evaluador.
Los evaluadores son aquellos
individuos entrenados en seguridad que se ubican estratégicamente para
observar y documentar el desempeño de oficiales especifícos de
respuesta. Esta función debe ser desempeñada por una persona conocedora
del puesto de seguridad al que es asignada. Si el ejercicio va a ser
digno de consideración, los evaluadores deben saber qué observar y cómo
evaluar lo que ven.
El evaluador informa sus observaciones al
controlador principal. Es una buena idea asignar un evaluador para cada
oficial de seguridad.
Controlador.
Las personas que
cumplen estas funciones son responsables de controlar o facilitar algún
aspecto de las acciones de un oficial de seguridad o de la amenaza
simulada.A la hora fijada, un controlador introduce estímulos
artificiales o eventos ideados para evitar riesgos de seguridad o para
agregar realismo a la situación (por ejemplo, un controlador puede
estar encargado de abrir una puerta de seguridad después de la
penetración simulada del adversario).
Los controladores pueden
servir simultáneamente como evaluadores. El autor recomienda usar como
evaluadores y controladores a los supervisores de seguridad de otros
turnos y a los funcionarios.Ellos deben estar ya familiarizados con la
estrategia de protección y con los efectos potenciales de las diversas
acciones del adversario.
Adversarios.
La persona o
personas que cumplen esta función deben estar apropiadamente entrenadas
y equipadas con las respectivas capacidades físicas y tácticas para
ocuparse de los participantes en el ejercicio de seguridad.
Fuerza de servicio.
Este
es el personal de seguridad no incluido en el ejercicio que realiza sus
funciones normales de seguridad sin interferir en el ejercicio.
Participantes de seguridad.
Estas
personas son los miembros de la fuerza de seguridad que están de
servicio en la estación central de monitoreo de alarmas, y aquellos
guardias de seguridad que responden a la amenaza simulada.
Objetivos.
El
primer paso para planear y coordinar un ejercicio es determinar el
objetivo del ejercicio.El propósito del ejercicio podría ser la
comprobación del rendimiento o la validación de una nueva estrategia de
respuesta.
Criterios de evaluación.
El siguiente paso es
establecer los criterios de evaluación.Los ejercicios sin criterios
claros de evaluación a menudo producen una pérdida de tiempo para los
participantes, un ejercicio inútil, si se desea.Al comienzo, los
participantes pueden disfrutar la emoción y el abandono de sus rutinas
diarias.Pero si no saben por qué están haciendo lo qué están haciendo,
o si no reciben una retroalimentación adecuada y alguna medición de su
desempeño como individuo y como equipo, eventualmente pueden tomar a
mal la pérdida de tiempo. Peor aún, pueden perder la confianza en su
capacidad para responder a una amenaza real.
Los participantes
de seguridad necesitan saber con respecto a qué están siendo
evaluados.Los ejercicios diseñados para evaluar la respuesta de
seguridad a una amenaza o ataque supuesto contra la instalación o
determinados blancos deben incluir elementos claves de evaluación (ECE).
Algunos
criterios se refieren al tamaño y funcionamiento de la fuerza. Por
ejemplo, el ejercicio debe prepararse para determinar si seguridad
tiene un número adecuado de guardias para hacer frente a las amenazas
probables o las de los peores casos posibles. También debe analizar si
los guardias de seguridad normalmente están ubicados de tal manera que
puedan responder e interceptar una amenaza con el suficiente tiempo.
Otro
ECE sería si los guardias de seguridad que se ven frente a una amenaza
disponen de una protección física adecuada (como una barrera o un
recinto protegido) para enfrentar y controlar la amenaza de forma
segura. Además, se debe preparar el ejercicio para determinar si los
guardias de seguridad poseen las armas apropiadas u otro equipo de
protección personal para tratar una amenaza con eficacia.
Si
fuese aplicable a la instalación, otro ECE sería si la respuesta de
seguridad a la amenaza se integró adecuadamente con otros departamentos
de la compañía o con organismos civiles externos.El ejercicio también
debe evaluar si el sistema físico de protección (alarmas, cámaras,
etc.) facilita adecuadamente la respuesta de seguridad y su solución de
la amenaza.Y el ejercicio, naturalmente, debe determinar si seguridad
fue capaz de evitar que la amenaza consiguiera su objetivo.
Las
organizaciones de seguridad del Departamento de Energía y de las
centrales nucleares consideran asuntos adicionales. Por ejemplo¿Preparó
el instructor de seguridad a los adversarios simulados de forma
adecuada y realista?¿Proporcionó el instructor información útil y
pertinente en las sesiones de información previas al ejercicio y creó
un escenario que puso a prueba adecuadamente los ECE seleccionados?
¿Controlaron
los controladores adecuadamente ciertas acciones del escenario o de los
adversarios?¿Evaluaron los evaluadores a los guardias de seguridad que
se les asignaron según los criterios de evaluación
predeterminados?¿Tenía el funcionario encargado de la seguridad que
dirigió la respuesta a la amenaza comando y control adecuados sobre los
guardias de seguridad que participaron en la respuesta?
Otras
interrogantes que son examinadas: ¿Comunicaron los guardias información
importante relativa a la amenaza (incluyendo número, armas, y dirección
de viaje del adversario?). ¿Detectó la estación de monitoreo de
alarmas, evaluó y comunicó rápidamente a los guardias de seguridad la
penetración en la instalación? ¿Utilizaron los guardias tácticas
defensivas u ofensivas apropiadas para destruir la amenaza? Cuando los
guardias neutralizaron la amenaza, ¿usaron técnicas seguras y
apropiadas para colocar las esposas?
Características de la amenaza.
El
adversario simulado contra el que se ejercita el equipo debe basarse en
amenazas verosímiles identificadas en el análisis de riesgos. Si la
amenaza del “peor caso” involucra un grupo de activistas universitarios
por los derechos de los animales con cocteles molotov, la organización
no debería realizar ejercicios contra escuadras suicidas simuladas de
al Qaeda.
A continuación, el instructor debe considerar las
características de los adversarios.Por ejemplo, ¿cuáles son las
probables armas preferidas?Con el tiempo, las armas y tácticas de una
potencial amenaza pueden variar incluso para el mismo adversario.Por
ejemplo, los ecoterroristas solían contentarse con propagandarociada
con pintura sobre las paredes de los laboratorios, pero cuando las
compañías aprendieron a hacer frente a eso, estos grupos terminaron
efectuando incendios intencionales y atentados con bombas.
Seguridad
debe examinar muy de cerca las características de la amenaza para
asegurarse que estén representadas con realismo en los ensayos y
ejercicios. Al considerar el programa total de ejercicios se debe
practicar con toda la variedad de características del adversario.Cada
situación debe identificar claramente los elementos que están siendo
evaluados y las características de los adversarios que están siendo
usados en ese ejercicio.
El realismo y la credibilidad son
críticos con respecto a la selección de los blancos del adversario, las
tácticas y el equipo del adversario, las tácticas de respuesta de
seguridad y su ubicación, el equipo y las barreras físicas de seguridad.
Elementos de planificación .
El
instructor necesita tener en cuenta otros aspectos al planear el
ejercicio. Por ejemplo, puede necesitarse equipo especial para el
ejercicio. Esto podría incluir armas simuladas, equipo para penetrar
puertas, y bombas simuladas (marcadas claramente como auxiliares
didácticos que pertenecen al departamento de seguridad).
El
instructor también debe conseguir apoyo de comunicaciones para los
participantes en el ejercicio.Si fuera posible, por ejemplo, los
participantes en el ejercicio deben estar preparados para usar una
radiofrecuencia diferente a la de los guardias que están de servicio.
Otra
preocupación es que el personal apropiado reciba una notificación
previa de que se va a realizar un ejercicio.Esto es esencial para
asegurar que el personal de planta no confunda el ejercicio con un
ataque real.
Escenario.
Para cada situación, el
instructor de seguridad debe identificar el tipo básico de estrategia
del adversario, como el intento de burlar furtivamente un sistema de
seguridad o efectuar un ataque frontal.
Luego, el instructor
desarrollará una secuencia específica de acciones.El instructor de
seguridad también debe determinar las ubicaciones precisas por donde el
adversario simulará penetrar o penetrará físicamente el perímetro de
seguridad de la instalación (donde se espera que active el sistema de
alarma).Se debe utilizar un plano de la instalación para ilustrar y
aclarar los elementos.
Preparaciones del adversario .
Para
conseguir realismo, y en donde lo permita la seguridad, el equipo
adversario debe ejecutar el mayor número posiblede las acciones físicas
de la situación.Por ejemplo, deben penetrar el perímetro, ingresar a la
instalación, y desplazarse hasta sus blancos previstos usando las
tácticas apropiadas. Aunque sólo deben simular que hacen un ingreso
forzado a través de puertas con seguro y alarmas, deben portar todas
las herramientas y el equipo simulado (peso aproximado) y actuar usando
este equipo durante el tiempo estimado que demora penetrar la puerta.
Esto es importante porque expone con realismo a la amenaza mientras
franquea la puerta o el obstáculo de seguridad, y le brinda a seguridad
una oportunidad más real para verificar la amenaza y enfrentarla.
Los
adversarios también deben portar armas simuladas, pero las armas deben
estar identificadas claramente como simuladas (pintadas de rojo) y
marcadas como “armas de ejercicio”.
La mayoría de organizaciones
de seguridad utilizan a guardias de seguridad altamente motivados para
representar el papel de adversario. Esto, sin embargo, frecuentemente
representa la proverbial espada de dos filos.Por un lado, el entrenador
no tiene que gastar mucho tiempo alimentando a los adversarios
simulados con “inteligencia” respecto a la instalación y al blanco. Por
otro lado, el autor ha encontrado que este tipo de adversario simulado
a veces usa excesivamente el conocimiento interno de la instalación y
de las estrategias de protección y tácticas de respuesta de seguridad.
Algunos
profesionales podrían considerar esta ventaja de personal interno como
una cosa buena porque representa un desafío significativo (“si usted se
puede proteger contra sus propios guardias de seguridad que conocen la
instalación y los sistemas de seguridad al revés y al derecho, entonces
usted se puede proteger contra cualquiera”).
Desgraciadamente,
este enfoque frecuentemente da como resultado una representación irreal
de lo que el adversario probablemente sepa. Cuando los adversarios
conocen cada rincón y escondrijo de la instalación, y estáníntimamente
familiarizados con los sistemas de alarma y respuesta de seguridad, es
más frecuente que seguridad pierda que lo contrario. Un adversario tal
invalida todas las medidas de protección de la información, seguridad
operacional y verificación de personal y es, por lo tanto, inverosímil
y contraproducente.
Una manera de evitar a adversarios
irrealmente conocedores es usar en vez de ellos a especialistas de
seguridad contratados, guardias de seguridad de otra instalación, e
incluso policía local del equipo SWAT. Sin embargo, quienquiera que
haga las veces de un adversario debe tener un nivel de conocimiento
real de qué o a quién están atacando; es sumamente improbable que un
adversario atacase una instalación protegida sin que primero haya
reunido información y diagramas de planta de la instalación.
Para
asegurar el equilibrio apropiado entre estos dos asuntos, el instructor
de seguridad debe darle cierta información al adversario unas 24 horas
antes de que comience el ejercicio.El tipo de inteligencia “interna”
que debe proveer seguridad (la cual le tomaría a un adversario varios
meses para obtener) incluiría planos actualizados del lugar y del
edificio (incluyendo los limites del área de seguridad y los diagramas
de planta para cada nivel), el número de todo el personal de seguridad
y todos los puestos de seguridad, armas y tipo de munición que usa
seguridad, y las ubicaciones de todos los puestos de seguridad.
Adicionalmente,
el instructor debe conducir al adversario o equipo adversario en un
recorrido general por todo el lugar (incluyendo las mismas rutas y
ubicaciones de la planta ofrecidas en un recorrido general para el
público). Si la organización no brinda recorridos por la planta, el
entrenador debe aún permitir que el adversario haga un rápido recorrido
por las rutas proyectadas.Esto es importante porque compensará por los
varios meses de planeamiento a los que el adversario probablemente se
dedicaría.
Al equipo adversario también se le debe dar las
ubicaciones de los blancos (identificados en los planos de la
instalación), técnicas adecuadas para penetración de puertas y barreras
(como palancas y mazos). Deberá asumirse que cualquier adversario
conocería la clase de puerta de seguridad que necesita atravesar y
llevaría el equipo apropiado para penetrarla rápidamente.
Se
deben establecer medidas de control del ejercicio para asegurar que el
equipo adversario siga la ruta planeada del escenario y no se extravíe.
No se debe capturar ni neutralizar a los adversarios como resultado de
una acción preparada del adversario para la que ha habido entrenamiento
deficiente (a menos que los guardias de seguridad en medio del
ejercicio utilicen alguna medida diseñada específicamente para inducir
al error al adversario).
El autor recomienda que no se de
demasiada información al adversario para no exceder el nivel de
inteligencia que un adversario real podría haber reunido.Por ejemplo, a
los que hagan el papel de adversario no se les debe dar información
detallada sobre el nuevo despliegue, apoyo, o procedimientos o
posiciones de respaldo que tenga seguridad (excepto lo que se pueda
extrapolar al revisar los puestos de seguridad y las paradas previas a
un evento). Al revisar los puestos de seguridad, un adversario real
puede estimar la probabilidad de entrar en contacto con un guardia de
seguridad. Pero él o ella probablemente ignora qué otras medidas se
están aplicando, o cómo o dónde los guardias de respaldo responderán
para brindar apoyo.
Otra información que no se debe compartir
incluiría la vigilancia con cámaras disimuladas y las capacidades de
detección de intrusión (a menos que dichos sistemas sean fácilmente
observables durante el recorrido general por la planta o sean de
conocimiento general de los empleados). El adversario sofisticado puede
utilizar alguna técnica para anular un sistema de cámaras o de
detección de intrusos. Si el sistema de seguridad es suficientemente
complejo, el adversario simplemente podrá penetrar el perímetro a base
de fuerza bruta.Sin embargo, aún si los adversarios supiesen que
existen cámaras disimuladas o sistemas de detección, probablemente no
sabrían la ubicación exacta, especialmente en el momento del ataque.
Sesión de información previa al ejercicio .
Antes
de la iniciación de un ejercicio, el entrenador de seguridad debe
efectuar varias sesiones de orientación. Estas son extremadamente
importantes por razones de seguridad y de responsabilidad legal, y
también permiten asegurar que todos sepan sus tareas.El instructor de
seguridad debe realizar las siguientes sesiones informativas:
Sesión informativa para la gerencia.
El
entrenador de seguridad debe informar a los gerentes claves de la
instalación que estarán en la instalación durante el ejercicio, y
pedirles que describan cualquier condición de la instalación que
posiblemente afecte a la seguridad del ejercicio o las operaciones de
la instalación. El entrenador debe incluir dicha información en la
orientación de seguridad de todos los participantes en el ejercicio.
Sesión informativa general.
Esta
reunión incluye a todos los guardias de seguridad participantes,
evaluadores, controladores, observadores, y adversarios.Los temas
comprendidos deben incluir las condiciones de la instalación y áreas
que se deben evitar (según lo indicado por la gerencia de la
instalación), seguridad y reglas para el enfrentamiento, técnicas de
simulación (por ejemplo, el uso de botes rociadores de OC [pimienta]
inerte que rocían agua), revisión de las tareas de controlador y
evaluador (para asegurar que los controladores y evaluadores sepan qué
guardia o guardias de seguridad deben observar o controlar), objetivos
generales del ejercicio (sin divulgar la situación a los participantes
en el ejercicio de seguridad), cuándo y quién dará por terminada cada
situación (normalmente el instructor de seguridad), la ubicación donde
ocurrirá la acción del ejercicio, y cuándo y dónde debe completarse y
entregar la documentación con la críticaSesión informativa para
controladores y evaluadores.
La orientación para
controladores/evaluadores incluye a todos excepto a los participantes
en el equipo de seguridad del ejercicio. Los temas comprendidos son los
siguientes:visión general de la situación, del blanco, y del resultado
esperado de varias simulaciones de adversarios; las acciones de los
controladores que se necesitan para facilitar el realismo del escenario
(abrir una puerta de seguridad para simular la entrada forzada del
adversario); una revisión de los elementos clave de evaluación (ECE) y
los formularios de evaluación; un análisis de los requisitos de
seguridad durante el ejercicio (como la necesidad de colocar un guardia
de servicio en una ruptura de barrera para evitar el ingreso no
autorizado durante el ejercicio).
También se analizarán en esta
sesión la hora planeada aproximada para el inicio del ataque y los
criterios para dar por terminada la situación (por ejemplo, el
adversario ha ejecutado el sabotaje contra el blanco o ha escapado con
el blanco, o todos los adversarios han sido neutralizados).
Durante
el ejercicio, los participantes pueden necesitar parar la acción
momentáneamente. En la sesión de orientación, el instructor debe
establecer las reglas para este tipo de interrupción. El instructor
también debe analizar cuáles serán los efectos convenidos del armamento
u otras medidas defensivas que usen el adversario y seguridad durante
el ejercicio, para calcular el resultado de los encuentros de guardias
versus adversarios. Por ejemplo, el evaluador necesita saber el alcance
efectivo y la capacidad de inhabilitación de las armas del personal de
seguridad y del adversario.
Precauciones de seguridad.
Si
los guardias de seguridad están armados, la supervisión de seguridad
debe inspeccionar a todos los participantes del ejercicio para asegurar
que no tienen armas o munición verdaderas.Asimismo, el instructor o un
ayudante designado debe adherir cinta roja sobre los tiradores o
cerrojos de las salas o los gabinetes de armas. Esto servirá como un
recordatorio visual de que el contenedor tiene armas reales.
Si
los participantes en el ejercicio de seguridad necesitan dirigirse a un
gabinete de armas y retirar sus armas simuladas, el instructor debe
colocar las armas simuladas fuera del gabinete y pedir a los
participantes en el ejercicio que simulen el tiempo que les tomaría
sacar las armas de los gabinetes.
Antes de cada ejercicio, todos
los guardias de seguridad en servicio deben haber colocado cinta roja o
alguna otra soporte visual sobre las correas de sus fundas para
pistolas. Esto da una indicación visual y táctil de que no son
participantes del ejercicio. El autor conoce dos casos en los que
personal de seguridad de turno (que acababan de concluir su
participación en ejercicios de toda la noche) sacaron inadvertidamente
sus revólveres y casi dispararon contra el adversario simulado durante
un ejercicio).Sin embargo, la colocación de la cinta no debe impedir la
capacidad de los guardias de sacar el arma.
Ubicación de los guardias que participan en el ejercicio .
Los
guardias del ejercicio deben seguir a los guardias de servicio que
están representando. Por ejemplo, entre las horas 0200 y 0300 el
guardia No. 2 patrulla el cuarto piso; el participante en el ejercicio
que representa al guardia No. 2 debe, por tanto, seguir al guardia real
en su recorrido por el cuarto piso.
Cuando comienza el
ejercicio, los guardias de seguridad que están de servicio deben evitar
las áreas donde se producen los enfrentamientos. Esto es importante por
tres razones: primero, si los guardias que se encuentran de servicio
están armados, existe el improbable pero posible riesgo de que alguien
inadvertidamente introduzca un arma real al ejercicio.Segundo, los
guardias que están de turno pueden distraer con facilidad a los que
participan en el ejercicio e invalidar una confrontación. Tercero, los
guardias de turno fácilmente pueden encontrarse a sí mismos como
espectadores y distraerse de sus tareas requeridas.
Los
participantes en el ejercicio no deben intentar obtener las ubicaciones
del adversario antes de que comience el ejercicio. Hace algunos años,
antes de que los ejercicios se volviesen más formales y estructurados,
el autor sorprendió a más de un participante que en lugar de recorrer
sus rondas interiores asignadas, miraban detenidamente por las
ventanas, buscando atentamente la penetración del perímetro.
Una
afectación parecida para la cual hay que estarse atento es lo que el
autor denomina la “posición del corredor”.No se debe permitir que los
encargados de la respuesta de seguridad y su equipo se pongan en la
escena justo antes del inicio del ejercicio. Lo esencial es si no lo
harían en la vida real o durante las operaciones normales, no se les
debe permitir que lo hagan durante el ejercicio.
Crítica del ejercicio.
Las
críticas se pueden utilizar como una herramienta de entrenamiento, para
evaluar los ECE, o para validar un elemento específico de la estrategia
de respuesta de seguridad.Las críticas de las situaciones desarrolladas
en los ejercicios deben ser formales, y la meta debe ser la evaluación
de la estrategia, no el entrenamiento en sí. Sin embargo, las críticas
de los ejercicios y los mini-ejercicios pueden ser análisis informales
y no estructurados que tocan sólo las áreas cubiertas en el ejercicio.
En
un aula o en una sala de reuniones, el instructor de seguridad debe
facilitar la crítica del ejercicio o del ensayo y permitirles a los
participantes en el ejercicio la oportunidad de brindar su aporte. El
instructor de seguridad debe llevar un registro de estos aportes para
asegurarse que las lecciones aprendidas sean incorporadas en el informe
final del ejercicio.
Cuando se hacen críticas formales, el
instructor de seguridad debe seguir un formato estructurado; si no la
discusión puede rápidamente tornarse en una disputa de “Yo te sorprendí
primero”.Un buen enfoque es hacer que el instructor o el adversario
principal facilite la crítica describiendo la progresión del adversario
a lo largo de la ruta del escenario.Cada vez que haya un enfrentamiento
o algún otro estímulo inducido por el adversario, el encargado de la
crítica debe interrumpir momentáneamente al adversario principal para
pedir información de los guardias de seguridad afectados: qué
observaron, cómo respondieron, qué salió bien, y qué necesitaba mejora.
El evaluador o controlador que estuvo cerca de los guardias de
seguridad durante el ejercicio puede agregar esa perspectiva a la
discusión.
Informe final
El instructor de seguridad debe
documentar los resultados y críticas del ejercicio, indicando cuáles de
los ECE fueron medidos y evaluados.La gerencia de seguridad debe
utilizar las lecciones aprendidas de estos informes para considerar la
necesidad de cambios en la estrategia de protección de seguridad, en
los sistemas de seguridad, y en el programa de entrenamiento. El
informe también se puede usar para mejorar futuros ejercicios.
El
informe del ejercicio (rotulado como “sensible para la seguridad” u
otra inscripción apropiada), debe consistir en los nombres y funciones
asignadas de todos los participantes en el ejercicio, una descripción
del escenario, una lista de qué elementos fueron evaluados, el
resultado del ejercicio; y un análisis de la capacidad de seguridad
para cumplir los elementos de evaluación.
El informe también
debe incluir las hojas de crítica llenadas por los evaluadores,
controladores, y participantes en el ejercicio, y un resumen de la
información proporcionada en las sesiones informativas previas al
ejercicio, tal como las reglas para el enfrentamiento.
Los
ejercicios deben estar basados en las amenazas reales y en las
características precisas del adversario.Deben provenir de un análisis
minucioso de los riesgos reales contra la instalación y deben ser
continuamente evaluados y actualizados conforme cambie la amenaza.
Cuando se siguen estos pasos, los ejercicios pueden tener un impacto
sorprendente sobre los guardias que participan en ellos.La experiencia
de haber estado “muerto” o “herido” o de haber sido derrotado por un
adversario es mucho más memorable que cualquier lección aprendida en
una sala de clases.
La seguridad tiene que ser más que un acto.
Pero desarrollar y simular una respuesta de seguridad es una manera
probada de evitar que potenciales adversarios puedan llevar a cabo un
ataque exitoso.
David
A. Axt es gerente del programa de desempeño de salvaguardas y
coordinador de Nuclear Management Company, LLC, de Hudson, Wisconsin.
Axt tiene un bachillerato en Administración de Negocios y una maestría
en Seguridad y Gestión de Riesgos de la Universidad de Leicester en
Inglaterra.Es miembro de ASIS Internacional.
No
es inusual que la declaración de la misión de una organización
establezca que la compañía no pondrá intencionalmente en peligro a los
empleados. Sin embargo, para los profesionales de la seguridad, cumplir
ese compromiso puede representar un serio desafío. Por la propia
naturaleza de sus trabajos, los profesionales de la seguridad deben
dedicarse a actividades potencialmente peligrosas: su trabajo es
patrullar áreas alejadas y responder a emergencias, por ejemplo. Si
bien es crítico hacer todo lo posible para reducir los peligros físicos
mejorando los procedimientos, usando la tecnología y modificando el
medio ambiente, la excelencia en seguridad requiere ir más allá del
enfoque tradicional de la seguridad. Debido a que la conducta humana es
una causa que contribuye a la mayoría de los accidentes y heridas, la
excelencia en seguridad sólo se puede obtener tratando también las
dimensiones humanas de la seguridad.
Para reducir la conducta
riesgosa e incrementar la conducta segura, el gerente de seguridad
primero debe entender cómo tales conductas son motivadas por las
influencias culturales y del sistema, y cómo emplear los principios de
la ciencia del comportamiento y de la sicología individual para
construir herramientas y métodos que estimulen la conducta segura. A
continuación se examina cómo funcionan los programas de seguridad
basados en la conducta y cómo el personal de seguridad puede adaptar
tal programa para cumplir sus requisitos particulares.
Seguridad basada en la conducta.
La
seguridad basada en la conducta (SBC) se refiere a una amplia categoría
de intervenciones (como procesos, programas, estrategias, o tácticas)
en las cuales se aplican los principios de la sicología del
comportamiento para modificar la conducta objetivamente definida. Los
procesos de seguridad basados en el comportamiento pueden enfocar una
amplia gama de conductas y situaciones, incluyendo el análisis de
incidentes, la ergonomía, y la responsabilidad y liderazgo de la
supervisión/gerencia.
Participación del empleado
Tradicionalmente,
la SBC incluye la participación del empleado para identificar conductas
riesgosas, analizar las condiciones que conducen a conductas riesgosas,
intervenir para incrementar las conductas seguras y disminuir las
riesgosas, y mejorar las comunicaciones formales e informales alrededor
de estas actividades.
Uno de los componentes claves de la SBC es
la observación y retro-alimentación realizada por los colegas de
trabajo. Los empleados determinan las conductas de seguridad críticas,
observan estas conductas entre ellos mismos, y proporcionan una
retroalimentación provechosa y correctiva que no es amenazadora ni
punitiva. La retroalimentación posterior a la observación brinda un
soporte social positivo para ejecutar una tarea en forma segura,
incluso cuando las alternativas riesgosas son más fáciles, rápidas y
convenientes.
Reuniendo información.
La información obtenida en las observaciones, típicamente se registra en tarjetas de observación.
Una
pauta crítica para un proceso de observación y retroalimentación que se
basa en el comportamiento es mantener en el anonimato toda información
de observación referida a la conducta riesgosa. No es necesario saber
quién realiza conductas riesgosas para identificar estas conductas. Por
consiguiente, las tarjetas de observación no piden información que
identifica a individuos. Luego se recogen, compilan y agrupan las
tarjetas de manera que sólo la información anónima se comparte con los
empleados como retroalimentación para el grupo.
La información
juntada debe ser primero analizada para determinar las tendencias e
identificar las conductas-objetivo para que el grupo efectúe el
seguimiento. El proceso de seguimiento a menudo se estructura como un
“DOIP”.
DOIP.
Implica cuatro pasos secuenciales (y se
llama así por la primera letra de cada paso). Primero, definir las
conductas-objetivo cuya frecuencia necesita ser aumentada o reducida.
Luego, observar las conductas-objetivo durante una fase de referencia y
establecer metas específicas por lograr. Tercero, intervenir para
mejorar las conductas-objetivo, y finalmente probar el impacto de la
intervención y seguir observando las conductas-objetivo.
Si no
se consiguen los resultados deseados, se implementan otras
intervenciones. Cuando se alcanzan las metas de mejoramiento, se
seleccionan otras conductas-objetivo para su mejoramiento. En
ocasiones, las intervenciones son simples u obvias, y no es necesario
seguir un DOIP formal. Sin embargo, para las conductas difíciles o
complejas, el proceso DOIP proporciona una estructura útil.
Existen
muchas maneras de intervenir para reducir la conducta riesgosa. Es
frecuente que el proceso de informar a un grupo de que se ha
identificado una conducta riesgosa y aumentar la retroalimentación
interpersonal y otras comunicaciones respecto a dicha conducta sea
suficiente para hacer mejoras significativas.
Steve
Roberts, Ph.D., es socio senior de Safety Performance Solutions (SPS),
Inc., de Blacksburg, Virginia, una compañía consultora dedicada a
ayudar a las organizaciones a manejar la complejidad de la conducta
humana.La palabra “seguridad” en español tiene dos sentidos principales
en inglés:(1) protección o prevención de accidentes, y (2) defensa
contra el crimen o la agresión.Este artículo trata el primer tema.
Cada
crimen tiene una escena del delito que se puede examinar minuciosamente
en busca de pistas. Pero en muchos casos la evidencia que está siendo
analizada no es una mancha de sangre o la fibra de una alfombra. Es la
información escondida en una computadora. En esos casos los
investigadores necesitan saber obtener secretos de los chips de silicio.
En
forma muy parecida a sus homólogos que trabajan en los escenarios
físicos de los crímenes, los investigadores informáticos forenses
siguen varios pasos básicos. En el caso de un delito que ya ha sido
cometido, deben conservar la evidencia y analizar lo que se ha
recolectado. En el caso de una investigación sobre un crimen en
ejecución, se les puede solicitar que realicen vigilancia. Y en
cualquiera de los casos, los investigadores en última instancia tendrán
que preparar un informe de sus conclusiones.
Protegiendo la Evidencia
La
información digital se destruye fácilmente. Por tanto, cuando un
investigador llega al laboratorio llevando una computadora, la primera
prioridad es conservar la integridad de la evidencia.
Inclusive
encender una maquina y reiniciar un sistema operativo es suficiente
para causar daños irreparables. Por ejemplo, algunos archivos tienen
una grabación fecha/hora que se actualiza cada vez que se reinicia el
sistema. La grabación fecha/hora sobre la que se ha escrito en el
proceso, habría mostrado la ultima vez que el usuario encendió la
maquina--una pieza de información potencialmente crucial. Para evitar
destruir la evidencia, los analistas forenses reiniciarán la
computadora con un disquete o disco duro separado.
El
siguiente paso, también diseñado para proteger la integridad de la
evidencia, es crear una copia de lo que se encuentre en la computadora
u otros medios de almacenamiento. Todo análisis forense se efectúa en
estas copias para asegurar de que la información original no sea
corrompida o alterada de alguna manera durante la investigación.
Para
crear los duplicados, los investigadores forenses utilizan herramientas
para obtener imágenes basadas en datos, que producen una imagen
bit-por-bit de los medios magnéticos, incluyendo discos duros, discos
flexibles o discos de almacenamiento de alta densidad como el Zip, y
medios ópticos de leer-grabar tal como los CD-RW. Aunque todas las
herramientas forenses para generar representaciones cumplen la misma
meta, se diferencian dependiendo de los medios y del sistema operativo
de que puedan crear representaciones, cómo y dónde está almacenada la
información en la computadora sospechosa y la experiencia y las
preferencias del analista.
Las herramientas forenses para
representar información crean una copia exacta del contenido total del
medio, incluyendo archivos ocultos y aun información que ha sido
eliminada. Este tipo de copiado es distinto a un sistema normal de
respaldo de datos, en el cual sólo se copian los archivos "lógicamente
accesibles" tratados abajo (como los de Microsoft Word o archivos de
Excel).
Además de crear representaciones de los datos, a veces
puede ser necesario recuperar y registrar la información de los medios
que fueron dañados, tal como un CD-ROM que ha sido acanalado. Eso
sucede porque frecuentemente los sospechosos tratan de destruir los
disquetes cortándolos, embadurnándolos con sustancias, desarmando la
cubierta plástica o retorciendo o arrugando los medios. En esos casos
los investigadores pueden usar programas o equipos informáticos
especialmente preparados, que existen en algunos laboratorios
policiales y en unas fuentes comerciales.
Típicamente, los
investigadores forenses copian la información en un medio que no pueda
ser alterado, como un CD-ROM. Sin embargo, es común encontrar un disco
duro de 40 gigabites mientras que un CD-ROM tiene una capacidad de
aproximadamente 650 megabites, así que se está haciendo más difícil
copiar la información de esta forma. Ahora algunos establecimientos
forenses utilizan una unidad de disco RAID de alta capacidad (RAID son
iniciales en inglés de “Conjunto Redundante de Discos de Bajo Costo”)
para una mayor capacidad de almacenamiento. Aunque se pueden tomar
precauciones para prevenir la alteración de la información en un RAID,
no es un medio de memoria sólo de lectura como un CD-ROM.
style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">
Analizando la Evidencia
Una
vez que los investigadores crean una representación exacta de los
datos, pueden comenzar con el análisis. Sin embargo, el análisis
raramente es fácil o directo.
Entre los billones de unos y
ceros almacenados en un disco duro o en otro medio se encuentran
sistemas operativos, aplicaciones, archivos, utilidades, mensajes
electrónicos y más. Puede que la información no sea fácilmente
accesible o puede que contenga trampa o virus. Aun en las mejores
circunstancias, la información que debe ser tamizada tiende a ser
voluminosa. Los investigadores se lanzan a un pajar lleno de agujas de
información y trabajan en él para encontrar la única aguja con la
evidencia que necesitan.
style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">
Existen
tres amplias y algunas veces sobrepuestas categorías de datos de
computación, cada una con sus propios retos particulares, que los
investigadores forenses pueden tener que analizar. Cada tipo de dato
requiere diferentes herramientas para el análisis.
Primero se
encuentran los datos lógicamente accesibles (también llamada
información lógica o formateada), los cuales puede ser un reto especial
cuando están cifrados o corrompidos o poseen una trampa. Si los datos
están en forma de imágenes o sonidos o si hay una excesiva cantidad de
datos por revisar, aumenta la dificultad de encontrar la evidencia. La
segunda categoría de datos de computación son los archivos que han sido
eliminados y la tercera categoría se llama espacio no asignado.
Datos lógicamente accesibles.
Las
computadoras no almacenan los archivos como un solo bloque de datos.
Más bien, esparcen la información por todo el medio magnético, sea
disquete o disco duro, donde quiera que exista espacio. Los datos
lógicamente accesibles (la información almacenada apropiadamente en un
medio magnético, como los archivos de Word a los que se puede ingresar
usando técnicas normales), tienen una tabla que enumera las diferentes
áreas en un medio magnético donde residen las piezas de archivos. De
esta manera un medio magnético es como un libro con un índice pero con
sus capítulos y páginas esparcidas.
El índice (llamado Tabla de
Distribución de Archivos o archivo FAT) vuelve a armar los capítulos y
páginas en el orden correcto utilizando unos detectores de números de
páginas o “indicadores”. Los datos lógicamente accesibles son la
información mas fácil de revisar, y el investigador normalmente los
examinará primero.
Los analistas muchas veces aceleran la
búsqueda de los archivos lógicamente accesibles utilizando programas
que permiten ver algunos tipos de archivos como documentos e imágenes
gráficas sin iniciar la aplicación específica usada para generar y
redactar tales archivos. También son útiles la herramientas
especializadas para búsquedas en serie. Estos programas pueden buscar
ciertas palabras claves en la estructura lógica del archivo, así como
en los archivos eliminados y en los bytes no usados (más adelante en
esta edición).
Otro dispositivo para ahorrar tiempo es la
utilidad llamada HashKeeper el cual crea un identificador numérico,
llamado "hash", de cada archivo en la computadora sospechosa. Cada
archivo que el investigador determina que no es evidencia puede ser
identificado por su “hash” y excluido de las búsquedas futuras. Los
identificadores también permiten a los investigadores ver archivos
idénticos que tienen nombres diferentes (por ejemplo, un sospechoso
puede tratar de ocultar un archivo gráfico llamado "foto.jpg" dándole
el nombre de "impuestos.doc").
Datos Cifrados. Los datos
cifrados por un individuo pueden presentar el mayor desafío entre los
tipos de evidencia por recuperar. Usualmente los investigadores no
tratarán de descifrar un archivo porque es un proceso costoso que
consume tiempo. En vez de ello, buscarán evidencia en algún otro lugar
en la computadora que podría revelar lo que está en el archivo cifrado.
Por ejemplo, podría haber una versión no cifrada de un archivo o aún
podrían quedar en el sistema algunos rastros de él.
Sin embargo,
los archivos que han sido protegidos con claves por aplicaciones como
Microsoft Word algunas veces son más fáciles de romper. Estas
aplicaciones frecuentemente utilizan un tipo más sencillo de cifrar y
en muchos casos se puede quebrar la clave en sí usando una utilidad
para romper claves (mientras que un programa cifrado como el PGP puede
aceptar unas frases claves del largo de una oración y de esta manera,
virtualmente imposibles de romper).
Datos de Internet. Los
datos almacenados por un explorador de la Web, que pueden ser
encontrados en un carpeta de favoritos, en un “cookie” (o pequeño
programa de texto) o el archivo histórico temporal, pueden indicar
donde ha estado el usuario recientemente. Los investigadores utilizan
herramientas especializadas de propiedad privada o ampliamente
disponibles comercialmente para buscar en los "caches" de explorador
los datos que puedan reconstruir la historia de un navegador. Además,
diversas herramientas disponibles públicamente como WhoIs y Sam Spade
ayudan al examinador a rastrear a los propietarios/operadores de
direcciones IP.
Datos corrompidos o que tienen trampas. Ahora
para los investigadores es un procedimiento estándar usar buscadores de
virus para buscar una clave maliciosa metida en archivos de evidencia,
antes de que pueda crear estragos. Aunque la mayoría de los virus
residen en programas ejecutables que raramente serán accionados en el
transcurso de una investigación, los tipos más nuevos de virus
(específicamente macrovirus como Melissa, y virus de VbScript como
LoveLetter) aprovechan las vulnerabilidades de algunos sistemas
operativos y aplicativos y pueden ser accionados simplemente al ver los
documentos en los cuales residen. Estos virus son amenazas potenciales
para un investigador forense de computadoras.
Pocas herramientas
comerciales pueden manejar los datos corrompidos. Y las trampas pueden
ser extraordinariamente peligrosas. Por ejemplo, un criminal entendedor
podría manipular un archivo que, cuando se ingresase en forma
incorrecta, podría borrar permanentemente los datos. Afortunadamente
rara vez se encuentran. Aún así, los analistas forenses experimentados
trabajarán cuidadosamente para evitar cualquier riesgo potencial.
Datos
de sonidos/imágenes. Las computadoras pueden contener miles de archivos
de imágenes y sonidos provenientes de la Internet o de otro lugar, lo
cual plantea nuevos retos a los investigadores, porque estos archivos
pueden ocultar información. Por ejemplo, un proceso llamado
esteganografía permite que las personas oculten la información al
mezclarla con los unos y ceros que forman una imagen. Ultimamente,
funcionarios del gobierno afirmaron que el terrorista Osama bin Laden y
sus seguidores pueden estar ocultando planes y mensajes dentro de las
imágenes pornográficas en ciertos sitios de la Web.
Los
analistas forenses pueden algunas veces detectar la esteganografía si
tienen la suerte de tener acceso al archivo original y compararlo con
el archivo que se cree que ha sido alterado. Muy a menudo el
investigador simplemente buscará la presencia de herramientas comunes
de codificación esteganográfica, como S-Tools, Stash, JP Hide and Seek
y Scamdisk; si tales herramientas fueran encontradas en la computadora
del sospechoso, hay una buena posibilidad de que hayan sido usadas.
Cantidades
excesivas de datos. Algunas veces el problema no es el tipo de
información sino su volumen total. Cuando los datos llegan a los
billones de bytes, las utilidades de búsqueda se vuelven difíciles de
manejar y la búsqueda crece mas allá de la capacidad de una sola
computadora. En un caso, un laboratorio forense buscó la
correspondencia electrónica de una compañía que había sido almacenada
durante un año--tanto como un trillón de bytes (un terabyte) de
información--por evidencia de fraude. La única manera de manejar la
búsqueda fue mediante una solución hecha a la medida. Los
investigadores ensamblaron un “grupo Beowulf", una supercomputadora
construida al conectar varias PCs empleando tecnología de redes como el
Ethernet y programas de software que permiten un procesamiento
paralelo. Un programa escrito a pedido les permitió filtrar los
mensajes electrónicos y buscar los términos clave.
Archivos Eliminados.
La
segunda categoría de datos de computadoras es el archivo eliminado.
Eliminar es un término equivocado. Cuando un archivo es eliminado, sus
unos (1) y ceros (0) no son borrados. La computadora simplemente retira
del índice o archivo FAT los indicadores de las piezas del archivo
esparcidas a través del disco para que el espacio donde reside el
archivo "borrado" quede disponible para archivos nuevos. Pero hasta que
unos nuevos unos y ceros se escriban encima de los unos y ceros del
archivo borrado, éste todavía puede ser recuperado. Existen varias
herramientas producidas comercialmente que pueden recuperar los
archivos eliminados.
Espacio no asignado.
La tercera
categoría de los datos es un lugar en donde están todos los artículos
que no encajan en las dos categorías anteriores. Incluye los archivos
que no se pueden recuperar de ninguna forma y los datos no formateados
escritos en los medios sin tener indicador, como los datos que son
guardados temporalmente en recipientes llamados archivos de trueque
(swap) o caches. (Un sistema operativo como Microsoft Windows dejará
temporalmente los datos en un archivo swap mientras que ejecuta otra
actividad y luego los recuperará, permitiendo que el sistema manipule
archivos mas grandes que su memoria principal.) Los investigadores
buscan datos en el espacio no asignado porque muchas veces contiene
evidencia que no puede ser encontrada en ninguna otra parte.
Encontrar
datos en bytes no usados y espacio libre normalmente requiere su propio
tipo de programa. Uno de dichos programas utilitarios se llama ”carv”,
el cual localiza archivos usando información sobre el formato con el
que se almacenan los archivos. Estas utilidades están en existencia
comercial, pero muchos organismos de aplicación de la ley y empresas
forenses usan versiones que ellos han desarrollado.
La utilidad
“carv” aprovecha el hecho de que la mayoría de los formatos de archivos
(en particular las imágenes gráficas) empiezan y terminan con bits
específicos de información que identifican los puntos de comienzo y
término del archivo y de su formato. Por ejemplo, todas las páginas Web
empiezan con <html> y terminan con </html>. El <html>
al comienzo del archivo se puede considerar como el encabezamiento y el
</html> al final se le considera el pie de página del archivo.
Una utilidad carv busca encabezamientos de archivos conocidos en el
espacio libre de una unidad de disco y copia la información asociada
con ese encabezamiento en un archivo separado. Este proceso puede
ubicar archivos individuales en el espacio libre aunque no existan
indicadores de esos archivos.
Las utilidades carv probaron ser
particularmente útiles en un caso de un CEO (gerente general) cuyo
anterior empleador sostenía que había violado su acuerdo de no
competencia luego de ir a trabajar para un competidor como
vicepresidente de ventas. El anterior empleador acusó al CEO de tratar
de robarse sus clientes y quería probar que lo intentaba hacer incluso
antes que renunciase. La compañía creía que el CEO había recibido
mensajes electrónicos del competidor, adjuntando unas hojas de cálculo
nombrando a los clientes que habían elegido como blanco, lo cual
ayudaría a la compañía a probar su caso.
El análisis forense de
la computadora del CEO descubrió que si alguna vez las hojas habían
estado ahí, ya se había escrito sobre ellas y se habían borrado los
indicadores. Sin embargo, debido a que las hojas habían sido enviadas
adjuntas a un mensaje electrónico, se encontraban en un formato
"codificado" (los adjuntos a un mensaje electrónico son codificados
especialmente de forma que puedan ser enviados a través de Internet).
Esos archivos codificados, escritos a un cache en el disco duro, fueron
ubicados por sus encabezamientos y analizados por los investigadores
forenses. Ellos demostraron que la nueva compañía del CEO había elegido
como blanco a los clientes con los cuales él ya tenía una relación,
mostrando que había sido reclutado para atraer esos clientes.
style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">
Vigilancia
Cuando
se sospecha que un delito está en ejecución, la investigación asume una
calidad diferente. Ya no es cuestión de una estática escena del delito
con una cantidad determinada de evidencia. En vez de ello, es una
escena viva, con nueva evidencia creada potencialmente a diario. En tal
caso puede que los investigadores forenses necesiten utilizar
secretamente herramientas de monitoreo para registrar las actividades
del sospechoso.
Estas herramientas, invisibles para los usuarios
de la red, llevan registros de actividad para exponer los patrones
cuestionables de uso y también las penetraciones de la seguridad. Ellas
pueden ser activadas por cualquier clase de actividad del usuario,
aplicación o secuencia de digitación (como una visita a ciertos tipos
de sitios en la Web, la digitación de ciertas palabras o el uso de
aplicaciones, tales como Napster). Un investigador también puede
programar el software para hacer un seguimiento y grabar sólo las
actividades inusuales, no solicitadas o prohibidas. Estas herramientas
pueden ayudar a recolectar suficiente evidencia para crear un caso.
(Por supuesto, las leyes sobre la privacidad del usuario y otros temas
puedan ser pertinentes y deben ser observadas.)
style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">
Resultados
Durante
un juicio, los investigadores deben de presentar evidencia informática
de una manera lógicamente precisa y persuasiva que un jurado entenderá
y que el abogado de la parte opuesta no podrá contradecir. Esto
requiere que las acciones del investigador sean reconstruidas paso a
paso con fechas y horas documentadas y con cuadros y gráficos que sean
fácilmente entendibles que expliquen qué se hizo y cómo. El resultado
es el testimonio que explica de forma simple y clara lo que hizo o no
hizo el sospechoso.
Al poner la evidencia en un formato útil
para una exposición ante una corte, los investigadores deben tomar el
mismo cuidado en la presentación como lo han hecho en el análisis.
Aunque los juegos de herramientas forenses tienen capacidad para crear
formatos que hacen más fácil la construcción y el reporte de la
evidencia, muchos investigadores encuentran que juntar manualmente el
resultado utilizando productos como Microsoft Word, PowerPoint y Excel
dan como resultado un informe más claro y comprensible.
Los
retos forenses son de una amplia gama y las tecnologías para luchar
contra estos retos aún están desarrollándose. Debido a que las
computadoras y redes cambian con rapidez, las herramientas forenses
también cambian rápidamente, y lo que hoy es comúnmente usado podría
estar retirado mañana cuando aparezca una nueva herramienta. Pero los
fundamentos de las investigaciones siguen siendo la herramienta más
útil para ayudar al moderno Sherlock Holmes a descifrar los rastros
digitales del moderno Moriarty.
Jon Wright es el director de Informática Forense y Respuesta a Incidentes para Veritect.
Conversación sobre herramientas
En
cada caso en que se involucra a una computadora, existen docenas de
variables que incluyen el tipo de computadora, el sistema operativo que
usa y el tipo de evidencia. Cada combinación exige que el investigador
utilice un diferente juego de herramientas. En vez de quedarse con
docenas de herramientas separadas que dan docenas de resultados (o
productos), los investigadores muchas veces escogen un “juego de
herramientas” integrado, donde todas las herramientas son accesibles a
través de una interfaz común y la interoperabilidad. Esto permite un
análisis más rápido y fácil.
Debido a que la meta de un
investigador es comprobar o desaprobar una acusación, de una manera que
resista una recusación en la corte, es importante tener en
consideración la credibilidad de una herramienta específica o de un
conjunto de ellas. La credibilidad de una herramienta será afectada por
factores tales como la cantidad de tiempo en que ha sido usada en el
campo forense, su aceptación por otros profesionales y la voluntad de
una compañía de apoyar su producto y explicarlo, si fuese necesario, en
los procedimientos de una corte.
El uso de redes es la mejor
forma de determinar cuál herramienta forense es la más apropiada para
una tarea. Con las credenciales apropiadas usted puede colocarse en una
lista de distribución por computadora, para recibir actualizaciones y
reseñas de técnicas y herramientas. Dos de esas listas son las del High
Tech Crime Consortium (HTCC, Consorcio de Delitos de Alta Tecnología) o
la International Association for Computer Information Systems (IACIS,
Asociación Internacional de Sistemas de Información de Computadora), la
cual sólo esta abierta a funcionarios de los organismos policiales. @
Se puede ingresar a estos sitios vía http://www.securitymanagement.com dirigiéndose a “Beyond Print” y luego a “Forensic Tools” (Herramientas Forenses).
El Rastro Del Correo Electronico Por Tim Poole y James Hansen
Había
algo sospechoso en las actividades del empleado. Los análisis de nodos
de la red informática y del registro del correo electrónico mostraban
que todos los días a las 5 p.m. enviaba una foto a una cuenta de
Hotmail. Las fotos del perro de la familia, de su auto, de su esposa e
hijos, parecían bastante inocentes. Pero había algo raro. Por ejemplo,
nunca había respuestas desde esa cuenta.
El personal de
seguridad de la compañía observó esto por varias semanas y se
preguntaba que estaría haciendo, hasta que se les ocurrió que estas
fotos aparentemente inocentes podían ser una forma de espionaje
corporativo. Empleando una técnica llamada “esteganografía”, en la cual
se pueden esconder los 1s y los 0s de textos o imágenes dentro de los
1s y 0s que componen los pixeles de las fotografías, el empleado podría
estar ocultando información dentro de las fotos. A pedido de la
compañía, fuera de horas de trabajo unos consultores forenses de
computación revisaron la computadora del empleado y encontraron una
copia de un programa esteganográfico. Los consultores también hicieron
pruebas con las fotos de la computadora del empleado y encontraron que
verdaderamente había sido ocultada información dentro de las fotos.
Luego se le mostró la evidencia al empleado en una reunión privada con
los gerentes. Confesó que estaba vendiendo secretos de la compañía.
Este
caso (basado en un incidente real al que se le han cambiado algunos
detalles), ilustra cómo el correo electrónico se ha convertido en una
vulnerabilidad potencial contra la seguridad. Es una puerta virtual que
lleva directamente a la red informática corporativa e indirectamente a
cada computadora.
Puede ser usada por piratas informáticos
para introducirse a hurtadillas o, como en este ejemplo, por empleados
para sacar en forma encubierta secretos de propiedad de la empresa.
También provee un portal para la destrucción de datos, ya sea mediante
ataques aleatorios con virus o por ataques dirigidos por activistas o
competidores. Las compañías tienen que ser tan adeptas para controlar
el tráfico a través de esta vía de acceso como lo son para controlar el
tráfico físico de ingreso y salida de la oficina principal.
Como
sucede con los controles físicos de acceso, los controles electrónicos
nunca pueden alcanzar un nivel de cero incidentes. Por ello, el equipo
a cargo de seguridad también debe saber responder a una penetración,
cómo seguir la pista electrónica para resolver el caso. Eso es
básicamente lo que hicieron los representantes de la ley cuando el
virus I LOVE YOU golpeó a las empresas alrededor del mundo. Al fin, el
rastro del correo electrónico los condujo hasta el originador en las
Filipinas.
Este tipo de rastreo legal del correo electrónico es
similar al trabajo detectivesco convencional. Al verificar cada uno de
los puntos por donde pasó el correo electrónico, el rastreador trabaja
paso a paso para regresar hacia la computadora de donde se originó el
correo y, con suerte, hacia al autor. Para ver cómo trabaja este
proceso, caminaremos por las etapas básicas que sigue un investigador
cuando tiene que enfrentar una incursión hecha por el correo
electrónico.
Encabezamientos (headers).
Mayormente, el
rastreo del correo electrónico externo se inicia con la información que
encabeza el mensaje electrónico enviado por la Internet. El
encabezamiento de un mensaje es el texto de la parte superior de un
mensaje electrónico que viaja a través de la Internet. Contiene el
origen del mensaje en la línea "From" (De), mientras que en las líneas
"Received" (recibidas), el encabezamiento enumera todos los puntos por
los cuales pasó el mensaje durante su viaje, al igual que la fecha y
hora. Es como si cada oficina postal que tramita una carta imprimiese
su identidad, fecha y hora en el sobre, no sólo el sello de la oficina
postal desde donde se envió el sobre.
El encabezamiento del
mensaje proporciona un rastro, que puede verificarse, de los lugares
por donde ha pasado un mensaje electrónico. Encontrar a la persona que
envió el mensaje es asunto de recorrer el rastro en sentido inverso,
punto por punto, y reunir la evidencia de que el mensaje pasó por cada
punto.
Consideremos como muestra un mensaje electrónico recibido
por la compañía ABCD, el cual muestra en el encabezamiento cuatro
puntos de detención entre el remitente y el receptor. Dos de ellos, los
pasos tres y cuatro, se encuentran dentro del sistema de correo
electrónico de la compañía y aparecerán en los registros internos de
mensajes electrónicos de la compañía si es que se está registrando esa
información.
Si los segundos dos puntos corresponden a
denominaciones electrónicas desconocidas fuera de la red informática de
la empresa, los investigadores pueden apelar a algunas herramientas de
investigación, como Whois y Better-Whois, ambas empleadas comunmente en
estos tipos de investigaciones. Estos servicios buscan en las bases de
datos de los registradores que anotan a los usuarios en línea y sus
direcciones IP (Protocolo de Internet), que son identificadores
numéricos de las computadoras de una red informática, equivalentes
virtuales a una dirección domiciliaria.
Por ejemplo, hacer una
búsqueda con Whois en un nombre de dominio tal como ABCD.com,
identificará el nombre y domicilio del tenedor del nombre del dominio,
puntos de contacto técnicos y administrativos y los servidores de
nombres de dominio responsables de ese dominio. Esto les da a los
investigadores un lugar por donde empezar a rastrear el mensaje.
Si
el domicilio de la persona remitente no es falso, encontrar a la
persona detrás de la computadora se convierte en un asunto de averiguar
quién empleó la máquina en el momento en que se remitió el mensaje.
Por
ejemplo, en el caso en el que una persona envió una amenaza de bomba a
una compañía a través de una cuenta comercial de correo electrónico de
la computadora de una biblioteca, los investigadores rastrearon el
correo electrónico hasta la computadora de la biblioteca y
posteriormente pudieron determinar quién había usado la computadora, al
revisar los registros de usuarios.
Falsificación. Pero rara vez
es tan fácil el seguimiento forense. Algunos sistemas de correo
electrónico eliminan el encabezamiento del mensaje antes de entregarlo
al receptor o esconden el encabezamiento del mensaje dentro del
programa de correo electrónico. En otros casos, se falsifica la línea
"From" del encabezamiento. Whois y Better-Whois pueden ayudar a
rastrear los pasos intermedios del mensaje, pero no pueden determinar
la dirección real si es que se ha insertado información falsa, ni
pueden identificar quién ha robado la cuenta de otro o usado
información domiciliaria falsa, de tal modo que cada vez que un
remitente falsea una dirección, estas herramientas son de uso limitado.
La
línea "From" puede ser adulterada de varias formas. Estas incluyen el
engaño ("spoofing"), reenvío, retransmisión, robo de cuentas y creación
de cuentas falsas.
Engaño. Se llama "engaño" el hacer que un
correo electrónico parezca provenir de alguien (o de algún lugar)
diferente del verdadero remitente. Para hacer esto, el que envía el
mensaje utiliza un programa que está fácilmente disponible en la
Internet, para cortar su dirección IP y reemplazarla con la dirección
de otra persona. Afortunadamente, este truco no crea una barrera
impenetrable para los investigadores, porque la primera computadora que
recibe el mensaje "engañoso" registra la verdadera dirección IP del
equipo que envía el mensaje, como un asunto de protocolo, aun cuando el
IP falsificado esté en el encabezamiento. Esto le da al investigador
forense una forma de encontrar el equipo real y luego empezar a
rastrear al individuo que lo usó.
Reenvío (Remailing).Otra forma
de sacar del camino a los investigadores, es enviar el correo
electrónico a una computadora que retira la dirección IP del remitente
y lo vuelve a enviar con la dirección IP de la computadora que hace el
reenvío. La única manera de averiguar quién remitió el correo
electrónico es tener acceso a los registros de la computadora que
reenvió el mensaje. Pero como el diseño de las computadoras que
reenvían las hace anónimas, normalmente no registran los mensajes
electrónicos que han pasado a través de ellas.
Es difícil
identificar a los remitentes que han empleado computadoras que reenvían
mensajes, a menos que hayan cometido un error. Una de esas
equivocaciones puede estar en el contenido que envían. Un análisis del
mensaje o documento adjunto, por ejemplo, puede dar indicios sobre la
identidad del remitente. La información que el programa encaja en los
propios documentos también puede dar pistas sobre la identidad del
sistema y de la computadora de donde vino el mensaje.
Retransmisión
(Relaying). Una tercera forma en que alguien puede esconder el origen
de un mensaje electrónico es hacer que el servidor de correos de otra
persona se encargue de enviar el mensaje. Un servidor de correos
apropiadamente configurado sólo tramitará la correspondencia de su
propio sistema y no retransmitirá mensajes de direcciones IP originados
fuera de su red informática. Pero si el servidor de correo no está
configurado correctamente, se hace vulnerable al mal uso. Por ejemplo,
los remitentes de propaganda comercial no autorizada (spammers) podrían
crear un mensaje electrónico para un gran número de receptores y
después canalizar el mensaje a través del servidor de correos de una
compañía que no sospecha lo que sucede. El remitente lo usa como un
punto de retransmisión, y el dueño del servidor podría no saber nunca
que allí ha estado el que envió los mensajes electrónicos. El remitente
luego desaparece antes de que alguien empiece a entrar en sospechas.
Esto no es sólo un robo de servicios, sino también una potencial
denegación de ellos si el volumen de correo electrónico enviado a
través del servidor lo hace fallar, negando el acceso de la compañía a
su propio correo o servicio.
Robo de cuentas de correo
electrónico. Un cuarto medio de cubrir las huellas electrónicas es
obtener el acceso a la clave y a la cuenta de correo electrónico de
otra persona. Algunas de las formas más comunes de conseguir el acceso
son el "shoulder-surfing" (observar por encima del hombro de otro
mientras ingresa su clave y ID) o husmeando (“sniffing”)una red
(observar todo el tráfico de una red e interceptar los IDs y claves de
los usuarios). Una vez que un pirata informático posee una clave y un
ID legítimos, toda la red está comprometida. Cuando los investigadores
descubren la actividad ilegal e intentan encontrar a la persona que
está detrás de ella, serán conducidos a la víctima inocente cuya cuenta
ha sido secuestrada.
Sin embargo, para determinar quien habría
secuestrado la computadora, los investigadores necesitarían otras
maneras para probar quién era el usuario al momento de producirse el
delito. Las terminales públicas pueden tener una hoja de registro de
ingreso o una cámara de vigilancia, lo que puede adelantar la
investigación.
Cuentas falsas de correo gratuito. Otra táctica
usada por los criminales es asegurarse que el rastro se diluirá cuando
el investigador pase del mundo electrónico al real. En este caso, el
remitente no esconde el origen del mensaje electrónico en términos de
la computadora desde la cual se envió. Sin embargo, llegar a esa
computadora durante la investigación no revelará nada sobre la
verdadera identidad del delincuente porque esa persona habrá dado una
identidad y domicilio falsos cuando abrió la cuenta. Es difícil
capturar a alguien que ha hecho esto porque la compañía de correo
electrónico nunca sabe quién abrió la cuenta falsa. Los que se dedican
a la pornografía usan este truco con frecuencia.
El registro. En
la mayoría de los casos, el rastreo forense del correo electrónico se
apoya en los registros de las computadoras. Un registro de computadora
es la anotación de cada mensaje de correo electrónico que pasa por una
computadora de una red informática. Idealmente, los investigadores
prueban que un correo electrónico viajó a través de una máquina,
localizando el número de identificación del mensaje en un registro de
transacciones de correo, junto con la fecha y hora en que se registró
la dirección.
Desgraciadamente, esta situación ideal no es
típica. Los problemas se presentan cuando no existen registros. Los
límites legales y los problemas de jurisdicción internacional pueden
también crear serios desafíos para los investigadores que están
tratando de seguir el rastro del correo electrónico.
Ausencia de
registros. El mayor desafío que enfrenta un investigador es el
proveedor de servicios de Internet (ISP) que no lleva registro de los
mensajes electrónicos. Los ISP más pequeños no conectan las funciones
de registro de sus computadoras, sea porque tienen personal
inadecuadamente entrenado o porque no desean la responsabilidad de
brindar información sobre sus clientes. Algunos ISP mantienen sólo
datos parciales, como las anotaciones de registros (log-ins) o las
transferencias FTP (protocolo de transferencia de archivos) hacia y
desde la máquina. Esto puede dificultar la labor del investigador
porque no hay suficiente información para dar el siguiente paso.
Límites
de la ley. Aun cuando los ISP llevan suficientes registros, varían en
su interés por ayudar a los investigadores. Algunos facilmente
proporcionan los registros de las computadoras para ayudar en la
investigación, mientras que otros se rehusan a entregar los registros
si no existe una orden o citación judicial. (Tienen la legítima
preocupación de ser llevados ante la justicia por violar los derechos
de privacidad de los usuarios).
Para el investigador privado que
no tiene el respaldo de la ley, conseguir una orden judicial puede ser
difícil o imposible. Para superar este impedimento a su avance, los
investigadores pueden trabajar con organizaciones policíacas cuando
investigan un delito para su compañía o un cliente. Si los oficiales de
policía toman contacto con el ISP y le informan que cierto usuario está
siendo investigado, el ISP está obligado por ley a preservar cualquier
información que habría normalmente registrado o reunido, dando tiempo a
los investigadores para buscar la autoridad legal para obtener la
información pertinente.
Sin embargo, los ISP no están obligados
a incrementar sus actividades de seguimiento. Consecuentemente, si no
estaban llevando un registro, no están obligados a empezar a hacerlo.
Incidentes
internacionales. Rastrear a través de jurisdicciones internacionales a
los intrusos de computadoras y de correos electrónicos, puede ser
realmente difícil. En muchos casos, uno tiene que contar con el
respaldo de un agregado jurídico y del Departamento de Estado, así como
el apoyo de los organismos policiales del país. Si la pista conduce a
una computadora ubicada en un país que no desea ayudar, muy poco se
puede hacer. Los investigadores podrían dirigir su atención a una
computadora específica en ese país. Pero no hay forma de comprobar si
la computadora fue víctima de un pirata informático o específicamente
quién envió el mensaje electrónico.
Búsquedas dentro de la
organización. Si el problema se origina en las propias computadoras de
la compañía, la búsqueda es más fácil, al menos en el sentido de que la
compañía tiene acceso físico al equipo así como el derecho legal de
efectuar una búsqueda del contenido (suponiendo que están en aplicación
los avisos de registro y/o los convenios con los usuarios, mediante los
cuales el usuario acepta el control sobre el sistema y concuerda en que
el sistema sólo es para uso oficial). Esto supone, por supuesto, que la
compañía tiene en aplicación buenos procedimientos y políticas. Por
ejemplo, se debe asegurar que los servidores de correo estén
configurados apropiadamente para anotar las transacciones del correo
electrónico y que se consigan copias de respaldo de esas anotaciones
con regular frecuencia.
El caso principal aludido en este
artículo presenta un ejemplo de la clase de problema que podría
originarse en las computadoras de la propia organización. Otro tipo de
problema en donde a menudo la evidencia se encuentra en el equipo
corporativo, es aquél en que una persona aparentemente del interior de
la compañía le pasa información privada de la empresa a un grupo de
noticias [de la Internet] que examina las acciones de la compañía.
Si
el análisis del encabezamiento del grupo de noticias (parecido al
encabezamiento del correo electrónico) indica que el mensaje se remitió
de una de las PC de la compañía, los investigadores tratarán de
identificar un número razonable de computadoras para examinar, tomando
como base a los empleados que tenían acceso a la información privada de
la compañía.
Una vez que se han encontrado esas PC, el equipo de
análisis obtiene copias exactas (llamadas “copias imagen”) de los
discos duros de las computadoras. Cualquier análisis de una porción de
un medio de información debe hacerse siempre en una copia imagen para
evitar que se altere la evidencia original. Luego, el equipo efectúa
una revisión completa de estos registros. Buscan fragmentos de archivos
o partes de cualquiera de los mensajes electrónicos que contengan
referencias específicas al mensaje ofensivo.
Por ejemplo, si
el usuario estaba empleando el servicio público de correo electrónico
Hotmail, los investigadores comprobarán la copia imagen del cache de la
Internet del buscador (browser), que muestra dónde ha estado en línea
el usuario. Ella contendrá las copias de los mensajes electrónicos
creados o enviados o recibidos vía Hotmail. Si el usuario ha vaciado el
cache o de otra manera ha eliminado un mensaje electrónico, los
investigadores generalmente pueden usar los programas utilitarios para
restaurar elementos eliminados para lograr recuperar esta información.
Los
investigadores también pueden realizar un análisis de nodos de red, un
examen de todos los registros de la computadora, que pueden ayudar a
determinar la ruta que siguió un mensaje electrónico o un pirata
informático. Por ejemplo, los servidores Web y FTP mantienen registros
de todos los pedidos hechos al servidor y disponen de herramientas
automatizadas para comparar los registros y juntar los patrones de
información o de semejanzas.
Tendencias.
Hay tendencias
inquietantes que sugieren que en el futuro el rastreo del correo
electrónico será más difícil. Por ejemplo, algunos productos nuevos que
prometen un correo electrónico seguro, pueden retirar los
encabezamientos de los mensajes electrónicos, como lo hace un equipo de
reenvío, codificar el mensaje e incluso destruirlo después de un
período. Alguien que usa ese tipo de producto estaría básicamente libre
de ser rastreado. Afortunadamente, dichos productos todavía no son de
uso extendido.
En un mundo perfecto, ningún mensaje escaparía el
rastro proporcionado por el encabezamiento del correo electrónico, pero
el mundo informático no es perfecto y nunca lo será. Los programadores
hábiles siempre buscan—y encuentran--formas de evitar el rastreo, y los
investigadores frecuentemente tratan de alcanzarlos cuando siguen el
rastro del correo electrónico, debido a las complejas técnicas usadas
para esconder la verdadera fuente del mensaje. Sin embargo, el rastreo
proporciona pistas para el siguiente paso que deben dar los
investigadores y continuará siendo una parte esencial del análisis
forense de la computación.
Tim Poole es jefe del Veridian
Digital Forensics Center (VDFC) en Falls Church, Virginia. James Hansen
es un investigador forense principal de computación de Veritect, una
compañía de Veridian que brinda servicios de seguridad para redes
informáticas y de ambientes confiables para redes en diversos mercados
verticales comerciales.
En
un estudio reciente de la Agencia Federal de Investigaciones (FBI) y
del Instituto de Seguridad de la Computación de San Francisco, el 70
por ciento de los profesionales de sistemas informaron que sus
compañías habían sufrido serios delitos informáticos que causaron
cientos de millones de dólares en pérdidas directas o indirectas. Este
monto puede ser bajo, ya que muchas compañías evitan conversar sobre
violaciones de seguridad. Las compañías siguen negando una
circunstancia clave para estos delitos: la conducta de sus propios
empleados y ejecutivos. La mayoría de las oportunidades para las
pérdidas son causadas por la ignorancia u omisión de las políticas y
prácticas de seguridad, más que por el genio en programación de unos
cuantos intrusos informáticos.
Por ello, los equipos de
seguridad pueden reducir en gran medida la exposición de la compañía a
pérdidas de información, mediante entrenamiento anual que se dirija a
factores humanos.
WAECUP. Los empleados pueden ser la causa de
las pérdidas de información de alta importancia, a través de una o más
de las siguientes vías: desperdicio, accidente, error, delito y
prácticas no éticas. En base a ellas, el autor ha acuñado el acrónimo
en inglés WAECUP (waste, accidents, error, crime, unethical practices).
El entrenamiento debe concientizar el personal sobre cada uno de estos
aspectos.
Desperdicio. Se produce desperdicio cuando los
empleados botan información sensitiva que existe en papel, discos u
otros medios, en recipientes que no tienen seguridad sea en la oficina
o cuando los empleados trabajan en casa o mientras viajan.Con
frecuencia se botan los hard drive y otras piezas que se pueden
separar, sin que se les haya borrado totalmente la información de la
empresa y sin ninguna preocupación por lo que suceda con la basura de
la compañía. Lo que puede suceder es que se convierta en materia prima
para intrusos informáticos y otros ladrones de información que intentan
obtener información lucrativa o perjudicial o para obtener acceso a los
recursos de la compañía.
Accidentes. La pérdida accidental de
información sensitiva se da como resultado de conductas o prácticas
descuidadas. Por ejemplo, una oficina de abogados usaba GroupWise, un
programa de Novell para comunicación intranet. Debido a que el manual
de instrucciones se había extraviado, el personal de tecnología de la
información creó sustitutos en forma accidental, con privilegios de
lectura/escritura. Los archivos, calendarios y mensajes electrónicos de
los abogados que tenían esos sustitutos se volvieron un libro abierto
para que cualquiera lo leyese.
Otras pérdidas accidentales
ocurren cuando las conversaciones de tipo confidencial a través de
teléfonos celulares son escuchadas en lugares públicos, o cuando el uso
público de computadoras portátiles permite que los ladrones de
información lean pantallas con datos sensibles.
El autor con
frecuencia ha oído a gente de negocios en los aeropuertos, manteniendo
conversaciones sobre aspectos financieros u otros temas confidenciales
mediante teléfonos celulares. Para hacer las cosas peor, cuando los
celulares son afectados por la estática, los viajeros gritan su parte
de la conversación.
Error A veces el error y el accidente se
pueden traslapar en una zona gris, pero en general el error se produce
cuando la persona sabe que el o ella se está comportando en forma
descuidada. Por ejemplo, a John Deutch, antiguo director de la CIA, se
le encontró que poseía información altamente clasificada en su
computadora de casa, sin ninguna medida de seguridad, aparentemente
sólo para su propia conveniencia. Muchos empleados hacen lo mismo,
instalando información sensible en sus computadoras personales,
computadoras portátiles, PDAs (asistentes digitales personales como
Palm Pilots) y teléfonos celulares. No quieren ser molestados por las
restricciones de las políticas de seguridad. No tienen intención
maliciosa, pero la pérdida de información a través de este modo puede
ser igualmente devastadora, como el robo intencional.
La falta
de atención a los códigos de acceso a las computadoras, la mala
selección de los mismos, revelarlos a otros o escribirlos donde pueden
ser vistos, son otros errores que pueden llevar a la revelación de
información de alto valor.
Otro ejemplo es permitir que los
empleados de una firma proveedora ingresen sin acompañantes de
seguridad a la propiedad de la compañía. El que escribe, por ejemplo,
conoce un contratista que trabaja en sistemas telefónicos, quien dice
que las compañías generalmente entregan una tarjeta de control de
acceso al personal de un proveedor después de algunas visitas al local.
Las compañías que hacen esto están concluyendo implícitamente, que una
vez que un empleado del proveedor se vuelve un rostro familiar, el o
ella ya no es un peligro potencial.
Delito. Los errores dejan la
puerta abierta al delito. En un reciente ejemplo, un equipo de falsos
empleados de servicio fue admitido a una compañía en Miami bajo el
pretexto de tener que efectuar unos arreglos en las computadoras
relacionados con el problema del año 2000. No se nombró a ningún
acompañante de seguridad, no se les pidió ninguna identificación y
recibieron acceso irrestricto. Los empleados falsos del proveedor
desmantelaron y sacaron módulos del sistema de correo de voz de la
compañía, lo que resultó en un robo de equipo por US $ 25,000, así como
la pérdida de información contenida en mensajes salvados pero no
recuperados del correo de voz.
Prácticas no éticas. Si bien
muchas personas definen el bien y el mal basándose estrictamente en la
ética derivada de creencias religiosas o seculares, otras deciden a
base de la casualidad. Para algunos no hay ética por sí. Cada decisión
depende del grado en el que el individuo será ayudado o perjudicado.
Estas personas pueden ser amorales o inmorales. Un niño pequeño, por
ejemplo, puede ser amoral. Sin embargo, una persona inmoral está
consciente de la ética culturalmente aceptada, pero viola el código de
forma activa, para su disfrute o beneficio personal.
Algunos
grupos desarrollan sus propios códigos.El código de ética del intruso
por ejemplo, se basa en la creencia de que compartir la información es
para el bien común final. Los piratas informáticos creen que tienen el
deber ético de facilitar el acceso a la información donde sea posible.
Muchos también piensan que penetrar en los sistemas es éticamente
aceptable, mientras no se haya cometido robo, vandalismo o violación de
la confidencialidad. Sin embargo, algunos intrusos aún más destemplados
creen que cualquier control de la información es equivocado y que es su
deber liberar a esa información.
Ingeniería social.
Algunos
ladrones de información practican la “ingeniería social” para obtener
los fines que desean. La “ingeniería social” es la práctica de
manipular psicológicamente a otra persona para que proporcione la
información o recursos que requiere el instigador para cumplir una
meta. En el mundo de la seguridad de la información, esto puede dar la
forma de imitar por teléfono al personal de mantenimiento para engañar
a los empleados a que revelen códigos de acceso a computadoras o den
acceso a las líneas telefónicas de la empresa o a otros recursos. Los
ingenieros sociales también emplean la coerción, estratagemas y
amenazas implícitas. Por ejemplo, un ingeniero social puede descubrir
que cierto empleado tiene algo que esconder o algún resentimiento
contra su empleador. El ingeniero social puede entonces emplear esto
para motivar al empleado para que revele secretos de la empresa.
Ojos bien abiertos.
Para
que los empleados conozcan el significado de WAECUP en relación con la
pérdida de información, las compañías deben realizar un entrenamiento
anual sobre el factor humano. El hacer uso de un instructor foráneo
puede contribuir al impacto del programa porque le brinda a la gerencia
una visión fresca desde afuera.
Una fuente que pueden usar las
compañías para encontrar a un instructor es la Academia de Educadores y
Entrenadores de Seguridad (ASET), de Berryville, Virginia. Este grupo
confiere una designación profesional como Entrenador Titulado de
Seguridad. En ASET se puede obtener una relación de los que han
recibido dicha designación. Otra fuente para encontrar entrenadores es
la Red Mundial o WWW.
Al escoger a un entrenador, la compañía
debe encontrar a alguien que haya enseñado a clases para graduados o no
graduados o que haya servido como un testigo experto. Estas personas
saben presentar la información de una manera concisa que puede ser
fácilmente comprendida.
El entrenador también debe estar
dispuesto a crear un programa de entrenamiento individualizado para la
compañía, después de haber realizado una evaluación de sus políticas y
procedimientos de seguridad de la información. Para cumplir con esto,
el entrenador debe revisar las políticas y procedimientos de seguridad
de la información, incluyendo cualquier cosa que se pide a los
empleados que lean y firmen. Si el entrenador no puede entender estas
políticas, es dudoso que los empleados puedan hacerlo.
Además,
el instructor debe juzgar si el programa de seguridad de la información
del lugar es apropiado y probablemente efectivo. Por ejemplo, algunos
programas son demasiado autoritarios. Si la política dijese “ingrese a
un salón de conversación (chat room) y está despedido”, sin ninguna
explicación de por qué los empleados deben abstenerse de esa actividad,
la política sólo generará irritación e incumplimiento ex profeso.
Para
ayudar a los empleados a entender por qué se han establecido las
políticas, el instructor debe conversar sobre los riesgos relacionados,
incluyendo los problemas que se crean por la comunicación en las redes
de computadoras, sea en salones de conversación por Internet o por
medio de otros medios que puedan parecer más privados, como el correo
electrónico.
Los salones de conversación, por ejemplo, pueden
ser frecuentados por cualquiera que quiere practicar la “ingeniería
social”. Las conversaciones son visibles para todos los usuarios. ICQ e
Instant Messenger, dos programas que permiten que los usuarios de
Internet confirmen si un usuario específico está en línea y después
conversar, dan a los que se comunican la ilusión de una conversación
privada, aunque todos los mensajes viajan a través de servidores en
donde la información puede ser interceptada y leída. Lo mismo es cierto
para el correo electrónico regular. Ninguna comunicación por correo
electrónico es segura, a menos que esté encriptada.
Las
intranets permiten que las compañías se comuniquen internamente con sus
empleados, inclusive aquellos que están en oficinas lejanas, mientras
que las extranets permiten que vendedores u otros ajenos tengan acceso
a la red de una organización. Los empleados deben escoger con cuidado
la información que remiten a través de estas redes.
El
entrenador también debe determinar si el programa de seguridad de la
información de la compañía es demasiado complejo o demanda una cantidad
no razonable de trabajo para cualquier departamento.
También el
instructor debe hablar con el administrador de barreras electrónicas
(firewalls), los jefes del departamento de sistemas de información
gerencial (MIS) y del departamento de seguridad para entender qué
clases de medidas de seguridad tecnológicas se están aplicando y qué
entrenamiento de seguridad de la información se da a los nuevos
empleados, si es que se les da alguno. El entrenador también debe
preguntar a los jefes de estos departamentos acerca de las debilidades
del sistema de información que puedan ser afectadas por los factores
WAECUP, para que cualquier debilidad factible de ser corregida pueda
ser eliminada.
Cuando se ha concluido la evaluación de la
seguridad de la información, el entrenador debe diseñar dos programas
de entrenamiento: uno para los empleados y el otro para los ejecutivos
de la compañía. El programa de entrenamiento no debe ser una
conferencia formal ni debe estar basada en videos. Ambos métodos de
enseñanza dan a los empleados una oportunidad de dormir. El
entrenamiento que se brinde debe ser interactivo, gracioso y provocador
de ideas.
Actuación en clase. En el entrenamiento se debe
estimular a los empleados para que manifiesten sus opiniones sobre el
programa existente de la compañía para la seguridad de la información,
luego de revisar en clase las políticas y procedimientos. Cuando se
explican los factores WAECUP, se debe solicitar a los alumnos sus
propias experiencias con ejemplos de la vida real sobre desperdicio,
accidentes, errores, delitos y prácticas no éticas.
Luego los
alumnos deben participar interpretando roles para demostrar los puntos
que han sido tratados, tales como la “ingeniería social”. Los métodos
pueden incluir escenarios tipo cara a cara y situaciones telefónicas.
Por ejemplo, el instructor puede salir de la habitación y telefonear a
un empleado usando el anexo de la habitación. A través del receptor,
los empleados escuchan la conversación que se produce, durante la cual
el instructor le dice al empleado que es un administrador de red nuevo
de otra empresa, que ha recibido la tarea de instalar un correo
electrónico intranet.
“He oído que usted es un experto y
necesito su ayuda. Hay tantos sistemas por ahí”, dice el que llama. “Y
tengo que tomar una decisión rápida. Usted estará usando el mejor
sistema porque sabe todo sobre ellos, ¿puede decirme cuál es el que
emplea?. Halagado, el empleado puede entregar información que le
permite al que llama configurar un ataque al sistema de información.
El
instructor también puede usar la representación de roles para instar a
un empleado a que entregue información no difundida sobre un nuevo
producto. Por ejemplo, el instructor llama, afirmando ser usuario de un
software producido por la compañía y preguntando cuándo será difundida
la nueva versión. Menciona que no está solo, que muchos de sus amigos
están ansiosos por un producto actualizado y quisieran saber cuáles
serán sus ventajas. De esta manera, el que llama se entera de secretos
comerciales de propiedad privada.
Después de representar roles,
el instructor debe preguntar a los empleados si pueden haber sido
víctimas de ingeniería social. El instructor debe indicar a los
empleados que alerten al grupo de seguridad de la compañía, cada vez
que crean que alguien está tratando de obtener información privada de
ellos, a través de ingeniería social. Esos informes pueden revelar un
patrón de recientes ataques de ingeniería social a la compañía.
Entrenamiento
de ejecutivos. El entrenamiento para los ejecutivos debe incluir las
materias cubiertas en el entrenamiento de los empleados, haciendo un
énfasis especial en el papel de los ejecutivos, quienes deben dar el
ejemplo al resto de la compañía. Los empleados estarán menos inclinados
a seguir las políticas y procedimientos si ven que los ejecutivos dejan
información sensitiva en las pantallas de sus computadoras mientras van
a almorzar o que no siguen la política de la compañía para destruir
documentos.
En la reunión con los ejecutivos, el instructor
también debe subrayar la importancia de una buena seguridad de la
información durante los viajes y en situaciones sociales que son
comunes a los seminarios, conferencias y otros eventos a los que
asisten los ejecutivos. También debe hablarse sobre la influencia
perjudicial del alcohol. Cuando se trata de estas reuniones sociales,
hablar demasiado puede realmente causar serios problemas.
En la
sesión con los ejecutivos, el instructor puede también abordar la
proliferación de aparatos de comunicación personal, que ha agregado un
nuevo giro al programa de seguridad de la información de la compañía.
El patrimonio de la empresa puede ser controlado, pero los gerentes de
seguridad de la información quizá no han considerado la tecnología
personal de sus empleados o proveedores, quienes llegan con sus propios
teléfonos celulares, computadoras portátiles, aparatos digitales
personales y otros instrumentos que pueden descargar información de la
empresa y eludir las comunicaciones controladas de la compañía.
Debido
a que estas tecnologías se van haciendo menos caras, las compañías
están viendo que no sólo sus propios empleados llevan sus computadoras
personales y otros aparatos a las oficinas, sino que incluso las
personas que ingresan al local para hacer entregas o reparaciones,
pueden tener la tecnología para sacar información privada de las
computadoras de la empresa.
Por ejemplo, muchos encargados de
reparaciones están equipados con computadoras portátiles con las que se
comunican con sus empleadores. El empleo de estas tecnologías en los
locales de los clientes en gran medida no está siendo notada por los
gerentes de seguridad de la información, que necesitan incluir la
tecnología personal en el planeamiento de seguridad de la organización.
Las
compañías deben darse cuenta que los delitos informáticos y el robo de
información privada no se pueden prevenir sólo con medios tecnológicos.
Al proporcionar entrenamiento anual a todos los empleados, tanto
empleados de línea como ejecutivos, los gerentes de seguridad pueden
asegurar que los empleados de la compañía no serán el eslabón débil en
la cadena de la seguridad de la información.
Norman R- Bottom,
Ph.D., CPP, CST (instructor de seguridad titulado), CFE (investigador
autorizado de fraudes), CCO (funcionario confidencial autorizado), es
director del Programa de Confidencialidad para Funcionarios (CCO),
administrado por la Asociación de Controles y Medidas Contra el
Espionaje Comercial. Bottom es autor de libro Espionaje Industrial, y
ha formado parte de diversos Comités Permanentes de ASIS.
El
informe televisado de un caso de fraude informático bancario trataba un
tema familiar: mostraba a agentes de la policía que retiraban equipo de
computación--específicamente, la PC de un sospechoso--como parte de lo
que los reporteros de televisión dijeron que sería una investigación
informática forense. Un vocero policial entrevistado por el reportero
de televisión declaró que se examinaría el disco duro de la computadora
del sospechoso para determinar cómo se había cometido el fraude.
Pero
había un inconveniente clave en este proceso de investigación: la
investigación “forense” sólo se concentró en el disco duro de la PC del
sospechoso. Nunca se obtuvo evidencia crítica que consistía en los
registros verificables del servidor, reportes del uso de la computadora
y del acceso de usuarios, y otra documentación que podría haber ayudado
a los investigadores a reconstruir la transacción fraudulenta al
revelar la actividad global del sistema del sospechoso.
Por
esta razón, aunque el sospechoso fue declarado culpable de robar fondos
bancarios, el caso no fue procesado bajo las leyes del delito
informático.No se había seguido la pista de la transacción fraudulenta
hasta el sospechoso, y el fiscal determinó que sin ninguna
reconstrucción significativa de los eventos de la transacción, ningún
esfuerzo para iniciar un proceso tendría éxito.
El hipotético
escenario anterior es una excepción y no la regla en las
investigaciones de delitos informáticos, pero está claro que un número
creciente de investigadores ha desarrollado la equivocada noción de que
la forense informática sólo tiene que ver con los medios
computacionales--específicamente el disco duro de una PC--y con
recuperar evidencia digital.Aunque es indudable que la información útil
para una investigación se puede reunir de los discos duros de las PC,
de los servidores, de las unidades de disco de las computadoras
portátiles, y de otros medios, resulta crítico que los investigadores
entiendan la diferencia entre investigar tales medios locales y
realizar a fondo una investigación forense sobre un incidente
informático.
Una investigación forense a fondo de un incidente
informático es una exploracióncompleta y minuciosa para determinar la
naturaleza, alcance, y duración de la transacción fraudulenta en
cuestión. Esto requiere que el investigador recupere los informes de
ingreso de un usuario, los reportes de las fechas y horas, y otros
informes de ingreso al sistema que establecen qué sucesos ocurrieron,
qué identificación de usuario estuvo asociada con cada suceso, y cuáles
sistemas aplicativos estuvieron involucrados, creando una
reconstrucción completa del incidente en cuestión.
Aunque no hay
dos casos que sean exactamente iguales, el énfasis de una investigación
de un fraude informático debe estar en generar la evidencia para
comprobar quién realizó el acontecimiento de la
transacción.Generalmente este enfoque requiere atención para comprender
la estructura del sistema y para reunir la evidencia, pero es de igual
importancia cómo se presenta la información al jurado, si el objetivo
es obtener una condena.
Estructura del sistema.
Antes
de examinar los registros, el investigador debe lograr una comprensión
básica de la arquitectura de TI de la organización, de la
infraestructura de la red de la empresa, y de los componentes generales
del ambiente informático, incluyendo los controles existentes de
seguridad de la información.Las preguntas por hacer incluyen:¿Cómo son
autenticados los usuarios ante los servidores del sistema informático
donde ocurrió el fraude o otro delito?¿Qué garantías hay para ofrecer
un alto grado de seguridad de que cada usuario es el individuo que se
conecta al sistema?¿Cómo se rastrean los acontecimientos de acceso y
cómo se almacenan los registros para consulta posterior?¿Cuál es el
proceso de verificación de las transacciones?¿Cómo se controlan y
anotan los cambios del sistema?
Reuniendo evidencia.
Una
vez que el investigador conoce los aspectos básicos del ambiente
informático en cuestión, él o ella puede empezar la investigación.La
meta del investigador, por supuesto, es descubrir la evidencia que
pueda ser usada para convencer a un jurado que para cometer la
transacción fraudulenta, sólo el sospechoso podría haber utilizado la
combinación de contraseñas, identificación de usuario, y otros
elementos del registro de acceso.El primer paso para esa finalidad es
que la investigación tenga una base forense sólida, lo cual significa
que los pasos de la investigación deben estar documentados y se deben
poder repetir.El investigador también debe asegurar que se conserve
cualquiera evidencia en su condición original.Por ejemplo, resulta
crítico que el investigador garantice que los correspondientes reportes
de registros de acceso sean guardados en medios en los que se pueda
escribir una sola vez, de tal manera que no se pueda grabar nuevas
transacciones sobre ellos, incluso aquellas que puedan ser intentos del
perpetrador de cubrir su rastro
Se debe reunir evidencia en tres
áreas: en el terminal de trabajo del sospechoso del delito, de ser
posible; en la plataforma informática a la que ha tenido acceso el
infractor, como la computadora principal o el servidor LAN, y en la red
que conecta a los dos, de ser aplicable.Al reunir la evidencia, el
investigador debe trabajar estrechamente con el asesor jurídico de la
organización y, si es necesario, con los auditores de TI al reunir los
reportes de registros verificables.Puede que el investigador también
necesite coordinar con los equipos de respuesta que tenga la compañía
para emergencias informáticas.
Registros. Los informes sobre las
actividades de acceso son claves al investigar el fraude asistido por
computadora, ya que crean evidencia al capturar la naturaleza y
duración de la transacción mediante las huellas de la fecha y hora de
la sesión de inicio y la verificación que la identificación de usuario
y la contraseña únicas del sospechoso de la violación fueron utilizadas
para iniciar la sesión.
Muchas organizaciones no sólo archivan
automática y rutinamente los reportes de registro, sino que como
actividad redundante también envían registros a un servidor central que
captura, archiva, y respalda todos los registros.El investigador puede
recuperar estos archivos.
Los registros se pueden originar de
muchas fuentes.Las investigaciones forenses de incidentes informáticos
se alimentan de los datos de acceso del usuario capturados por
programas de seguridad de la computadora principal, por sistemas de
acceso a aplicaciones, por sistemas de detección de intrusos en una
red, por los registros de cortafuegos, y por los registros de acceso a
los interruptores, los ruteadores, los servidores y otros dispositivos
de una red.Una investigación efectiva con frecuencia involucra
evidencia recolectada de varios registros independientes y de sistemas
informáticos que no están bajo un sistema homogéneo de rastro
verificable.
Generalmente hay un alto grado de redundancia entre
los registros, lo cual puede ayudar a los investigadores a verificar la
exactitud de archivos específicos.Por ejemplo, la hora de inicio de la
sesión, la aplicación a la que se tuvo acceso, y la hora a la que el
usuario se desconectó de la red son todas mostradas en múltiples
registros, de manera tal que cualquier contradicción podría indicar que
el sospechoso trató de alterar o borrar evidencia de la transacción
fraudulenta.Muchos programadores altamente especializados y
administradores de redes--incluso piratas informáticos--por lo general
tienen conocimiento de las maneras de alterar o borrar los sistemas de
registro, pero las herramientas de software pueden ayudar a los
investigadores a descubrir la evidencia de las alteraciones en los
registros manipulados.Por ejemplo, diversos productos de software de
seguridad empresarial permiten el monitoreo y reporte de todos los
acontecimientos de acceso y cambios efectuados a todas las plataformas
de computación, incluyendo los cambios realizados por los
administradores de sistemas.Estas soluciones de monitoreo y reporte
pueden ser administradas desde una sola consola de seguridad, que se
puede colocar en un sitio seguro alejado del personal de sistemas y de
redes.Los productos incluyen el software Tivoli de IBM; eWizard y
eSentinel de e-Security, Inc.; eAudit de Consul Risk Management; y
Vanguard Security Solution de Vanguard.
Idealmente, el sistema
de la organización tendrá una sólida autenticación e identificación que
ayudarán al investigador demostrar quién participó en la transacción
fraudulenta. Por ejemplo, en algunas organizaciones se utiliza un
dispositivo externo pequeño o una aplicación biométrica de seguridad
(como el uso de imágenes faciales o de la retina, o sistemas de
reconocimiento de huellas digitales o de la palma) para proporcionar un
nivel adicional de seguridad.
Un reporte de las acciones de
conexión (logging) que muestre que la identificación de usuario del
sospechoso fue utilizada junto con un dispositivo de verificación o un
medida biométrica será difícil de refutar ante los tribunales. La
combinación de la identificación de usuario de un sospechoso (algo que
el sospechoso conoce) con un dispositivo externo (algo que el
sospechoso posee, como una tarjeta de acceso para insertar en el
terminal de trabajo) o una medida biométrica (algo exclusivo del
sospechoso, como una exploración de retina, una imagen del dedo índice,
una exploración del iris, la forma de la cara o una imagen de la
palma), dificultaría que un sospechoso negase su participación.
Otras
fuentes de evidencia . Sea que la organización esté buscando una
compensación civil o un proceso penal, la capacidad de proporcionar
documentación verificable de las conexiones al sistema resulta crítica
para crear una pista que lleve al perpetrador.
Pero es
importante que el investigador comprenda que una investigación forense
de un incidente informático de una transacción fraudulenta no sólo
consiste en conseguir y analizar evidencia digital del uso de recursos
de información por parte del sospechoso. En cambio, consiste en obtener
toda y cualquier evidencia que pueda ayudar a identificar al sospechoso
y ayudar en un proceso penal o civil.Por lo tanto, además de obtener
reportes de conexión mostrando el uso de la computadora principal y del
servidor por parte del sospechoso, el investigador también podría
buscar evidencia para confirmar que el sospechoso estuvo en el lugar
donde ocurrió la actividad pertinente en un día en particular. Se puede
reunir evidencia de los registros de las lectoras de tarjetas de
acceso, de los informes de uso del sistema telefónico, de los reportes
de empleo de impresoras que capturan las conexiones de acceso que están
en cola,de las cámaras de vigilancia por CCTV.
Procesamiento.
Un
problema importante en el fraude informático es que incluso después de
que se ha detectado e investigado, es difícil obtener una condena. La
causa principal de esta falla es una combinación de evidencia mal
recopilada con una presentación débil de la evidencia.
Aun los
reportes de inicio de conexión con información útil no servirán de
mucho si el fiscal, el juez o el jurado no puede leer o entender los
registros. Por consiguiente, es decisivo que el investigador presente
la evidencia en un formato sencillo de entender, acompañado de
explicaciones que eviten la jerga y la terminología técnica.
Adicionalmente,
los investigadores de seguridad responsables de las investigaciones del
fraude informático deben familiarizarse con los registros de eventos
informáticos de su organización antes que ocurra un incidente. Si los
registros son confusos o demasiado complejos, el investigador de
seguridad debe participar activamente en los esfuerzos destinados a
proporcionar registros fáciles de usar que describan el quién, qué,
cuándo y dónde de un evento.
También es una preocupación el
manejo de la evidencia cuestionable.Si el abogado del sospechoso es
capaz de levantar dudas sobre la integridad de los registros de acceso
o de los rastros verificables o si es capaz de demostrar que un
investigador alteró la evidencia por error, no se puede convencer a
ningún jurado que declare la culpabilidad.Si el jurado cree que la
evidencia ha sido alterada o mal manejada, entonces el caso está
perdido.
Para aumentar las posibilidades de que un proceso tenga
éxito, todos los reportes verificables de conexiones al sistema y
cualquier otra evidencia que se haya recogido deben describir
claramente la transacción desde el comienzo hasta el término de la
sesión. Deben mostrar sin ambigüedades que el sospechoso es la única
persona que pudo haber realizado la transacción fraudulenta.
Incluso
en los procesos de fraude informático en los que se presenta la
evidencia impecablemente, pueden surgir otros problemas con los
jurados.En el muy publicitado proceso por delito informático de Timothy
Lloyd, de Wilmington, Delaware, por ejemplo, se presentó al jurado la
evidencia detallada de su nivel de acceso a las computadoras como
administrador de redes de su empleador, una firma fabricante.El jurado
declaró culpable a Lloyd, pero el juez rechazó el veredicto de
culpabilidad luego de que una de los miembros del jurado afirmó que
había quedado confundida sobre la evidencia que había sido presentada
después de observar un informe en la televisión sobre el virus Love
Bug.
La miembro del jurado de algún modo pensó que si el virus
Love Bug podía “ingresar” indiscriminadamente a sistemas informáticos,
entonces quizás Timothy Lloyd no cometió realmente el acto y, en vez de
ello, algún tipo de virus realmente originó el evento de acceso.
La
parte acusadora apeló, y la acción de la corte de menor nivel fue
anulada, restableciéndose el veredicto de culpabilidad. Recientemente
Lloyd fue sentenciado a más de tres años en prisión y se le ordenó
pagar $ 2 millones como restitución. Pero el caso demuestra que
inclusive en aquellos procesos por delito informático en los que la
evidencia se presenta en forma lógica al jurado de una manera efectiva,
puede ser difícil obtener una declaración de culpabilidad porque para
el jurado el material es difícil de entender.
Un caso pertinente.
Una
investigación dirigida por el autor trató la transferencia de hipotecas
bancarias a un inversionista en mercados secundarios. Parecía que se
habían perdido fondos y se inició una investigación.Al inicio, la
unidad de negocios del banco sospechó un error numérico. Pero el rastro
de la evidencia llevó a otra conclusión: fraude.
Los bancos
habitualmente preparan hipotecas para venta a agencias de inversión en
mercados secundarios, tales como la Asociación Nacional Federal de
Hipotecas (Federal National Mortgage Association, ó Fannie Mae) o la
Corporación Federal de Hipotecas para Préstamos Inmobiliarios (Federal
Mortgage Home Loan Corporation, o Freddie Mac). En este caso, el
reporte de una agencia de inversiones para confirmar la transmisión al
cierre del día, no conciliaba con el reporte del banco: los saldos
tenían una diferencia de $ 80,000. Después de no poder solucionar el
error, los auditores internos de la agencia de inversión y el banco
comenzaron simultáneamente a revisar los datos.
El primer paso
de la revisión por el banco fue examinar el registro de detección de
anomalías de la red y el reporte de ingresos al cortafuegos.No se
encontraron anomalías--desviaciones del tráfico normal de la red--y los
registros del cortafuegos no mostraron excepciones. Estos datos
indicaban que todos los sucesos de acceso que involucraban al sistema
aplicativo hipotecario fueron iniciados por fuentes confiables dentro
del cortafuegos.
Los investigadores sabían que el sistema
hipotecario se procesaba en una unidad central en un área separada
debido a sus datos y aplicaciones sensibles.También sabían que ningún
software del sistema Web estaba localizado en esta unidad y que todos
los sistemas de Web estaban en servidores separados. Por lo tanto, el
equipo llegó a la conclusión que no era probable que estuviese
implicado alguien del exterior.Si había algún delito, involucraba a un
empleado.
El siguiente paso era revisar los registros de
seguridad de acceso a la unidad central para conexiones con el sistema
aplicativo hipotecario.Los medios de reporte del sistema de seguridad
proporcionaron información sobre los empleados que estaban autorizados
para modificar y ejecutar transacciones. Los investigadores conciliaron
los nombres de estos empleados con sus inicios de conexión durante el
período en cuestión.
Una conexión en particular, en el cual una
empleada registró la cancelación de una hipoteca residencial de $
80,000, efectuada por un cliente, concilió con la fecha y hora del
error original. Después de una revisión adicional, los investigadores
concluyeron que en este caso una empleada del banco había registrado la
cancelación de la hipoteca inmobiliaria de un conocido suyo, a pesar de
que el banco no había recibido realmente fondos del cliente.
La
política del banco sobre informática al nivel de toda la organización
era que todos los aparatos y recursos informáticos son activos de la
compañía que pertenecen al banco.
Por consiguiente, el banco
podía tener acceso e inspeccionar en cualquier momento todo artefacto,
sistema de computación o dispositivo de difusión.
Aunque el
banco podía haber examinado el terminal de trabajo y la PC de la
empleada, esto no fue necesario.El investigador sólo necesitó reunir
los reportes de conexión y comparar el inicio de sesión, la hora de la
transacción, y la duración con los de la empleada.Sin embargo, si
hubiese sido necesario examinar la PC, se podría haber hecho después de
las horas de oficina, bajo el pretexto de una llamada de mantenimiento
o de un mejoramiento del software.
Aunque los investigadores
sostuvieron ante la empleada que solamente estaban tratando de
solucionar un error de la computadora, la empleada citando la tensión
de todo el suceso, repentinamente abandonó el empleo en el banco.
Mientras tanto, el deudor hipotecario en cuestión no pudo proporcionar
una copia de un cheque cancelado o un recibo por la transferencia del
dinero, y la cancelación de $ 80,000 fue anulada.
Aunque
realmente no se perdieron fondos, el banco presentó una referencia
penal para cumplir con un requisito de los bancos asegurados por el
gobierno federal con relación a asuntos de fraude informático.En esta
instancia, el fiscal declinó llevar el caso al tribunal debido a que no
se cumplía con el límite de daños monetarios requerido para iniciar el
procesamiento, dado a que los asientos fraudulentos fueron anulados y
la perpetradora no obtuvo realmente un beneficio financiero, tal como
el que hubiera obtenido mediante una letra o cheque bancario, o dinero
en efectivo.
La recopilación de los registros y reportes de
rastros verificables y la reconstrucción de la transacción fueron todos
vitales para determinar qué sucedió.Un examen del disco duro de una PC
o de otros medios no habría proporcionado la evidencia necesitada para
resolver este asunto.
Cualquier investigación de un delito que
involucre a los sistemas informáticos de la compañía debe extenderse
mucho más allá de la PC o del terminal de trabajo. La evidencia
electrónica debe ser descubierta por toda la red. El secreto para
exponer los argumentos del caso es pensar más allá del disco duro.
John
J. Melia Jr., CPP, CISA (auditor certificado en sistemas de
información), CFE (investigador certificado de fraude), CISSP
(profesional de seguridad certificado en sistemas de información), CBCP
(profesional certificado en continuidad de negocios), y CRP
(profesional certificado en riesgos), es el director de gestión de
riesgo de acatamiento del Banco de Préstamos Inmobiliarios e
Inversiones (Home Loan and Investment Bank, FSB), de Warwick, Rhode
Island. Es miembro del Consejo de ASIS para Seguridad de Tecnología de
la Información.
Lo básico de los registros Todos los
sistemas, aplicaciones y redes informáticas, y las aplicaciones de
correo electrónico poseen capacidades de registración de las sesiones
de conexión, que capturan como mínimo, cualquier intento de conexión
(con o sin éxito), la identificación de la conexión, la fecha y hora de
cada intento de conexión enumerando la identificación (ID) del usuario,
los dispositivos utilizados, las funciones realizadas una vez que se
conectó, y la aplicación o función que el sospechoso trató de
solicitar. Estos archivos de acceso son generados por el sistema
operativo básico de la red, así como las aplicaciones instaladas en ese
sistema operativo.Los reportes de conexiones a la red y los registros
de tráfico producen numerosos asientos que detallan la autenticación y
la autorización para los servidores de directorio, servidores de bases
de datos, servidores de archivo e impresión, ruteadores de acceso,
cortafuegos, servidores sustitutivos, servidores de correo, y entradas
de redes virtuales privadas (VPN).
Los sistemas de
intrusión-detección (HIDS) con base en servidores host y los sistemas
de control de acceso con base en la computadora central son soluciones
basadas en software que tienen la capacidad de monitorear, llevar el
registro, e informar virtualmente todas las transacciones que ocurren
en los sistemas de servidores host de una organización. Todo, desde
actividades de conexión completadas satisfactoriamente hasta intentos
fracasados de conexión, pasando por una lista de archivos agregados,
modificados o eliminados, puede ser fácilmente rastreado por los HIDS,
los cuales proporcionan un registro de auditoría detallado de las
acciones de una persona.
De la misma manera como los HIDS pueden
rastrear a los usuarios que ingresan a las computadoras host de la
organización, la mayoría de las organizaciones disponen de algún tipo
de sistema intrusión-deteccion con base en la red (NIDS) para rastrear
actividades a través de la red. Este NIDS reside generalmente en el
segmento interno del cortafuegos para monitorear y proporcionar
reportes de todo el tráfico hacia y desde la Internet. Mientras el
tráfico de los usuarios atraviesa la red, la información en pequeños
paquetes es reunida, lo que permite que los reportes de conexión NIDS
identifiquen a los usuarios por su ID de usuario; la dirección del
protocolo de Internet (IP), de ser aplicable; el nombre del servidor
host visitado; el identificador de aplicación; y la hora de inicio,
duración y salida de sesión del usuario.Se puede capturar la
información de conexión NIDS para todos los sucesos de la red que
impliquen el acceso a los servidores corporativos de intranet y de
correo electrónico, y de la actividad en la red que está destinada a la
Internet o se origina de ella.
Además, los rastros de
verificación de los cortafuegos pueden ser particularmente útiles para
el investigador al considerar los fraudes a gran escala que impliquen
el acceso vía la Internet. Los cortafuegos generan un archivo de
registro que contiene un sello con la hora y un identificador único de
tiempo transcurrido de la conexión; un número único de identificación
de la sesión; las direcciones de la fuente y del destinatario IP,
incluyendo la dirección de la conexión y un identificador de la
ubicación del ruteador de origen, y un código único de identificación
del proveedor del servicio de Internet (ISP), incluyendo el
identificador de cuenta del usuario.
Al capturar el código de
identificador del ISP del infractor, así como la información sobre la
dirección del ISP infractor y el número telefónico de origen del ISP,
el investigador puede presentar evidencia convincente al fiscal y
mejorar enormemente las posibilidades de un proceso exitoso. Un
método común para intentar frustrar el monitoreo y restricción de uso
en el acceso a una red ocurre cuando intrusos externos o internos
tratan de evadir el cortafuegos o el servidor sustitutivo empleando el
acceso mediante el marcado telefónico a través de líneas conectadas a
un puerto de red abierto.Para contrarrestar esto, ahora muchas
organizaciones ponen en funcionamiento sistemas de escaneo de puertos
externos, los que identifican todos los puertos abiertos y permiten
cerrar los puertos que no estén en uso.Los sistemas de escaneo de
puertos también pueden tener un uso especial en las investigaciones
porque proporcionan un reporte de las sesiones de conexión que muestra
la ubicación del puerto de todas las transacciones en la red.
Se
puede configurar el registro de un cortafuegos en cualquier dispositivo
que está diseñado para capturar el acceso a un sistema, incluyendo un
servidor o un ruteador de cortafuegos y cualquier aparato separado de
la red que contenga software de cortafuegos.Independientemente del tipo
de cortafuegos que se usa, el programa sirve como un punto único de
ingreso a la red y evalua todos los pedidos de conexión. Debido a que
los cortafuegos utilizan un conjunto predefinido de reglas en las
cuales se basan las excepciones y alertas, la actividad fraudulenta
puede ser capturada con facilidad. Los registros con rastros de
verificación identifican sucesos tales como intentos múltiples de
acceso no autorizado en un período de tiempo dado, fallas repetidas de
conexión, actividad en los puertos de la red no utilizados, y
potenciales ataques para negar el servicio.
Por ejemplo, al
llegar a la escena de la emergencia, generalmente se esperaba que los
oficiales de seguridad realizasen funciones tales como revisar la
escena del incidente para ver si era seguro ingresar a la habitación y
prestar ayuda; tratar de averiguar el mecanismo de la lesión; realizar
una encuesta médica básica; inmovilizar el cuello y la cabeza de la
víctima (si había razón para creer que la emergencia era el resultado
de una lesión como una caída, en vez de una condición médica tal como
un ataque al corazón); y tomar y registrar los signos vitales de la
víctima.Mientras tanto, se esperaba que por lo general los elementos de
respuesta que no eran médicos notificasen al servicio médico local de
emergencia, coordinasen las comunicaciones entre todos los elementos de
respuesta y con los organismos públicos, se asegurasen que el personal
del servicio médico de emergencia pudiese localizar e ingresar a la
instalación, controlasen a las multitudes si fuese necesario y tomasen
notas para usar posteriormente en un informe de incidente.
Estos
criterios fueron utilizados para conformar dos listas de control del
escenario.La primera lista de control cubría el sistema de comando de
incidente; esa lista se le entregó a un supervisor de seguridad con
experiencia en esa área. La segunda lista de verificación cubría la
parte de la respuesta médica del escenario y fue entregada a un oficial
de seguridad de alto nivel quien también era un EMT.Los dos miembros
del personal de seguridad a quienes se les habían dado las listas de
control eran los responsables de calificar las actividades enumeradas
en sus respectivas listas de verificación durante el transcurso del
escenario.
El planeamiento para la prueba era crucial, porque la
gerencia no quería que se afectasen las operaciones normales. El
ejercicio solo involucraría al equipo de seguridad y se conduciría
durante las primeras horas de la mañana.
El edificio de
seguridad fue elegido como el lugar del escenario porque el reglamento
local contra incendios no exigía que el sistema de alarma contra
incendios estuviese enlazada con el departamento de bomberos, si una
fuerza de seguridad local estaba presente. Además, se informó a los
operadores del centro de comando de seguridad de la emergencia para
evitar una llamada al servicio médico local de emergencia.
Habiéndose
reducido la probabilidad de que el escenario hipotético interrumpiese
las operaciones normales de la empresa, o de un informe inadvertido de
incidente a las autoridades locales, los planificadores desarrollaron
los aspectos específicos del ejercicio.Se tomó la decisión de filmar el
escenario hipotético con una cámara grabadora en un esfuerzo por
proporcionar, al rendir cuenta del escenario, una visión objetiva de lo
que había sucedido.
El ejercicio comenzó el día designado a las
2 a.m. cuando el operador del centro de comando recibió la activación
de una alarma en su pantalla. Según los protocolos normales, envió
oficiales de seguridad a la escena e intentó tomar contacto con el
ingeniero del edificio.El primer oficial en llegar a la escena
estableció un comando del incidente como requerían los protocolos, se
colocó junto al panel contra incendios y dirigió al segundo y al tercer
oficial hacia la activación de la alarma en el sótano. Los oficiales de
seguridad encontraron a los tres observadores que los esperaban.A los
oficiales se les ordenó que reaccionasen como si fuera un hecho real.
Los
oficiales procedieron a revisar la escena para determinar si era seguro
ingresar.Una vez que vieron que lo era, los oficiales se acercaron a la
víctima, quien yacía a una distancia de varios pies de un panel
eléctrico. Notando las marcas obvias de quemaduras en el cuerpo de la
víctima (hechas con maquillaje de teatro) y la distancia del panel
eléctrico, los oficiales asumieron correctamente que había ocurrido una
explosión, posiblemente causando lesiones en el cuello o la espalda a
la victima. Un oficial se puso al costado de la cabeza de la víctima y
le aplicó una estabilización en línea mientras que el otro realizaba
una revisión médica primaria, determinando que la víctima experimentaba
una respiración dificultosa y era poco sensible al estímulo verbal.
Después
de evaluar los signos vitales y administrar oxígeno de alto flujo, un
oficial realizó una segunda revisión y empezó a tratar las quemaduras y
otras lesiones relacionadas, según era necesario.Unos minutos más tarde
se tomaron los signos vitales de seguimiento y se continuaron hasta las
2:20 a.m., cuando los observadores anunciaron que las autoridades
habían llegado a la escena y asumido responsabilidad por la victima.
Esto concluyó el escenario hipotético.
Poco después de que se
terminase el ejercicio, mientras la experiencia todavía estaba fresca
en la mente de todos, se llevó a cabo una reunión de información.El
supervisor abrió la reunión recalcando a cada uno de los participantes
que la situación hipotética se desarrolló para que pudiesen aprender el
uno del otro, estableciendo así el tono de la reunión y evitando que
ella se convirtiese en una situación estresante.Luego, cada
participante y observador dio su propio relato sobre lo que había
ocurrido durante el escenario planteado.
Un observador notó que
el oficial que efectuaba la estabilización en línea había, en varias
ocasiones, permitido que el cuello y cabeza se movieran. Si este acto
hubiera ocurrido durante una emergencia médica verdadera, la víctima
podría haber experimentado lesiones adicionales o posiblemente
parálisis.
El oficial que había realizado esta tarea no creía
que había hecho incorrectamente la tarea.Luego se revisó la cinta de
video de la cámara.La cinta mostraba que el oficial en efecto había
soltado el cuello de la víctima en una ocasión y que había aflojado
significativamente su asimiento varias otras veces.
Después de
que se completó la revisión del video y cada participante y cada
observador tuvo la oportunidad de hablar, se desarrolló una lista de
lecciones aprendidas.Encabezando la lista estaba más entrenamiento y
práctica en sostener la cabeza o cuello de una víctima durante la
estabilización en línea, cuando el mecanismo de lesión sugería un
problema de cuello o espalda.
Aunque había espacio para mejorar,
la determinación total de este escenario fue que el personal había
cumplido satisfactoriamente la mayoría de los criterios
establecidos.Otros escenarios hipotéticos posteriores mostraron una
mejoría con tiempo.
Control de acceso.
El segundo
estudio de caso muestra como se utilizó el modelo ADDIE para mejorar la
función del control de acceso en una compañía grande que utilizaba
personal de seguridad contratada para proteger sus oficinas principales
en el centro de la ciudad. El personal contratado recibía su
entrenamiento básico de oficial de seguridad antes de ser asignado al
lugar, y ya en el empleo se les daba un entrenamiento específico sobre
el sitio, complementado por cursos autodidactos proporcionados por la
compañía contratada.
Cuando la compañía de seguridad asumió la
responsabilidad del contrato por primera vez, el arreglo funcionó
bien.La calidad del trabajo era apropiada para las necesidades de la
instalación. Sin embargo, al pasar el tiempo, el perfil de la amenaza
cambió.La compañía fue el blanco de manifestantes, y estas protestas
fueron cubiertas por los medios de prensa.Esta publicidad incrementada,
combinada con un número creciente de amenazas externas de violencia
laboral dirigidas contra los empleados, llevó a los gerentes de
seguridad a volver a evaluar el programa de entrenamiento de los
oficiales de seguridad y buscar oportunidades para mejorarlo
Una
serie de incidentes menores brindó un punto de partida para este
esfuerzo al determinarse que los oficiales de seguridad operativos se
habían relajado al tratar los problemas de control de acceso. Los
procedimientos escritos exigían que los oficiales de seguridad
examinasen visualmente la insignia de identidad de cada empleado que
ingresaba a la instalación y sólo permitiesen el acceso a aquellas
personas que presentasen una insignia válida de la compañía con la
fotografía del empleado.Mientras tanto, se dirigían a los visitantes a
una entrada particular donde se verificaba su identidad y la razón por
la que se encontraban en el lugar.
En una ocasión, dos mujeres
que no eran de la ciudad confundieron las oficinas generales de la
compañía por un edificio del otro lado de la calle. Ellas ingresaron a
la instalación por la entrada principal y caminaron por delante de
cuatro oficiales de seguridad sin que se les pidiera su identificación.
Luego las mujeres entraron al ascensor y acabaron deambulando en un
piso superior, antes de ser detenidas por una secretaria alerta.
En
otro caso, un contratista llegó bastante antes de las horas de trabajo
para efectuar algo de trabajo en un área restringida de la instalación.
El oficial de seguridad conocía al contratista y le permitió continuar
al área sin una escolta porque el oficial tenía poco personal y no
quería causar inconvenientes al contratista al hacerlo esperar.
Para
abordar estas situaciones y otros problemas potenciales, los gerentes
de seguridad realizaron un análisis de necesidades de entrenamiento. Se
entrevistó informalmente a miembros del personal y se revisaron los
informes de incidentes pasados para descubrir la existencia de
cualquier tendencia. Además, se creó y entregó a cada oficial de
seguridad un “Formulario de Evaluación de Conocimientos del Oficial de
Seguridad”, basado en las consignas de los puestos del lugar.
Varios
temas surgieron de la información recogida. En la entrada de empleados,
algunos oficiales no entendían del todo las órdenes del puesto. Otros
se concentraban tanto en los procedimientos escritos que fallaban en
aplicar un criterio firme cuando se veían frente a situaciones
inusuales.Aun otros se habían vuelto permisivos con el transcurso del
tiempo. Sin embargo, los guardias de seguridad ubicados en la entrada
para visitantes se desempeñaban en forma coherente, de acuerdo con los
procedimientos establecidos.
La terminación del análisis de
necesidades reveló dónde existían deficiencias de desempeño.Armados con
esta información los gerentes de seguridad desarrollaron objetivos
didácticos formales según el desempeño deseado que se esperaba de cada
oficial de seguridad. Debido a que la función de control de acceso era
un tema particularmente preocupante, los gerentes de seguridad
decidieron conducir una serie de escenarios de penetración.
En
estos escenarios, se les pidió a empleados seleccionados y a otros
voluntarios que intentasen ingresar sin presentar una identificación
apropiada. Algunos de estos examinadores presentaron licencias de
conducir y otros documentos, mientras que a otros se les entregó
insignias legítimas de antiguos empleados. Además de ello, a varios
verificadores se les pidió que tratasen de convencer a los oficiales de
seguridad que les dejasen pasar. Los resultados de estos ejercicios
iniciales de penetración fueron excesivamente malos: De 16 intentos
para ingresar a la instalación, 15 tuvieron éxito.
Las razones
por las que los verificadores pudieron penetrar en la instalación
cayeron de modo general en una de tres categorías: En la primera, el
oficial de seguridad no inspeccionaba visualmente la insignia de
identificación de cerca. Tales fallas permitieron que ingresase con
éxito una mujer de unos 30 años mostrando la insignia de un empleado
varón de unos 50 años.
En otras oportunidades, el o la oficial
de seguridad se dejaba distraer por la amabilidad de los
examinadores.Por ejemplo, una empleada de recursos humanos muy efusiva
se puso a conversar con el oficial de seguridad antes de entrar a la
instalación. El guardia se distrajo con la conversación y permitió que
ella entrase a la instalación sin enseñar una insignia de identidad.
La
tercera razón fue que el oficial de seguridad quedaba abrumado por el
número de empleados que ingresaban por el punto de control en un
momento dado: los que hacían la comprobación intentaban ingresar en los
momentos excepcionalmente ajetreados, escabulliéndose por el puesto
mientras el oficial estaba tratando con otros empleados o visitantes
Lecciones.
A los guardias de seguridad se les informó los resultados de una manera
no acusatoria.En las situaciones donde había errores debido a una falta
de conocimiento, se tomó el tiempo para explicar las órdenes del puesto
y otros aspectos de la operación. En las situaciones en las cuales los
oficiales de seguridad no aplicaron un criterio apropiado, se
desarrolló y expuso ante los oficiales una serie de escenarios escritos
y verbales.
Después de que los oficiales dieron sus respuestas
a estas situaciones, los oficiales y el supervisor analizaron el
problema hasta que el supervisor quedó convencido de que el oficial
había entendido lo que se esperaba.
Por ejemplo, se le
describiría al oficial una situación como aquella del contratista a
quién habían dejado entrar sin escolta en un área restringida en las
primeras horas de la mañana, y su respuesta sería registrada por el
supervisor.Las desviaciones en la respuesta del oficial con respecto a
las órdenes del puesto y a la política de la compañía, así como asuntos
más subjetivos como el criterio acertado, fueron anotadas y tratadas en
sesiones de tutoría individual o en ejercicios adicionales de
entrenamiento en grupo.
Este planteamiento puso a prueba a los
oficiales en una forma carente de crítica, permitiéndoles practicar y
aprender mejores técnicas para reaccionar en una situación real.Para
aquellos oficiales de seguridad que se habían vuelto complacientes con
el transcurso del tiempo, el simple hecho de que los escenarios de
penetración se efectuasen en forma regular, dio como resultado un
desempeño mejorado.
Después de que se condujeron los escenarios
y se identificaron las deficiencias en el desempeño, se condujo un
segundo conjunto de escenarios para evaluar el efecto del
entrenamiento.El desempeño de los oficiales de seguridad después de los
ejercicios de penetración fue comparado con los datos del análisis de
necesidades reunidos al inicio de la iniciativa.La comparación mostró
que el programa estaba produciendo resultados que se podían medir.
Como
dijo el filósofo Epictetus hace más de 2000 años, “Sea lo que sea que
quiere hacer habitual, practícalo”.Para el departamento de seguridad
eso significa hacer que el personal practique los procedimientos en
programas de entrenamiento adecuadamente diseñados hasta que la
respuesta correcta también se vuelva habitual.
Scott Watson:
CPP, CFE (Examinador Certificado de Fraudes), EMT (Técnico Médico de
Emergencias), es un analista senior de gestión de riesgos que trabaja
en Liberty Regional Agency Markets en Keene, New Hampshire.Posee
maestrías en administración de justicia penal y en diseño de la
instrucción y es el actual presidente del Capítulo Costero Tri-estatal
de ASIS.
Entrenamiento de la A a la E
Siga estos cinco pasos para elaborar un programa de entrenamiento:
Análisis.
La
primera etapa del modelo ADDIE, el análisis didáctico, es la base sobre
la que se construye todo el programa. Aquí, el gerente de seguridad
necesita determinar si el entrenamiento es la solución apropiada y, si
lo es, cual será la meta o el resultado del entrenamiento. El
gerente debe efectuar un análisis de necesidades de entrenamiento para
examinar otras causas posibles, como moral baja, compensación poco
convincente, problemas sistémicos, y supervisión deficiente. Mientras
efectua este análisis de necesidades de entrenamiento, el gerente debe
utilizar numerosas fuentes de información, incluyendo entrevistas y
cuestionarios a los empleados, una revisión de reportes de incidentes
anteriores, pruebas diagnósticas, y la observación.
Tomada en su
totalidad, esta información debe proporcionar suficientes datos al
gerente de seguridad para que determine si la deficiencia de desempeño
está o no relacionada con una falta de conocimiento o habilidad. Si lo
es, entonces el gerente debe determinar cuál es el conocimiento o
habilidad que falta y exactamente cuál es el objetivo final.
El
Dr. Robert F. Mager esboza un método simple para determinar estas metas
en su libro de 1997 titulado Preparando Objetivos Didácticos (Preparing
Instructional Objectives, publicado por CEP Press).Mager divide los
objetivos didácticos en cuatro secciones. El primero, conocido como
tema, generalmente contiene una afirmación tal como “Al término del
curso el estudiante podrá …(llenar espacio en blanco)”.Otras tres
secciones siguen la afirmación del propósito: desempeño, criterios y
condición.
La sección desempeño detalla exactamente lo que el
gerente o el creador del curso quiere que hagan los estudiantes,
identificando exactamente los comportamientos que se desean y cómo se
medirá su cumplimiento.(Durante la fase de evaluación del modelo ADDIE,
los resultados se juzgan según los estudiantes alcanzaron o no los
objetivos de desempeño). Al escribir un estándar para medir el
desempeño, uno debe evitar términos vagos que no puedan ser
cuantificados fácilmente.
Una de las palabras que más se debe
evitar es “comprender”. Es mejor escribir el objetivo en términos de
acciones observables que muestren claramente que el empleado
comprende.Por ejemplo, si un gerente de seguridad se quiere asegurar
que los oficiales entiendan cómo crear una insignia de identificación
para un empleado, entonces la medida de rendimiento deseado debe ser
que el empleado pueda crear una insignia y la comprobación de esto
sería hacer que él lo haga al final de la clase, a modo de examen.
La
sección condición describe las circunstancias bajo las cuales el
gerente desea que el empleado ejecute la tarea.Por ejemplo, la sección
condición podría leerse “Se creará una insignia usando el sistema
Badge-o-Matic 1200”.
La sección criterios incluye el grado de
calidad o los estándares que se esperan cuando se ejecuta la tarea bajo
las condiciones apropiadas.Siguiendo el ejemplo de crear una insignia
para un nuevo empleado, el criterio puede ser que la insignia tiene que
cumplir las normas corporativas generales para una insignia de
identificación de empleado.
Cuando esté escrito de manera
completa, el objetivo didáctico en este ejemplo podría leerse:“Al final
de esta sesión de entrenamiento, el oficial de seguridad podrá crear
una insignia para un nuevo empleado usando el sistema Badge-o-matic
1200 de acuerdo con las normas corporativas para insignias de
empleado”.
Una vez que el gerente haya establecido los
objetivos didácticos para el entrenamiento, debe revisarlos para ver si
se pueden medir. En este caso, la respuesta es sí; como se hizo notar
anteriormente, el gerente puede observar a los oficiales de seguridad
que recibieron el entrenamiento mientras producen la insignia de
identificación, lo cual mide el conocimiento adquirido según los
estándares de rendimiento del objetivo.
Diseño.
La
siguiente etapa trata el diseño del entrenamiento. Con los objetivos
didácticos ya escritos, el gerente de seguridad debe determinar qué
formato tendrá el curso de entrenamiento.La forma del entrenamiento
debe ser elegida según el tiempo disponible, los costos financieros y
al impacto operacional sobre el departamento. En ciertas situaciones,
puede ser una instrucción autodidacta o en aula.Otra opción es un
entrenamiento basado en escenarios hipotéticos, lo cual ofrece una
importante herramienta complementaria de instrucción que puede ayudar a
poner las lecciones de aula en una perspectiva de vida real para los
estudiantes.
¿ Porqué entrenamientos basados en escenarios
hipotéticos? Los estudiantes adultos tienden a dirigirse por sí solos,
con objetos específicos en mente mientras aprenden un material nuevo.
Típicamente son motivados por un deseo de ejecutar alguna actividad o
alcanzar alguna meta en sus vidas privadas o profesionales. Además,
debido a que los estudiantes adultos ingresan a las actividades
educacionales con la riqueza de una experiencia externa de la cual
extraen conclusiones, frecuentemente aprenden más de las experiencias y
del conocimiento de otros estudiantes que de los instructores.
Infortunadamente,
la mayor parte del entrenamiento de seguridad que se da en los centros
de trabajo no toma en cuenta estos aspectos; en lugar de ello, está
basado en técnicas diseñadas para niños de escuela: conferencias en
aula o lectura de libros de texto, sin participación del alumno y sin
manera de adaptar el entrenamiento a problemas específicos del lugar.
El
entrenamiento basado en escenarios hipotéticos resuelve muchos de estos
problemas.Debido a que los escenarios están diseñados para poner a
prueba la respuesta del personal contra amenazas especificas del local,
ellos estimulan al aprendizaje activo del material pertinente.El
entrenamiento basado en escenarios hipotéticos también permite que el
gerente de seguridad compruebe tanto las capacidades del personal como
los procedimientos establecidos en situaciones que simulan la tensión
de un evento real.
Desarrollo.
El jefe de seguridad
necesitará determinar exactamente la apariencia del curso o
entrenamiento.Para este finalidad, el gerente de seguridad usará los
objetivos didácticos de la etapa de análisis y la decisión sobre el
formato adoptada en la etapa de diseño, y revisará los recursos que
tiene a su disposición. Los aspectos específicos del entrenamiento
dependen del tamaño del departamento y el nivel deseado de formalidad
para el producto final.
Implementación.
Implementar el
programa es el próximo paso. Una vez más, según el tamaño de la
operación, los recursos disponibles y el nivel deseado de formalidad,
este paso puede tomar sólo un día o hasta varios meses para concluirse.
Evaluación.
El
propósito de la etapa de evaluación es determinar si los estudiantes
han aprendido el conocimiento o las habilidades deseados. Los gerentes
pueden determinar el éxito del programa repitiendo la etapa de análisis
para observar si la deficiencia de desempeño ha sido eliminada.Pero el
gerente también debe revisar el programa de entrenamiento en sí,
considerando los resultados de desempeño en el transcurso del tiempo,
la retroalimentación de los estudiantes, los costos asociados y los
impactos operacionales sobre el departamento.Estos resultados, tomados
en su totalidad, deberán entonces ser utilizados para mejorar el
programa de entrenamiento.
Las
brechas en la seguridad han sido tradicionalmente escondidas por
compañías y gobiernos, que temen la publicidad e imitaciones negativas.
Pero preocupadas por la creciente amenaza de ataques, más compañías
están recurriendo a las fuerzas del orden público para llevar ante la
justicia a los que tratan de infiltrarse en sus redes. Como resultado,
más intrusos de sistemas están siendo encontrados responsables?
No,
de acuerdo a un estudio reciente de David Banisar, abogado y activista
de la privacidad. Aunque la cantidad de casos de "hackers" enviados a
proceso se ha multiplicado en los últimos años, encontró que la
proporción de procesos sigue muy baja y que las sentencias se quedan
aún más atrás. En "Criminal Justice Weekly" (Semanario de Justicia
Criminal) se publicó un resumen de sus hallazgos preliminares; Banisar
afirma que está trabajando en un análisis más completo de los
resultados.
Mediante el Acta de Libertad de Información y
trabajando con información obtenida de la Oficina de Acceso a
Expedientes de Transacciones, ubicada en la Universidad de Syracuse,
Banisar reunió los 419 casos llevados a juicio desde 1992, así como las
sentencias distribuídas en los 83 casos que se trabajaron. Desde 1992,
los casos considerados para proceso se han más que triplicado, aunque
anualmente, entre ese año y 1998, el Departamento de Justicia ha
rehusado abrir proceso entre el 64 y 78 por ciento de esos casos.
La
mayoría de estos casos fueron procesados bajo el Acta de Fraude y Abuso
de Computadoras, el cual prohibe el acceso no autorizado o la
distribución de programas, como los virus, que pueden robar o dañar la
información. Alrededor del 40 por ciento de ellos no fueron
considerados por no existir evidencia de intención delictuosa ó una
cláusula en la ley que ha sido criticada por muchas agencias federales
de justicia, así como por evidencia débil o inadmisible, o carencia
general de pruebas de que una ley federal había sido violada. Aquellos
casos que sí pudieron continuar culminaron en penas insuficientes, las
cuales Banisar culpa a la falta de normatividad para dictar sentencias.
Banisar
halló, por ejemplo, que de los 57 casos del año pasado, 10 personas
fueron halladas inocentes y 47 fueron convictas de delitos con
computadora, pero de estas convictas, 20 cumplieron condenas de 5 meses
en promedio mientras que más de la mitad no tuvieron ninguna condena.
Banisar
no se encuentra solo en la búsqueda de fallas en la ley actual sobre
delitos con computadoras. El agente especial del Servicio Secreto de
EEUU, Jeff Schaffer, mencionó a "Security Management" que los
investigadores de dicha agencia han estado conversando en el Congreso
para que se retire la cláusula de "intención", la cual requiere que los
fiscales prueben que el acusado trató deliberadamente de cometer fraude.
Pero
la abogada Jennifer Granick, de San Francisco, dice que hay otro motivo
para el bajo número de procesos exitosos y el predominio de sentencias
leves. "Esta no es una señal de que (los hackers) no están
compareciendo ante la justicia. Es una señal de que está siendo
investigada mucha más gente de la que debería ser", dice Granick, quien
ha representado a varios hackers de alto perfil. "Las bajas sentencias
pueden significar que el engaño sobre la amenaza de los hackers es
exactamente eso, un engaño".
"Las empresas tienen razón al dar
mucha atención a sus asuntos de seguridad", dice Granick, Sin embargo,
ella dice que tienen que hacerse distinciones entre los tipos de
piratería informática. Dice, "Me gustaría ver que sean procesados los
delitos serios de piratería, robos maliciosos y en gran escala, y el
ciberterrorismo, pero la ley debe hacer una distinción entre eso y algo
como ingresar indebidamente a un sitio en la Web y colocar mensajes sin
autorización. Es una imprudencia que los fiscales y la ciudadanía
piensen que el proceso penal es la manera adecuada de resolver todos
estos problemas".
Combatiendo las barreras al comercio electrónico
El
emergente mundo de los negocios electrónicos está lleno de impedimentos
potenciales contra la rentabilidad. ¿Cómo puede hacer el gerente de
negocios promedio para hallar significado a toda la tecnología y tener
éxito en el próximo milenio, al mismo tiempo que debe soportar
regulaciones y estándares industriales?
Aparece la Alianza
Internacional de Seguridad, Confianza y Privacidad (International
Security, Trust and Privacy Allianceó ISTPA), una nueva organización
encabezada actualmente por 16 compañías de computación, comunicaciones,
banca, semiconductores y consultoría, incluyendo IBM, Hewlett-Packard,
Bank of America y KPMG. La misión: romper las barreras del comercio
electrónico, incluyendo la falta de comprensión acerca de las
capacidades, limitaciones y riesgos de varias tecnologías; la falta de
operatividad entre productos y los estándares incompletos o
inconsistentes. En los próximos meses se espera que la ISTPA emita su
posición y documentos relativos a sus metas.
Adicionalmente, el
grupo está evaluando cómo lograr consentimiento verificable, tal como
el consentimiento de los padres, para interacciones con las páginas Web
y cómo incorporar infraestructura pœblica clave en las iniciativas
privadas.
Bytes rápidos
Presentación electrónica. El
próximo año, aproximadamente 3.5 millones de canadienses podrán remitir
directamente sus impuestos a la oficina de Tributación de Canadá, vía
Internet. Luego de una fuerte demanda del público y de un período de
pruebas de dos años para solucionar asuntos importantes de seguridad,
se ejecutará un programa piloto para estudiar la logística de la
operación. El sistema estará basado en infraestructura pública clave.
Hablando
de IPC (Infraestructura pública clave).- Los vendedores de seguridad
han estado promoviendo la infraestructura pública clave como la
solución de seguridad para el futuro. Sin embargo, las proporciones de
adopción se encuentran estancadas, de acuerdo a la analista senior de
seguridad Diana Kelly, del Grupo Hurwitz. Ella ha redactado un breve
análisis de la tecnología, explicando a qué se debe todo el alboroto y
cuáles son las consideraciones que deben tener en cuenta las empresas
antes de aplicar el IPC.
Estudio de violaciones de seguridad.-
El Departamento de Comercio e Industria británico busca realizar una
consulta pública sobre un estudio de brechas de la seguridad, que
planea conducir entre 1,000 de las más grandes compañías del mundo. El
estudio, por publicarse en Abril, se referirá a la conciencia de
seguridad, al análisis de incidentes, al costo de las brechas de
seguridad, a las mejores prácticas y al "benchmarking". (comparaciones
y referencias con otras compañias)
Evaluando los riesgos de la información
Un
nuevo estudio de la Oficina General de Contabilidad (GAO) ofrece a las
agencias federales y a las organizaciones privadas, una guía de las
mejores prácticas para determinar la vulnerabilidad de sus sistemas de
información mediante efectivas evaluaciones de riesgos.
El
informe, "Evaluaciones de Riesgos para la Seguridad de la Información:
Prácticas de Organizaciones Líderes", delinea las prácticas de cuatro
organizaciones anónimas: una compaóía petrolera multinacional, una
firma de servicios financieros, una compaóía de equipos y programas
para computadora, y una agencia regulatoria del gobierno. El anonimato
fue una condición requerida por las tres firmas privadas.
"Cuando
se trata de seguridad, nadie quiere mostrarse como un buen ejemplo o
mal ejemplo", dice Jean Boltz directora asistenta de sistemas de
información del gobierno y defensa, en la División de Administración de
Información y Contabilidad de la GAO. "Ellos saben que se convertirán
en blanco".
Los investigadores encontraron que aunque los
métodos de implementación varían segœn cada organización, todas se
guiaron por varios principios comunes, que fueron críticos para poder
tener éxito: · Obtener el apoyo y la participación de la alta gerencia. · Nombrar puntos focales (grupos o personas encargadas del planeamiento y coordinación general). · Definir y documentar los procedimientos detallados. · Contactar con gerentes de negocios y con expertos técnicos. · Mantener a las unidades de negocios individuales como responsables de implementar las recomendaciones. · Encargar a las unidades individuales la iniciación y conclusión de sus propias evaluaciones. Cada
una de las organizaciones también utilizaban procesos similares, como
identificar y priorizar recursos críticos, y herramientas similares,
como cuestionarios y programas informáticos analíticos.
Anteriormente
las evaluaciones de riesgo de la información no clasificada eran
obligatorias para todas las agencias federales, dice Boltz. La
responsabilidad, sin embargo, fue suspendida algunos años atrás por la
Oficina de Administración y Presupuesto. Muchas agencias estaban
gastando enormes sumas de dinero en complicadas evaluaciones que se
guardaban luego de ser concluídas, sin ser transformadas en ningœn plan
activo.
Todavía se requiere que todas las agencias basen sus
gastos de seguridad en los riesgos, dice Boltz. Esta división ha
llevado a alguna confusión sobre qué hacer y fue el impulso para el
informe de la GAO, el cual busca ayudar a que las agencias federales
cumplan con las regulaciones y ofrecer al sector privado, ejemplos de
fuertes controles de seguridad.
Juegos para cumplir
El
asedio sexual es una seria preocupación, pero un banco piensa que la
mejor forma de hacer que los empleados lo tomen en serio, es tratándolo
como diversión y juegos bueno, como un juego de computadora, para ser
más precisos. Se llama el "Solitario del asedio sexual" y es sólo uno
de una nueva línea de productos que trata de educar a los empleados
disfrazando como juego lo que es una instrucción interactiva .
Los
juegos fueron creados por Marc Prensky, quien tiene su propia firma de
juegos para computadora, Corporate Gameware. (La firma luego se
convirtió en una subsidiaria del Banker's Trust, pero recientemente se
independizó luego de haber sido separada durante la adquisición de un
banco.)
"Nos esforzamos en dos cosas: aprendizaje y
compromiso" dice Prensky. La meta era adaptar métodos de entrenamiento
para la generación más joven, "que piensa y aprende de maneras
totalmente diferentes", dice.
Pero el nuevo enfoque puede
aplicarse a cualquier edad. Debido a la naturaleza adaptable de los
juegos, dice Prensky, los gerentes de seguridad podrían verlos como una
forma práctica de reforzar la conciencia de seguridad entre los
empleados o para entrenar a los vigilantes en la política de la
empresa.
Corporate Gameware está ofreciendo ahora unos doce de
tales juegos, a un precio de aproximadamente US $1,500 cada uno. Se
juegan temas como "Solitaire" (Solitario) y los enormemente populares
juegos de acción "Doom" (Perdición) y "Quake" (Terremoto).
Cada
juego viene en un estuche cuyo contenido es personalizable, de forma
que los usuarios finales puedan adaptarlos para cualquier propósito.
Por ejemplo, ABN Amro North America emplea el juego "Straight Shooters"
(Tiradores Directos ) como una forma de comprobar si los nuevos
empleados están asimilando la información que reciben en su
orientación. En Straight Shooters los empleados pueden identificar a
personas conflictivas y arreglar los problemas usando un arsenal lleno
de, por ejemplo, el siempre importante teléfono celular.
Peter
Barnes, un analista senior de políticas del Departamento del Tesoro de
Canadá, planea usar un programa similar para enseóar seguridad
ocupacional y salud. El está trabajando con BLMC Inc., ubicada en
Ontario, para modificar uno de sus programas de entrenamiento
computarizados, llamado "Due Dilligence" (debida diligencia), para
poder cubrir sus necesidades específicas.
Sin embargo, algunos
académicos miran con malos ojos este entrenamiento con forma de juego.
David Merrill, profesor de Tecnología de la Instrucción en la
Universidad Estatal de Utah, dice que cuando los juegos tienen
demasiados pitos y campanillas, el programa se desvía de lo más
importante del proceso de aprendizaje. Indica que la guía, la
repetición y la práctica, así como el refuerzo, caen al costado del
camino.
Restringiendo las Pérdidas de Computadoras Portátiles
La
estrategema es probablemente vergonzosa: dos ladrones dan vueltas por
la zona de recogido de equipajes del aeropuerto, esperando un confiado
viajero que lleve una computadora portátil (laptop). Uno de ellos pasa
por el detector de metales mientras el otro se coloca delante del
viajero y detiene la fila de pasajeros, normalmente desconectando el
detector o vaciando lentamente el contenido de sus bolsillos. Mientras
tanto, la computadora portátil es transportada por la faja, de donde la
retira el primer ladrón.
De acuerdo a un estudio de la
aseguradora de computadoras Safeway Inc., a pesar de que en 1998 las
pérdidas de computadoras portátiles fueron menores en aproximadamente
6,000 al compararlas con 1997, todavía están adelante entre las
computadoras de toda clase que fueron robadas, con 306,000 portátiles
aseguradas que fueron hurtadas, comparadas con 44,000 PCs.
Un
funcionario de tecnología de una compaóía fabricante del medioóoeste,
dijo que su compaóía perdió alrededor de U.S. $125,000 en robos de
equipos de computación, del cual cerca del 85% se debió œnicamente al
robo de computadoras portátiles. La compañía inició un programa de
concientización que enseño a los empleados a: · Tener registrados el número de serie, marca y modelo del equipo. ·
Nunca dejar las computadoras portátiles lejos de su alcance cuando
estén viajando y sólo colocarlas en los detectores de rayos X cuando
estén seguros que son los siguientes en la fila del detector de
metales. · Cuando no se use, tener la computadora portátil en la caja fuerte del hotel. · Durante los intermedios en las conferencias, desconectar y llevarse la computadora portátil empleada en las presentaciones. Adicionalmente,
la compaóía planea grabar un código identificatorio en las
computadoras, para ayudar a probar la propiedad de una portátil robada
que haya sido recuperada.
Algunos productos pueden ayudar a
las compaóías a proteger las computadoras portátiles cuando los
empleados las retiran del lugar de trabajo. Por ejemplo, se puede
instalar un programa en la computadora y configurarse de modo que
periódicamente marque un número que rastrea el paradero de la
computadora. Otros productos implican el uso de un rótulo adhesivo que
requiere gran fuerza para ser retirado. Si el rótulo fuese finalmente
desprendido, deja una mancha grande de tinte, la cual indica que el
equipo ha sido probablemente robado.
La información almacenada
en la computadora portátil, que es más valiosa, también necesita
protección. Los empleados deberán ser entrenados en el uso de códigos
de acceso, encriptación, programas antivirus y preparar respaldos con
frecuencia, dice un funcionario jefe de información de una compaóía con
base en Nueva York, la cual solicita a sus empleados que adquieran sus
computadoras portátiles, razonando que los empleados cuidarán mejor sus
propias pertenencias.
Se proponen mejores prácticas para el comercio electrónico
También
en el frente del comercio electrónico, una coalición de más de 100
negocios globales, que tienen como punta de lanza a la editorial
ZiffóDavis, está proponiendo nuevos lineamientos para el negocio
electrónico. El "Estándar para Comercio en Internet", como es llamada
la propuesta, es una guía de las mejores prácticas para comerciantes de
la Web, cubriendo temas como privacidad del usuario y seguridad en las
transacciones, y controles administrativos tales como garantías,
devoluciones y respaldo.
Los organizadores dicen que el estándar
no es simplemente un esfuerzo para rechazar las regulaciones mundiales
sobre comercio electrónico. En lugar de eso, es un serio esfuerzo para
traer un poco de orden al caos del comercio electrónico, para el
beneficio tanto de clientes como de los negociantes.
La
propuesta está siendo considerada como uno de los estándares más
democráticos que se han creado para la industria. En vez de ser
preparados por un pequeóo grupo de líderes de la industria, los
estándares estuvieron abiertos a los comentarios del pœblico en general
durante varias semanas y todas las respuestas serán consideradas, antes
que los lineamientos finales estén listos, de acuerdo a Kelly Larabee,
funcionario de relaciones pœblicas que trabaja en el proyecto.
A
los consultados se les pidió que seleccionasen sus mejores prácticas,
de acuerdo a una lista de items. Por ejemplo, se les preguntó qué tipo
de información debería ser encriptada por los comerciantes: información
sobre pagos, información sobre la identidad y pagos del comprador,
información relativa a todas las transacciones, toda la sesión de
compra e información proporcionada por el cliente, o todas las
interacciones entre el comerciante y el cliente.
Aunque la
propuesta recibió amplio apoyo, no dejó de existir alguna crítica, Por
ejemplo, una persona respondió haciendo notar que no se habían brindado
suficientes opciones a los comerciantes para protegerse a sí mismos y a
los clientes contra la sustracción de identidades. Aún así, los
comentarios en general han sido favorables a los esfuerzos de la
industria.
Se espera que el actual documento en borrador esté
concluído en diciembre y que esté disponible en el sitio Web de la
Coalición. Además el pœblico está invitado a comentar sobre los
próximos borradores, los cuales serán actualizados de acuerdo a los
cambios en las prácticas y tecnología.
No
sólo se están incrementando los ataques a las redes de los bancos, sino
que sus costos asociados también están aumentando rápida y súbitamente.
Esa es la conclusión de un estudio efectuado por la Corporación de
Integridad Global, con base en Reston, Virginia. "Sin Carácter
Oficial: Un Estudio de Altos Ejecutivos de Infosec", pinta un retrato
decididamente pesimista sobre las amenazas que enfrentan las redes
bancarias.
El estudio estuvo basado en una encuesta enviada a
50 de las instituciones financieras más grandes del mundo. A las
consultadas se les prometió el anonimato a cambio de su sinceridad. Sus
respuestas revelaron que durante el último año muchas habían
experimentado por lo menos una violación seria de su sistema
informático.
Para los intrusos, nada fue sagrado. Saquearon
sitios de Internet, sistemas de correo electrónico y varias redes en
los departamentos bancarios, desde el de mercadeo hasta el legal. No es
sorprendente que varios abusos fueran efectuados por personas internas
de la organización.
Las pérdidas provenientes de ataques
cibernéticos fluctuaron de US$45,000 a US$850,000. El costo promedio
total de cada ataque, incluyendo los gastos de mantenimiento fue de
US$500,000. En total, las compañías analizadas perdieron 8.8 millones
de dólares por responder a las amenazas e incidentes durante el último
año, de los cuales 5 millones se debieron en general al tiempo empleado
por el personal para responder al incidente. El valor de los datos
destruidos o robados por los intrusos significó 2.3 millones de dólares
de las pérdidas totales.
¿Las soluciones? Sorprendentemente,
los consultados no pidieron mayores presupuestos ni más tecnología para
mejorar la seguridad. Más bien, la mayoría de los gerentes de seguridad
de información que fueron consultados, dijo que una mayor conciencia y
entrenamiento de seguridad ayudarían a contener la marea de inseguridad
que existe en la red.
La FTC gana Caso en la Red
El
nuevo laboratorio de Internet de la Comisión Federal de Comercio (FTC),
que fue establecido en septiembre para brindar apoyo de alta tecnología
a los abogados e investigadores de la agencia, ha culminado
exitosamente su primera investigación.
El caso involucró a
administradores de redes de la Web (Webmasters), ubicados fuera de los
Estados Unidos, que empleaban una treta para direccionar indebidamente
a los usuarios de Internet hacia sus sitios pornográficos.
Los
Webmasters copiaron casi 25 millones de sitios -desde la Revista Legal
de Harvard hasta el Jardín Japonés de la Amistad- y usó esos sitios
reflejados como señuelos para atraer a inocentes observadores hacia sus
pizarrines de material pornográfico. Una vez que los usuarios llegaban
al sitio con material para adultos, quedaban "atrapados como ratas",
dice Jodie Bernstein, directora de la Oficina de Protección al
Consumidor de la FTC. Los comandos "Atrás" y "Salida" o "Cerrar" en sus
buscadores eran inutilizados; los usuarios quedaban atrapados en un
círculo con más sitios para adultos mientras intentaban salir, hasta
que se rendían y tenían que reiniciar sus computadoras.
La FTC
supone que los autores del fraude ganaron dinero por los ingresos
obtenidos al incrementarse los avisos publicitarios. Probablemente
pudieron cobrar mayores tarifas de publicidad, al garantizar
virtualmente un mayor número de visitantes a estos sitios debido al
secuestro digital, dice la portavoz de la FTC, Victoria Streitfeld.
La
FTC decidió intervenir después de recibir numerosas quejas de clientes
y de empresas cuyos sitios en la Web habían sido engañados. La agencia
estaba instalando simultáneamente su laboratorio de Internet y tomó el
problema de penetración informática como su primer caso. Debido a que
muchos de los sitios Web iban rápidamente de una parte a otra, los
investigadores trabajaron en conservar los sitios para usarlos como
evidencia en las audiencias judiciales.
Además, varios
"agentes especiales", pequeños programas para ubicar los sitios Web,
fueron usados para peinar la Web y encontrar las páginas ilegales
diseñadas por los Webmasters.
Además, los investigadores
trabajaron con organizaciones similares la Comisión de Competencia y
Consumo de Australia y el Instituto del Consumidor de Portugal- para
rastrear a los supuestos perpetradores.
Un juez de una corte
distrital aprobó un mandato preliminar, que retiró en forma efectiva el
sitio Web de los sospechosos, al suspender los registros de servicio de
sus nombres de dominio. (Antes de ingresar a la Web, todos los sitios
de la Web que acaban en ".net, .com, o .org" deben ser anotados ante un
registrador de la Web.)
Las compañías pueden tomar medidas
para prevenir que, de manera similar, sus sitios en la Web puedan ser
mal usados.(1) De acuerdo al "Submit Express", un periódico distribuido
por correo basado en la Internet, existen algunos recursos técnicos que
pueden usar las empresas para reducir el riesgo de que sus páginas sean
secuestradas, tales como instalar programas "encubiertos". @ Haga
enlace con este periódico (Edición #9) a través de SM Online.
Defensa
Aunque
el Instituto de Seguridad de Computación ha manifestado que existe una
creciente cooperación entre los gerentes corporativos de seguridad
informática y los órganos que controlan el cumplimiento de la ley en la
batalla contra los delitos cibernéticos, un estudio informal en una
reciente conferencia auspiciada por el Instituto de Entrenamiento MIS,
revela una opinión extendida entre algunos ejecutivos corporativos,
respecto a que dichos órganos no son capaces de manejar estos casos o
que están demasiado ocupados para dedicarse a ellos.
Frustrados
por un escenario legal poco estricto, algunos en la industria parecen
estar listos para defenderse. De los 500 encuestados, 44 por ciento
dijo que habían pensado ir más allá de simplemente proteger sus redes y
pasar a lanzar contraofensivas contra sus enemigos ocultos. Pero casi
el 40 ciento se opuso a la idea de tomar acción con sus propias manos.
"Pienso
que querer defenderse es una reacción natural de la mayoría de los que
son víctimas de un delito" dice Steven Chabinsky, consejero general
asistente del FBI y asesor del Centro Nacional de Protección de
Infraestructuras. "Pero claro, nosotros hemos desarrollado en nuestra
sociedad la noción de que en materia de criminalidad no es apropiado
que los ciudadanos repriman y sancionen directamente los delitos y
delincuentes".
Las implicaciones de contraatacar han sido
debatidas durante algún tiempo entre encargados de escribir programas
de computadora y de proteger redes informáticas. Fue un tema que generó
marcado debate en los foros de discusión de la Internet hace unos
cuantos meses, con respecto a un sistema altamente controversial
llamado Blitzkrieg (Guerra relámpago), diseñado por el FutureVision
Group (Grupo de Visión del Futuro), de Santa Fe, Nuevo México. Ese
sistema pretendía contraatacar enviando viruses a la computadora del
intruso. (Vea "Spotlight", septiembre 1998). Los administradores de
redes se opusieron al concepto de un contraataque considerándolo no
sólo inmoral sino también ilegal.
En un estudio más reciente,
mientras una minoría favoreció el tomar acciones corporativas extremas
y directas, la mayoría favoreció el tipo de contramedidas empleadas por
el Departamento de Defensa el año pasado. En esa ocasión un grupo de
especialistas en tecnología empleó una aplicación de Java,
especialmente programada para desactivar la conexión de un grupo de
activistas políticos que estaban intentando anular el servicio en el
sitio Web del Pentágono, al cargarlo excesivamente de requerimientos.
Sin
embargo, las acciones tomadas para proteger la seguridad nacional no
pueden compararse con las tomadas para proteger información privada.
Las compañías que lancen contraataques podrían colocarse en el lado
equivocado de la ley, dice Bruce Middleton, especialista senior de
seguridad en Hughes Network Systems (Sistemas Hughes para la Red).
"El
aspecto clave en los contraataques es asegurarse que Ud. está siguiendo
a la persona correcta" dice Middleton. " Muchos de quienes atacan los
sistemas se esconden detrás de otros sistemas o tratan, a través de
medios técnicos, de hacerse pasar por otros o por algún otro sistema.
Si su contraataque golpea a un blanco equivocado...usted mismo se habrá
convertido en el atacante de un blanco inocente."
Middleton,
que es consultor del proyecto del Departamento de Defensa (DoD), dice
que el sistema de contraofensiva está siendo desarrollado aún más. Está
diseñado para determinar la ubicación exacta del atacante, colocar una
marca en su sistema para probar que él fue quien atacó, desconectar al
delincuente y lanzar una advertencia a la parte responsable.
Chabinsky
advierte a cualquier administrador de red que esté considerando seguir
este camino, que primero inicie acciones civiles y penales contra los
atacantes. "Hace años, los organismos responsables de controlar el
cumplimiento de la ley no se encontraban en la mejor posición para
reaccionar ante los delitos informáticos" dice, pero las leyes y las
entidades del gobierno se están organizando para enfrentar el desafío.
Por
ejemplo, el FBI ya no necesita que exista una pérdida monetaria
específica para investigar un caso relacionado con computadoras,
siempre y cuando el sistema accesado corresponda a una "computadora
protegida". Chabinsky afirma que bajo una definición amplia, cualquier
computadora conectada a Internet y usada para comunicaciones
inter-estatales y extranjeras, está cubierta. Además, dice que aunque
cada caso no sea motivo de demanda, el contacto vale la pena porque
ayuda a los investigadores en otros casos.
Las compañías
también pueden dar algunos pasos creativos para defenderse. Por
ejemplo, dice Chabinsky, los sistemas de detección de intrusión pueden
ser programados para re-direccionar o "encajonar" un ataque en un área
especialmente preparada para permitir a los crackers (saboteadores de
sistemas) que consigan lo que ellos piensan que es información
deseable, pero que realmente son datos sin valor, puestos allí por el
administrador. Esta táctica proporciona tiempo para que los
administradores de redes reúnan evidencia.
Además, cortar una
conexión e incluso anular el navegador Web del saboteador, son acciones
que se pueden interpretar como de razonable legítima defensa, dice
Chabinsky. Los administradores deben consultar con el asesor legal para
asegurarse que cualquier acción que planeen tomar se encuentren dentro
de los límites de la ley.
Rapi-Bytes
· La prevención de
delitos por computadora rinde. Los ingresos por las ventas de programas
de seguridad aumentaron 39 por ciento en 1999, según International Data
Corporation (Corporación Internacional de Datos). Unos pocos magnates
corporativos -Network Associates y Computer Associates, International y
ciertos tipos de productos -autenticación, autorización y
administración- lideran el crecimiento. Se espera que para el año 2003,
el mercado global esté alrededor de los 8.3 billones de dólares, una
cantidad que excede las estimaciones previas de otras empresas de
análisis de mercado. · Windows en la seguridad. Anunciado como la
mejor seguridad para un producto de Microsoft hasta la fecha, el
Microsoft 2000, sucesor del NT, está capacitado para PKI, lo que
significa que puede apoyar la infraestructura pública clave ( PKI en
inglés), y es un sistema completo de autenticación y encriptación que
mejora la seguridad en el negocio electrónico. @ Las compañías que
consideren migrar a esta plataforma, pueden obtener ambos versiones de
la historia, desde enlaces en SM Online. Entre los recursos se
encuentra un documento de Microsoft y otros artículos que cuestionan la
seguridad del nuevo sistema. · Ciberterror. El ascenso y avance en
las técnicas de ataques cibernéticos y en armas de destrucción masiva,
permitiría a los terroristas alcanzar niveles de devastación sobre
territorio americano hasta ahora no conocidos, concluyó un panel de
expertos de seguridad nacional en un estudio titulado "La venida del
nuevo mundo: la seguridad americana en el siglo 21" @ Léalo en la Web,
en SM Online.
No cuente con éllo
En menos de un mes,
todos averiguaremos qué va a suceder con los sistemas informáticos
cuando se inaugure el Nuevo Año. Millones de líneas de código han sido
escritas y probadas repetidamente. Todo lo que queda es contar los días
restantes.
Bueno, está flotando por la Internet un mensaje
infectado con virus que afirma poderle ayudar a averiguarlo. Bajo el
disfraz de ser un programa "contador del año 2,000" de Microsoft, el
invasor viene en un correo electrónico con el adjunto "y2kcount.exe."
Una vez que está instalado transmite un virus parecido al infame gusano
Explore.Zip, que devastó las computadoras hace meses al ingresar al
e-mail y enviar al exterior los archivos de la computadora del usuario,
según los informes de expertos antivirus. También intenta engañar al
usuario haciéndole creer que el programa no se instaló correctamente al
mostrar un mensaje de error, pero para entonces el virus ya se habrá
transmitido.
Los expertos suponen que muchos usuarios
corporativos finales puedan estar con la guardia baja, creyendo que
este tipo de programa es una distracción no perjudicial. Los gerentes
de seguridad deben advertir a los empleados que estén alerta contra
éste y otros engaños parecidos que se presenten al final del año.
Para
protección específica contra este virus y otras actualizaciones, las
compañías deben consultar con sus proveedores de antivirus.
Es un "cracker", Jack
Nada
confunde más los labios de los profesionales de la computación -y de la
semi-oculta comunidad dedicada a estos asuntos- que el mal uso de la
palabra "hacker". Casi sin excepción, la palabra es usada hoy para
referirse a una persona que intenta penetrar en los sistemas de
computadoras, generalmente con intención maliciosa.
Sin
embargo, mucho antes que los "hackers" ocupasen los titulares, la
comunidad informática frecuentemente empleaba la palabra para referirse
a alguien que era simplemente adepto a las computadoras y a la
programación. Eric Raymond, recopilador de "El Diccionario del Nuevo
Hacker", define a un hacker como un "hábil programador" y a "good hack"
como una "hábil solución a un problema de programación"
Por
contraste, anotan los expertos, el término "cracker" fue acuñado
especialmente para referirse a alguien que irrumpe en un sistema con
intención maliciosa, para probar un punto o por lucro personal.
No
obstante la definición de Raymond, el público y los medios de
comunicación no muestran señales de volver a usar el término cracker en
lugar de hacker, cuando se trate de actividades negativas hechas
mediante la computadora. Ello no es sorprendente dado que la evolución
de las palabras hacia un sentido exactamente opuesto ha sido común a lo
largo de la historia. Por ejemplo "awful" (muy malo, horrible), alguna
vez significó "awesome" (impresionante, imponente)
Sin embargo,
el proceso normalmente toma siglos. Es quizás representativo de la era
cibernética que los términos relativos a las computadoras pueden
interpretarse equivocadamente sólo en décadas.
Para conocer lo
último en lenguaje incomprensible, vocabulario especial y jerga,
presione en Security Management Online, para un vínculo con Whatis, un
sitio de la Web que contiene un diccionario de términos de
computadoras.
Charla tecnologica 03 Por DeQuendre Neeley www.securitymanagement.com
Sitios web subterráneos
Los
sitios Web que dan instrucciones sobre cómo resquebrajar sistemas y
cometer fraudes relacionados con la tecnología, están acelerando el
auge de los delitos por computadora y se estima que les ha costado a
las empresas más de 1 trillón de dólares el año pasado, en
mantenimiento preventivo, recuperación, robos e ingresos no percibidos.
Esto es de acuerdo a un controversial estudio conducido por
Computer Economics (Economía de Computadoras), una firma consultora de
tecnología de la información, con base en Carlsbad, California. La
metodología , de acuerdo al analista de investigaciones, Adam Harriss,
incluyó encuestar 40 sitios Web subterráneos, así como examinar los
estimados de gastos corporativos en seguridad
Los críticos del
informe han dicho que las conclusiones son alarmistas y exageran el
daño que se puede atribuir específicamente a estos sitios Web. Harriss
dice que el informe fue sólamente un alerta a las corporaciones sobre
qué clase de información está siendo compartida.
"No es sólo
que los script kiddies (tipo de piratas informáticos) estén causando
daño valorizado en un trillón de dólares", dice Harriss. "La cantidad
incluye todo. Hemos considerado la propiedad e información sustraída,
fraude, piratería, gastos de apoyo técnico, fraude con tarjetas de
crédito, contrabando y venta de cable, costos preventivos y viruses",
así como los costos asociados con otros delitos que son enseñados en
esos sitios Web.
Además de encontrar que estos sitios Web
están instigando la creación de delincuentes por computadora, el
informe sugiere que el problema está agudizado por la propagación de la
Internet en regiones o países nuevos o menos desarrollados, que tienen
pocas o ninguna ley relacionadas a los delitos por computadora; por el
predominio de aparatos inalámbricos que pueden integrarse a la
Internet; así como por el bajo costo del hardware y de los periféricos
de computadora usados para cometer estos delitos.
Sin embargo,
el informe se enfocó en las herramientas de software gratuitas o de
bajo costo proporcionadas por los sitios Web, que permiten que personas
con poco conocimiento técnico se conviertan en instantáneos crackers de
sistemas, desafíen el software de filtrado, roben los números de las
tarjetas de crédito y engañen a las compañías teelefónicas. Las
herramientas ofrecidas incluían un manual sobre cómo los usuarios de
productos Microsoft podían evitar los costos del apoyo técnico después
que la garantía había expirado; software que se infiltra en los discos
duros de la gente que está en los ambientes de charlas interactivas y
copia su software; un disco conteniendo 4,000 viruses, y guías para la
venta clandestina de software.
El informe no sugiere que se
proscriban los sitios, una acción que muchos expertos consideran que
sería más perjudicial para las personas honestas que para las malas.
"Aquellos de nosotros que escogimos defender la infraestructura en vez
de atacarla, necesitamos desesperadamente la información contenida en
la mayoría de esos sitios", dice Robert Ferrell, un especialista de
Internet que trabaja en el Centro Nacional para los Negocios, del
Departamento del Interior. "Si fuera ilegal obtener esa información
peligrosa, entonces sólo la gente que infringiese la ley podría
conseguirla... restringir efectivamente la explotación de la
información les da una gran ventaja a los atacantes".
"Yo
estoy de acuerdo en que los sitios de los hackers incitan el delito
cibernético, pero creo que el efecto total va realmente a reducir sus
ataques exitosos, al hacer que la misma información esté disponible
para ambos lados de la cerca.
Otros se preguntan si las
compañías de software están haciendo lo suficiente para combatir las
vulnerabilidades en la seguridad. "El problema no es la disponibilidad
de información sobre cómo violar un sistema", dice Jay Dyson, un
administrador de Web de una agencia de gobierno, "el problema es, en
primer lugar, que el sistema puede ser violado".
Golpe de policía inglesa al delito con computadora El
gobierno británico planea organizar una escuadra de la policía nacional
para combatir el delito por computadora, de acuerdo a un portavoz de la
agencia de inteligencia de ese país, el Servicio Nacional de
Inteligencia Criminal (NCIS). El NCIS recomendó que el gobierno crease
la escuadra, en su informe sobre delitos por computadora. (@ enlazarse con el informe "Project Trawler" a través de SM Online)
Los
organizadores no han decidido quién supervisará la escuadra, que se
espera que entre en funciones en Marzo. El portavoz del NCIS, Mark
Steals, dice que la supervisión sobre la escuadra puede estar dividida
entre la NCIS y alguna otra agencia, como la policía metropolitana.
La
unidad estará conformada por expertos de universidades, de la industria
de alta tecnología y de los servicios gubernamentales de inteligencia,
seguridad y policía. La unidad también intercambiará información con la
Agencia Nacional de Seguridad de los EEUU y el FBI, así como con varias
otras agencias alrededor del mundo.
Pendiendo de la asignación
final de fondos, el grupo estará subdividido para poder enfrentarse a
ramas particulares del delito cibernético, que incluyen pedofilia,
falsificación, lavado de dinero, juego, robo de información, intrusión
de sistemas, sabotaje, piratería de software, contenido perverso y
pornografía.
Rapi-bytes
· Sólo diga no. Con US$
300,000 en dinero invertido, la Asociación de Tecnología de la
Información de América, está planeando lanzar una campaña de
concientización "anti-hackers", dirigida a niños y jóvenes. El esfuerzo
es parte de la Asociación Ciber-ciudadana (Cybercitizen Partnership),
que es una unión entre el Departamento de Justicia y la industria de
alta tecnología, formada en 1999. La campaña, que tendrá tres etapas y
empleará multimedia, enseñará a los niños la importancia de la ética en
el uso de las computadoras; a los estudiantes mayores se enfatizará las
consecuencias de la actividad ilegal con computadoras. Las iniciativas
sobre seguridad de la computación serán tratadas mediante enlaces con
gerentes de negocios. @ Enlace con SM Online para más detalles.
www.itaa.org/infosec/cyber.htm · Alianza de seguridad.En el futuro
las computadoras personales y el software para el consumidor estarán
mejor equipados para realizar transacciones electrónicas seguras, si
prospera una nueva coalición de fabricantes de alta tecnología. La
recientemente establecida Alianza de la Plataforma de Computación
(Trusted Computing Platform Alliance o TCPA), reune una pluralidad de
tales grupos que desean poner su sello en la nueva generación de
productos para computadoras y asegurar la inter-operatividad entre sus
características de seguridad. Para fines del 2000, la TCPA planea
emitir una especificación básica de seguridad para todas las
computadoras personales, que puede incluir áreas especiales de
almacenamiento de información confidencial, detección mejorada de
viruses, generadores de claves para encriptación, y controles de
privacidad. @ Visite el sitio Web de esta organización, enlazándose a
través de SM Online. www.trustedpc.org · Filtro para Internet. Está
haciendo avances en el Congreso un proyecto de ley de justicia juvenil,
que requeriría a las escuelas y bibliotecas a que instalen software de
filtro y bloqueo en las computadoras conectadas a la Internet. (Sólo
las escuelas que reciben fondos federales tendrían que cumplirla). El
software sería usado para bloquear el acceso a pornografía infantil,
obscenidades y material considerado dañino para los menores de edad.
Diferentes versiones del proyecto han sido aprobados por el Congreso y
el Senado. Ahora las versiones deben ser concordadas por ambas cámaras
en un comité de conversaciones. · Se cuestionan los cortes en fondos para la seguridad de computadoras
En
la versión final del proyecto de ley para las asignaciones de fondos
del Departamento de Energía (DOE), firmada como ley por el presidente,
el Congreso cortó los fondos para seguridad informática, de los 35
millones de dólares solicitados por la agencia, a 18 millones de
dólares. Los funcionarios del Departamento habían solicitado el nivel
original de fondos a la luz del escándalo por el espionaje en las
instalaciones de armas nucleares.
De acuerdo a un miembro del
Comité de Asignaciones del Congreso, los legisladores estimaron que el
Departamento de Energía había presentado una "justificación inadecuada"
por la mayor cantidad. Sin embargo, en una audiencia del Congreso
llevada a cabo poco después de la aprobación del proyecto de ley,
Eugene Habiger, director de la oficina de seguridad y operaciones de
emergencia del Departamento de Energía, aseveró que será difícil
mejorar la seguridad de las computadoras, debido al corte de fondos en
el presupuesto solicitado,
Conforme a su testimonio, el DOE
tiene "requerimientos válidos en el área de la ciber-seguridad, para
adquirir hardware y equipo de encriptación y para entrenar a nuestros
administradores de sistemas ...
Nos han dado una orden, pero no los recursos adicionales para cumplir esa orden". · ¿ Están los hackers secuestrando los puertos de su impresora? Es
bien conocido ahora que los intrusos de sistemas pueden aprovecharse de
puertas traseras dejadas en el software y de la seguridad inadecuada en
los puntos de acceso remoto, así como de ataques de fuerza contra las
contraseñas, para poder penetrar un sistema. Pero las empresas pueden
no darse cuenta que los crackers pueden ordenar a las impresoras de red
que lancen un ataque o que lo encubran.
De acuerdo a los
miembros de Securi Team, una organización de investigaciones de
seguridad basada en la Web, las impresors de una red se están volviendo
tan sofisticadas como las computadoras de escritorio y poseen amplias
capacidades de comunicaciones TCP/IP.
Aunque típicamente no
contienen información confidencial, las impresoras de red pueden
"hablar"a otras máquinas, "lo cual hace posible que los atacantes
empiecen a lanzar sus ataques desde la impresora", de acuerdo al
informe de la organización.
Debido a que la impresora
generalmente no es tratada como una estación de trabajo normal, no
deberían sorprender las pruebas que los intrusos hicieran allí.
Adicionalmente, muchas impresoras no tienen registros detallados, así
que rastrear un ataque empleando una impresora, podría ser más difícil.
En los últimos meses, la organización ha reunido numerosos
informes sobre vulnerabilidades de la seguridad asociadas a impresoras
de los principales fabricantes. Los problemas varían una escala desde
conseguir acceso sin contraseña, para obtener el control total de la
impresora, hasta ser capaz de iniciar la negación de ataques al
servicio. /p>
Como resultado del incremento del riesgo, el
equipo recomienda que los administradores de redes consideren a las
impresoras como cualquier otra estación de trabajo, aplicando tanto de
la misma protección como sea posible.Las contraseñas deben ser
cambiadas y se debe vigilar estrictamente el acceso autorizado a la
impresora.Más aún, debe configurarse un sistema de detección de
intrusos o un "firewall" para bloquear los accesos no deseados.
· El "Backofficer Friendly Un
cierto tipo de software, conocido como "olfateador de puertos", puede
ayudar a los administradores de sistemas a descubrir qué servicios en
su sistema representan una vulnerabilidad y en dónde podrían sufrir un
ataque, pero dicho software no puede indicar si los extraños están
probando el sistema en búsqueda de esos puntos vulnerables.
Para
llenar ese vacío, Network Flight Recorder, Inc. a cargo por Marcus
Ranum, ha introducido el Backofficer Friendly, un servicio del servidor
diseñado para engañar y que puede decirle a una compañía cuándo los
puertos de la red corporativa han sido revisados por un scanner.Puede
aparentar ser un servicio normal y responder a los pedidos, mientras va
grabando la dirección IP del sistema intruso, así como las operaciones
y comandos que ha enviado. Ranum afirma que la herramienta debe ser
entendida como una herramienta para diagnóstico o "informacional", no
como un medio para proporcionar las protecciones proactivas que tiene
un "firewall".
La herramienta es una de las muchas que han
sido producidas en los últimos meses, como una respuesta a las
herramientas empleadas por los hackers, como "Back orifice" (orificio
posterior), un software que puede monitorear y operar una computadora
en forma remota (ver "Charla Tecnológica" de setiembre).Comunmente se
sostiene que probablemente Back orifice es sólo la punta del iceberg,
que programas escondidos aún más peligrosos van a ser propagados por
toda la Internet.Cada vez están siendo buscadas más herramientas como
BackOfficer Friendly, para ayudar a los gerentes de seguridad
corporativa a determinar la extensión del problema y conocer cómo los
crackers intentan sus asaltos.
Otro producto que efectúa
similares servicios de monitoreo es AntiSniff, de L0pht Heavy
Industries, Inc. un reconocido grupo de ideas para hackers.
Además,
organizaciones tales como el Equipo de Respuesta para Emergencias en
Computadoras, de la Universidad Carnegie Mellon y el Instituto Nacional
de Normas y Tecnología, ofrecen herramientas gratuitas en línea.
@
Enlácese para más información vía Security Management On line Charla
sobre herramientas: El "Backofficer Friendly"("Oficial de apoyo
amistoso") · ¿Qué hay en un nombre?
Los programas de
software que buscan vulnerabilidades en una red corporativa carecen de
términos comunes para referirse a esas aberturas.Y eso le dificulta al
administrador de sistemas poder comparar productos o interpretar los
hallazgos cuando emplean un programa.
Para evaluar el
problema, un grupo de vendedores y académicos han desarrollado lo que
se llama la Lista de Vulnerabilidades y Exposiciones Comunes (CVE en
inglés).Esta asigna un número a cada vulnerabilidad que puede ser
detectada por los productos de seguridad de software.
El grupo
quiere que los programadores usen esta lista como un lenguaje estándar
de referencia en sus productos de seguridad.Cuando, por ejemplo, un
gerente de seguridad corporativa emplea un IDS para probar si una red
tiene vulnerabilidades, el informe tendrá un campo adicional de salida
conteniendo el CVE para cada problema encontrado. El CVE actuará como
un identificador de estándares. Si el gerente de seguridad tiene otros
productos con CVE integrado que están leyendo otras plataformas, podrá
hacer una referencia cruzada de sus conclusiones y comparar los
resultados. Aún para sólo un producto, el grupo espera que el CVE
facilite la preparación de informes, al darles a los gerentes de
seguridad una herramienta de búsqueda rápida y confiable. El o la
gerente podría usar el CVE para buscar todas las vulnerabilidades
relacionadas por ejemplo, con un flujo excesivo sobre muelles.
El
éxito de CVE depende de si es adoptado ampliamente. Ya está fuera para
un inicio tentativo, con algunos vendedores tomando una posición de
esperar-y-ver.
Unos pocos vendedores, sin embargo, están
planeando integrar la lista al menos a algunos de sus productos.
Cybersafe recientemente anunció que su Centrax IDS está ahora integrado
con CVE; ISS pondrá la lista en su producto Internet Scanner (Lector de
Internet); y el nuevo lanzamiento de HackerShield (Escudo de Hacker) de
Bind View, incorporará la lista. Pero Marcus Renum, de Network Flight
Recorder, dijo que su compañía sólo trabajará en la integración si
hubiese una gran demanda por ella.
Algunos en la industria han mostrado su preocupación en una discusión por e-mail a cargo de Ranum.
Encuentran
una falla en el campo de salida del informe, por sus detalles
insuficientes y dicen que su forma numérica lo hace menos amigable para
el usuario, de lo cual se culpa al consejo editorial, por su falta de
representatividad de los verdaderos usuarios finales de los productos
de seguridad.
También existe el aspecto de la competencia. La
lista se compone de vulnerabilidades para encontrar cuáles son creadas
por los productos de los vendedores. ¿Cuánto se puede esperar
razonablemente que compartan los vendedores? Ranum, por ejemplo, hizo
la observación de que el producto particular de un vendedor podría
estar buscando un método particular de ataque que otros productos no
buscan y no quiere divulgar esa información al consejo del CVE. Sin
embargo, los proponentes se opusieron al argumento, indicando que no es
probable que algún producto de seguridad pueda apoyarse en éxitos no
revelados, porque no es probable que éstos permanezcan como propiedad
de un vendedor en particular. @ La lista está disponible en línea.
Charla tecnologica 04 NOTICIAS Y TENDENCIAS Por; Michael A. Gips www.securitymanagement.com
Atascamiento de puerta
Esta
es la situación: un ladrón entra a una tienda por la Puerta A, comete
un delito y luego sale por la Puerta B.Siguiendo el procedimiento, un
empleado cierra con seguro todas las puertas exteriores luego de que el
ladrón ha escapado.Rápidamente aparecen para investigar los
representantes de seguridad de la corporación y de las organizaciones
que hacen cumplir la ley. ¿Importa cuál puerta les abren los empleados?
Esta
interrogante, recientemente planteada en línea a los miembros de una
lista de servicio para discusión de los robos a mano armada, es una de
las muchas situaciones relacionadas con robos que no es tomada en
cuenta de antemano por el personal en general de las tiendas o
bancos.Sólo uno de cada seis profesionales de la seguridad y del
cumplimiento de la ley que contestaron en línea, tuvieron la respuesta
correcta: a los investigadores se les debe dejar ingresar a través de
la puerta por la que entraron los ladrones, porque cualquier huella
existente en la perilla exterior de dicha puerta sería poco útil como
evidencia.La mejor evidencia estaría en la puerta usada para salir, ya
que las huellas del ladrón en ese caso estarían en la perilla de
adentro. En consecuencia, los empleados deben mantener a todos alejados
de la puerta usada para la fuga.
El problema, de acuerdo al
moderador de la lista de servicios John D. Moore, CPP, es que “los
entrenados se sienten intimidados por los oficiales de policía que
piden que les dejen entra”. Por eso, aunque puedan saber lo que el
ladrón ha tocado, los empleados pueden someterse a la opinión de la
autoridad policial, incluso si pareciera que la evidencia va a ser
afectada.Pero Moore dice que la policía estará agradecida si es que el
empleado a les explica su intento de preservar la evidencia.
De
acuerdo a Moore, quien entrena a empresas para que puedan tratar los
casos de robos a mano armada, la proporción de 1 a 6 entre respuestas
correctas e incorrectas para esta pregunta, es típica en la gente que
entrena.Por tanto, dice, entrenar en los probables escenarios donde se
dé la respuesta es importante para los negocios como lo es reforzar ese
entrenamiento mediante escenarios para la práctica.
Un método
efectivo que mayor número de instituciones financieras están comenzando
a usar, es la distribución de tarjetas enumerando los procedimientos
que cada miembro del personal debe realizar.
Inmediatamente
después de un atraco, por ejemplo, un gerente de banco podría
distribuir una tarjeta a cada uno de cuatro o cinco miembros del
personal, con tres o cuatro procedimientos por ejecutar. Las tarjetas
también pueden ser fijadas a diferentes estaciones de trabajo para una
rápida referencia.
Los empleados cumplen las tareas de sus
tarjetas en el orden en que aparecen. De este modo, los primeros items
en las tarjetas son los que deben cumplirse inmediatamente, tales como
colocar seguros en las puertas y desconectar las alarmas.Moore sugiere
plastificar las tarjetas y proporcionar lápices de cera para que los
empleados puedan marcar los items conforme se van ejecutando.
Así
como con otros aspectos de la prevención y respuesta contra robos, el
procedimiento de usar tarjetas debe ser practicado antes de que se
pueda confiar en él durante un incidente, dice Moore.
También
recomienda que los empleados cambien de papel durante las sesiones de
práctica, actuando como si fuese el ladrón, de forma que cada uno vea
las cosas desde la perspectiva del criminal. @ Para inscribirse en
la lista de correo del grupo de discusión sobre robos a mano armada,
busque el link debajo de “Beyond Print”, en Security Management Online.
¿ Sabía usted que...?
El
OSAC (Consejo Asesor de Seguridad en el Extranjero) recientemente
publicó un aviso respecto a delitos vehiculares, especialmente robo de
carros, en Nairobi, Kenya.El OSAC reporta que el promedio semanal de
robos de carros en Nairobi es casi 50 y que los ladrones cada vez más
escogen como blancos a los vecindariosen donde viven y trabajan los
extranjeros.
El Departamento de Energía de los EEUU hace poco
publicó una directiva en la que se definen los procedimientos para que
las naciones extranjeras puedan accesar a los sistemas de computación
no clasificados del Departamento.Ella establece que cualquier
aprobación debe estar basada en una “evaluación documentada del riesgo
e identificación de los controles de acces”.@ La directiva está en SM
Online.
Respondiendo a la preocupación del público respecto a la
privacidad de la información bancaria, la Asociación Americana de
Banqueros últimamente invocó a los bancos para que le den la más alta
prioridad a la protección de esa información.Con tal fin, la
organización ha establecido un grupo de trabajo para la privacidad y ha
desarrollado una lista de verificación que pueden usar los bancos para
evaluar el nivel de protección de información que ofrecen a sus
clientes. @ La lista de verificación y ejemplos de políticas de
privacidad bancaria están disponibles a través de SM Online.
La
Asociación de Museos de Holanda (NMA), ha publicado la segunda edición
de un CD-ROM gratuito, que incluye una auditoría de 800 preguntas sobre
la seguridad de museos y que produce un informe de las fortalezas y
debilidades del establecimiento.Actualmente sólo está disponible una
versión en holandés, pero se está preparando la traducción al inglés y
el NMA espera hacerlo ampliamente disponible.@ Para mayor información
vaya en Security Management Online.
Estado registra violencia política
McDonalds,
Coca Cola, Citibank. Quizá no hay otras compañías que resuman tan bien
la presencia de las empresas norteamericanas en el extranjero. Pero tan
alta visibilidad expuso a ellas tres así como a compañías como Pepsi
Cola, Hewlett-Packard y General Motors, a la violencia política en
1998. Los restaurantes McDonalds fueron un blanco preferido, sufriendo
atentados con bombas en Bélgica, Grecia, Chile y Brasil, conforme a un
informe recientemente publicado por la Oficina de Seguridad Diplomática
del Departamento de Estado de EEUU.
El informe de 48 páginas
trata sobre “los más importantes incidentes contra EEUU”, divididos
según el tipo (atentados con explosivos, secuestro o vandalismo), el
blanco (gobierno, empresas o privados) y la región (Hemisferio
Occidental, Europa, Africa al sur del Sahara, Asia del Cercano Este,
Asia del Sur, Asia del Este y el Pacífico). Colombia registró muchos de
los incidentes anti-americanos (86 de un total de 134), la gran mayoría
de ellos atentados con explosivos contra un oleoducto en particular.
Grecia, con nueve incidentes, ocupó un lejano segundo lugar.
El
número total de incidentes en 1998 fue casi idéntico al número de
incidentes en 1997, 135, y la distribución geográfica de las
actividades fue similar en los dos años.Siete norteamericanos murieron
en cuatro incidentes separados en 1997, mientras que los 12
norteamericanos fallecidos en 1998 fueron resultado del atentado
explosivo a la embajada de EEUU en Nairobi, Kenya.
El informe
tiene secciones especiales que brindan análisis más detallados de
actividad anti-EEUU a raíz de la Operación Zorro de Desierto en
Diciembre de 1998 (cuando los EEUU eligieron como blancos a los
establecimientos militares y de seguridad en Irak), lo cual originó 154
demostraciones y los atentados con explosivos contra las embajadas de
EEUU en Nairobi y Dar es Salaam, en Tanzania.El informe completo se
encuentra en Security Management Online. · A Statistical Overview of 1998 · Western Hemisphere (WH) · Europe (EUR) · Sub Saharan Africa (AF) · Near East(NEA) · South Asia (SA) and East Asia and the Pacific (EAP) · Americans in Captivity · Special Section- Operation Desert Fox
El entrenamiento inicia vuelo
Un
singular programa de entrenamiento para los inspectores (“screeners”)
en los puntos de control de seguridad de las aerolíneas, que estuvo
inicialmente teniendo problemas para levantar vuelo, está ahora listo
para alcanzar nuevas alturas.
La meta del programa, de acuerdo a
su fundador, el instructor Joe Gonzales del Colegio Comunitario de
Miami-Dade (Miami-Dade Community College, MDCC), ha sido brindar
entrenamiento de base a los estudiantes para que puedan acudir al
aeropuerto listos para el trabajo. Pero el programa, listo desde 1998,
ha tenido dificultad para conseguir estudiantes porque sus clases no
eran un pre-requisito para inspectores u otro personal de seguridad, ni
la constancia de entrenamiento hizo que se elevase el salario inicial,
que es bajo.Debido a que los cursos no eran costeados por el aeropuerto
o por las aerolíneas, los potenciales empleados tenían muy poco
incentivo para inscribirse.
Todo eso está empezando a cambiar,
Gonzáles ha asegurado varias fuentes de financiamiento, incluyendo 10
subvenciones de origen público y privado en Miami, lo cual ha permitido
que el colegio pueda ofrecer el entrenamiento gratis a una cierta
cantidad de estudiantes cada año.Para mejorar adicionalmente el
programa de entrenamiento, el cual es certificado por la FAA, la
escuela de leyes del “college”ahora completa una investigación de
antecedentes de cada estudiante-requerida por la FAA- que cubre los
últimos 10 años.De esta manera, después de terminar el entrenamiento,
cada estudiante está totalmente investigado y listo para empezar a
trabajar.
El programa, que es más completo que la mayoría de los
entrenamientos de seguridad ofrecidos por las aerolíneas, también ha
sido reconocido por diversas compañías de servicios de seguridad,
incluyendo a la Corporación Argenbright, ITS y Globe Security -todas
las cuales operan en el aeropuerto de Miami.Por ejemplo, la Corporación
Argenbright, una contratista de seguridad que tiene sus oficinas
principales en Atlanta, ha accedido a incrementar el salario inicial de
cualquier empleado que haya completado el curso de entrenamiento.
Desde
el inicio del programa se han graduado 30 estudiantes y la mayoríaha
ido a trabajar como inspectores de aeropuerto en el área de Miami. Sin
embargo, debido a que se ha eliminado la cuota de ingreso de US $ 480,
Gonzales estima que las matrículas crecerán hasta un máximo de 15
estudiantes por sesión. Una vez certificados, esos estudiantes pueden
trabajar en cualquier lugar del país.Mientras esta edición de Security
Management iba a la impresara, la FAA propuso una regla que exigiriá
entrenamiento más extensivo para inspectores.
Por Teresa Anderson, Editora Senior
Lo principal de la pagina
¿No
tiene tiempo para estar a la caza de los más útiles informes,
lineamientos, estudios y artículos en la Web? Security Management
Online reune todo junto en un lugar al alcance de la mano. Aquí un
ejemplo de artículos colocados este mes.
Lavado de dinero. La
"banca privad," definida como los servicios financieros que se
proporcionan a clientes adinerados, se ha ido incrementando en los
Estados Unidos.Pero igual ha sucedido con el lavado de dinero en los
bancos privados.De acuerdo al testimonio ante el Sub-comité Permanente
de Investigaciones del Comité de Asuntos Gubernamentales del Senado,
los auditores de la Oficina General de Contaduría de los EEUU (GAO),
recientemente examinaron las inspecciones efectuadas por los órganos
federales de regulación a la banca privada en general, inspecciones a
la banca privada enjurisdicciones extranjeras, barreras que han
obstaculizado la vigilancia de la banca en el extranjero y los desafíos
futuros a los esfuerzos de los órganos reguladores para combatir el
lavado de dinero en el extranjero.
Loa auditores de la GAO
hallaron que todas las 20 jurisdicciones extranjeras tienen leyes de
secreto que protegen la privacidad de los dueños de las cuentas y que
estas leyes planteaban obstáculos formidables para los órganos
reguladores federales.Aunque todas estas jurisdicciones estaban
involucradas en iniciativas contra el lavado de dinero, la GAO
cuestiona la capacidad de estas jurisdicciones para poner en práctica
sus leyes.SM Online tiene el informe completo y el testimonio al
respecto.
Corrupción.
El Centro de Internet para la
Investigación de la Corrupción, que es una iniciativa conjunta de la
Universidad de Goettingen (Alemania) y Transparencia Internacional, un
grupo de vigilancia de la corrupción, ha preparado un índice de
percepciones de corrupción de 99 países alrededor del mundo.
Combinando
los resultados de 17 estudios efectuados por 10 instituciones
independientes, el índice evalúa la percepción de la corrupción de un
país tal como es vista por gente de negocios, analistas de riesgos y
público en general.De los 99 países analizados, aquellos considerados
como los más corruptos incluyen Camerún, Nigeria, Indonesia,
Azerbaiján, Uzbekistán y Honduras.Vistos como los menos corruptos
fueron Dinamarca, Finlandia, Nueva Zelandia, Suecia, Canadá e Islandia.
A los Estados Unidos se les percibió como el 18º de los países “más limpio”.El índice puede ser obtenido vía SM Online.
Perros detectores de drogas.
El
Servicio de Aduanas de los EEUU recientemente hizo de conocimiento
general los datos sobre su programa canino para cumplimiento de las
disposiciones anti-drogas.Los perros del Servicio de Aduanas buscaron
224 millones de paquetes, personas y vehículos en el año fiscal de
1999, un incremento de 20 millones sobre 1998.En 11,000 casos los
perros olfatearon drogas o dinero en 1999, comparados con las 10, 700
detecciones en al AF 1998.
¿ La droga más comunmente
descubierta? Marihuana, la enorme cantidad de 631,909 libras de élla.
Los perros también pusieron al descubierto más de 25 millones de
dólares en efectivo. Una clasificación estadística completa de los
logros caninos se encuentra en SM Online
Prevención del delito.
Los
autores de un artículo en el Boletín del Cumplimiento de la Ley, del
FBI, argumentan que para prevenir el delito es básico realizar un
estudio que identifique las “zonas calientes” para delitos, los
“patrones” de delito y las mentalidades delictivas
Es
importante concentrarse en las zonas calientes, dicen, porque las
investigaciones muestran que el 50 por ciento de las llamadas al
servicio provienen de sólo 10 por ciento de los lugares donde se
cometen los delitos.Los patrones delincuenciales, entre otras cosas,
ayudan a identificar los lugares donde pueden darse hechos críticos, a
identificar víctimas y escenas del crimen y a proyectar eventos
relacionados al tiempo, dentro de los lugares donde se cometen los
crímenes o en las zonas calientes.
Los autores analizan un
caso específico en el que jóvenes de un parque de Pennsylvania
atemorizaban a los ancianos residentes de un cercano complejo de
apartamentos, abusaban del alcohol y las drogas y se dedicaban al
vandalismo desenfrenado.Al instalar CCTV e iluminación, colocar
letreros, retirar una cabina telefónica usada por los vendedores de
drogas y ejecutar otras tareas de mantenimiento, las fuerzas del orden
abordaron el problema. La historia completa está disponible via SM
Online.
Seguridad de bibliotecas.¿Deberían marcarse los libros y
manuscritos raros de gran valor, para ayudar a su identificación y
recuperación, aún si el documento será alterado permanentemente? El
comité de seguridad de la Asociación de Colegios y de la Sección de
Libros y Manuscritos Raros así lo cree y brinda consejo específico
sobre cómo hacerlo, en un apéndice a su conjunto de lineamientos de
seguridad para libros y manuscritos raros y otras colecciones
especiales.
Por ejemplo, los manuscritos medievales y del
Renacimiento, los incunables y libros impresos en épocas antiguas deben
ser marcados en “el reverso de la primera hoja del texto principal,
sobre la parte interna del margen inferior, aproximado a la última
línea del text”. Los lineamientos cubren también asuntos tales como el
papel del agente de seguridad de la biblioteca, la política de
seguridad de la instalación y el acceso de los investigadores de
documentación.SM Online lo lleva allí.
Monitoreo
electrónico.Muchas de las herramientas de alta tecnología del campo de
la seguridad, incluyendo el sistema de posicionamiento global y la
verificación de voz, están siendo aplicadas para el monitoreo
electrónico de individuos en espera de juicio, con detención
domiciliaria, libertad vigilada, libertad bajo palabra y detención
juvenil.Un boletín del Centro Nacional Tecnológico para Cumplimiento de
la Ley y Establecimientos Correccionales, discute los sistemas de
monitoreo electrónico y sus beneficios como su bajo costo.
El
Departamento de Libertad Vigilada y Bajo Palabra del Estado de Carolina
del Sur encontró que supervisar electrónicamente a un reo en libertad
bajo palabra cuesta la mitad de lo que cuesta tenerlo encarcelado. El
boletín también analiza las diversas tecnologías empleadas por los
sistemas de monitoreo electrónico y los procedimientos para su empleo
correcto.Compruébelo en SM Online.
Seguridad durante el viaje.El
experto de seguridad en el manejo Tony Scotti ha preparado una página
Web diseñada para profesionales que proporcionan transportación segura
y sin accidentes a sus ejecutivos y clientes. El sitio tiene dos áreas:
miembros y no-miembros.Los no-miembros pueden obtener artículos sobre
temas tales como secuestros de vehículos y entrenamiento protectivo
para conductores.
Otro sitio, establecido por el experto de
seguridad John Pignato, también contiene una sección sobre seguridad
durante el viaje, que incluye consejos para mujeres que conducen y para
aquéllos que viajan a otro país. El sitio también contiene enlaces con
bases de investigación y recursos legales, así como una variedad de
otras informaciones. Ambos sitios están enlazados mediante SM Online.
Charla Tecnológica 05 Por DeQuendre Neeley www.securitymanagement.com
¿Deben las compañías adoptar PKI?
PKI,
que se refiere a un esquema de encriptación llamado “infraestructura de
clave pública” (public key infrastructure), es publicitada a menudo
como crítica para proteger las transmisiones por Internet. Pero algunos
expertos se preguntan si se está conduciendo de acuerdo a esta
pretensión.
El experto en encriptación Bruce Schneier, entre
otros, cuestiona la veracidad de las afirmaciones hechas por los
vendedores. Sus preocupaciones derivan de los informes de que las
proporciones de adopción de la PKI están decayendo y que el barullo
sobre la PKI ha tenido poca sustancia.
"La gente piensa que
puede esparcir polvo mágico sobre sus problemas de seguridad y que
éstos se irán", dice Schneier sobre la razón por la cual la versión
comercial de PKI se volvió rápidamente tan popular. "Desgraciadamente
no hay ninguna certeza en esto. La PKI es muy compleja y las PKIs
comerciales frecuentemente no hacen lo que los vendedores dicen que
hacen."
La PKI está basada en un sistema criptológico que usa un
par de claves -una privada, una pública- para codificar y decodificar
mensajes. Típicamente, las PKIs están compuestas por certificados
digitales, autoridades de certificación (CAs) y autoridades de
registro. Los certificados digitales se parecen a los pasaportes
electrónicos que se firman digitalmente por el usuario y el emisor, que
es la autoridad certificadora. Una autoridad registradora verifica la
identidad del usuario; luego la CA emite y mantiene el certificado. Se
cree que las PKIs trabajan mejor en autenticación, control de acceso de
red y comercio electrónico.
Pero Schneier dice que ha visto
compañía tras otra caer presa de esta pretensión, cuando encuentran que
la aplicación es una aventura costosa y decepcionante. La mayoría de
las compañías, dice, no estaban preparadas para el intenso trabajo de
integración requerido y no quedaron satisfechas cuando se dieron cuenta
que la PKI no podía ser considerada una completa solución de seguridad.
Diana
Kelley, analista del Hurwitz Group, se hace eco de algunas de las
preocupaciones de Schneier, agregando que hay también temas no
resueltos sobre la compatibilidad cuando deben interactuar las PKIs
usadas por compañías diferentes. Aunque la mayoría de los vendedores
usa un tipo estándar de certificado, "todavía no hay una
interoperatividad completa, lo que puede convertirse en un problema
para las compañías”, dice Kelley.
Además, Kelley dice que el
rendimiento de la red puede ser afectado por las PKIs. Por ejemplo,
cuando los empleados dejan una compañía, el certificado correspondiente
debe ser anulado y el certificado anulado debe ser mantenido en una
base de datos para que el ex empleado nunca pueda usarlo de nuevo. En
las organizaciones grandes, "estas CRLs (listas de anulación de
certificados), pueden ser muy largas… El problema es que simplemente
usted no puede librarse de alguien; ese certificado tiene que
mantenerse anulado”
Es más, la PKI está plagada por varios
enlaces débiles que al final pueden socavar la seguridad, dice
Schneier. Primero, existe el interrogante de la confianza que se pone
en las autoridades de certificación (CAs), y por tanto en los
certificados que ellas emiten. Las CAs rechazan cualquier
responsabilidad por los certificados y no pueden autorizar cualquier
transacción hecha con ellos. Por consiguiente, dice, las CAs no son
propiamente unas autoridades confiables. Schneier también es crítico de
muchas de las prácticas en la emisión de certificados, las cuales
afirma, fueron determinadas sin tener en mente a la seguridad. Por
ejemplo, los certificados se emiten después de una ligera verificación
de identidad.
Además, dentro de los sistemas de claves públicas,
guardar el secreto de la clave privada es crucial. Normalmente, la
clave privada se guarda en una unidad de disco duro convencional. A
pesar de que está encriptada, su ubicación la hace susceptible a la
penetración física y electrónica.
Steve Kruse, quien trabaja
en Baltimore Technologies, fabricante de software de PKI, sostiene que
la PKI se hará cada vez más necesaria conforme avance la tecnología y
las empresas se ven involucradas en transacciones electrónicas más
complicadas.
“[Schneier] tiene razón, estamos haciendo gran
cantidad de comercio electrónico sin usar PKI. Pero desde una
perspectiva de empresa a empresa y para las transacciones más sensibles
-más de las cuales van a realizarse en la Internet- existe necesidad de
PKI. Usted puede verlo entre los bancos; ellos están invirtiendo
fuertemente en PKIs."
Ni Schneier ni Kelly desean que las
empresas desechen las PKIs. Más bien quieren que conozcan que la
tecnología todavía tiene mucho por madurar. Schneier dice que mientras
tanto, otra tecnología puede llenar la necesidad que tiene una
compañía. Kelly dice que las empresas deben estar seguras de que tienen
una clara necesidad comercial del producto, porque demanda una fuerte
inversión. Por ejemplo, si la compañía mueve grandes cantidades de
datos sensibles, codifica normalmente los datos o emplea la
autenticación de "dos factores", tales como un registro en el proceso y
un biométrico, entonces puede ser un candidato para la PKI.
Y,
advierte Schneier, las compañías deben recordar las limitaciones de la
PKI. "La PKI es el equivalente a las credenciales que tiene en su
billetera"‚ dice. "¿Existen usos electrónicos para estas credenciales?
Ciertamente. “¿Pero solucionan mágicamente la seguridad? No, aunque
esfuerce la imaginación."
Deteniendo la piratería en las subastas
De
acuerdo a la Asociación de Software e Industria de la Información
(SIIA), casi el 60 por ciento del software intercambiado a través de
las subastas en línea es pirateado, un hecho que descubrió después de
inspeccionar los tres sitios de subastas en línea más importantes,
eBay, ZDNet y Excite. El año pasado los investigadores recibieron aviso
de que el software estaba vendiéndose a precios extraordinariamente
bajos. Por ejemplo, el Macromedia Director, con un precio sugerido para
la venta al menudeo de $999, estaba siendo ofrecido a $28. En otro
caso, el Adobe Photoshop 5.0 estaba disponible por $11.99, aunque
normalmente cuesta $549.
En respuesta, la SIIA, con base en
Washington, D.C., ha publicado un conjunto de recomendaciones para
reducir la transferencia de software ilegítimo, que incluyen hacer que
los sitios efectúen revisiones detalladas de sus transacciones de
software antes y después de que ellas se produzcan. La publicación de
la SIIA, Alerta al Consumidor de Subastas en Línea, también enumera
señales reveladoras de software ilegal. @ Encuentre el Alerta y los
resultados del estudio a través de Security Management Online.
Rentabilidad antes de seguridad
Las
empresas ven a la seguridad como un facilitador del comercio
electrónico, pero la mayoría están más preocupadas por la rentabilidad
que por otros temas relacionados con la Web, como seguridad, confianza
y servicio al cliente. Esta es la conclusión de la primera fase de un
estudio de cuatro fases realizado por Deloitte & Touche y la
Fundación para Control y Auditoría de Sistemas de Información (ISACA).
La
Seguridad del Comercio Electrónico: Un Informe Global de Situación,
halló que las compañías con alguna forma de negocio en la Web citaron
abrumadoramente la necesidad de obtener ganancias para recuperar sus
fuertes inversiones en la Web; la mayoría efectuó comercio electrónico
para reducir los costos, mejorar la eficiencia, proporcionar una nueva
manera de hacer negocios, todas con las esperanzas de mejorar en última
instancia. La mayoría también pensó que su actitud respecto a la
seguridad era suficiente, aunque los más contentos con la seguridad
probablemente no tenían una real política de seguridad. Más aún, pocas
eran conscientes de los riesgos y exposiciones en las transacciones de
empresa a empresa.
El estudio estuvo basado en 150 entrevistas
con ejecutivos de 14 países y en 250 cuestionarios completados. La
segunda fase del proyecto definirá las mejores prácticas del comercio
electrónico y está prevista para ser concluída a finales de la
primavera. El primer volumen está disponible mediante la biblioteca de
ISACA. @ Vea Security Management para encontrar el enlace.
¿ Están exagerándose los problemas de seguridad ? En
los meses anteriores al inicio de este año hito, los vendedores de
tecnología de seguridad, entre otros en este campo, predijeron una
amplia gama de daños, desde incontenibles plagas de virus y festines de
piratas informáticos, hasta fallas totales en los sistemas. Como todos
saben ahora, muy pocos desastres sucedieron, lo que ha llevado a muchos
a cuestionar si realmente los temores estaban justificados y a
preguntarse hasta que punto los vendedores exageran la magnitud de los
problemas de seguridad para aumentar las ventas.
Esta
interrogante fue hecha en una encuesta reciente efectuada por
SecurityFocus.com, y la respuesta fue un resonante sí, pero con
salvedades. Debido a que muchas compañías tienen poca comprensión sobre
cuánto las expone su falta de seguridad, algunos de los preguntados
respondieron que los titulares sensacionalistas y las tácticas de venta
pueden servir para un propósito si es que causan que las empresas sean
más conscientes. También estuvieron de acuerdo en que un experto
gerente de TI (tecnología de la información), podía atisbar a través de
la llamada “jerga de ventas”.
Nicolás Stampf, un consultor de
seguridad francés, dice que la diferencia entre las advertencias
legítimas sobre los problemas de seguridad y la paranoia incitadora no
está claramente definida. "Como consultor de seguridad, intento que mis
clientes conozcan el mundo real", dice Stampf. "Como tal, intento ser
tan fuerte como pueda, pero siempre les digo: mi trabajo es venderles
máxima seguridad... No me voy hasta que estoy seguro que el cliente
entiende totalmente los riesgos que su compañía está enfrentando. Yo no
pienso que estoy exagerando en absoluto."
En general, las
compañías siempre deben tomar los comentarios del vendedor con un grano
de sal, dice el consultor de seguridad Jonathan Day. "Es altamente
improbable que 10,000 ciberterroristas, armados con las últimas
herramientas de penetración, dispositivos TEMPEST y máquinas lectoras
de la mente desciendan balanceándose sobre el sitio Web de su compañía
con el solo propósito de voltear su logotipo al revés”.
Pero,
apunta, existe una mayor oportunidad para que los reclutadores y
competidores estén tratando de encontrar las listas de empleados, que
script-kiddies estén intentando borrar las páginas públicas y que los
crackers estén tratando de usar sistemas para saltar hacia otros. Estos
son los problemas de seguridad más característicos que enfrentan la
mayoría de las compañías, por lo que tiene sentido aplicar ciertas
prácticas y tecnologías de seguridad.
Rapi-bytes
· Cómo
hacer.NTSecurity.net ha establecido una lista de correos Internet para
profesionales de seguridad que emplean plataformas Windows, para
discutir cómo resolver los problemas técnicos de seguridad.
Adecuadamente llamada “How to”, la lista intenta cubrir temas como
monitoreo de sistemas, aislamiento de incidentes,contramedidas,
administración del usuario, mejores prácticas, herramientas y
revisiones de seguridad, anuncios y revisiones de cursos de
entrenamiento de seguridad, consejos rápidos y recordatorios. Se
alientan las suscripciones anónimas. Para suscribirse, envíe un e-mail
a listserv@listserv.ntsecurity.net con las siguientes palabras en el
cuerpo del mensaje:
· Estado dice no a votación electrónica A
pesar de un temprano optimismo, un grupo de trabajo de California ha
concluido que hay demasiados peligros asociados con la votación en
línea, para poder proseguir con su aplicación. Preocupado por los
riesgos de virus, alteraciones por los hackers y la incapacidad de la
tecnología de seguridad existente para efectuar una identificación
concluyente de los votantes, el grupo de trabajo ha cancelado la
medida, pero sugirió que como alternativa, el estado considere
estaciones kiosko de Internet. Entretanto, el gobierno federal todavía
está estudiando la factibilidad de un sistema de votación en línea en
una escala aún más grande, basado en la infraestructura de clave
pública.
· Estándar Infosec actualizado.El Instituto Británico
de Estándares, una organización internacional para registro de la
calidad, hace poco actualizó y publicó el BS 7799, un estándar para
administración de la información de seguridad. El código se ha diseñado
para ayudar a las compañías a dar seguridad a la información que es
almacenada y transmitida electrónicamente, así como a sus
comunicaciones escritas y habladas.La norma también trata sobre
tecnologías de seguridad y medidas de protección contra sabotaje
provocado por empleados y contra el terrorismo. Por el precio de una
auditoría, las compañías pueden solicitar una certificación de tres
años.@ Para más información, visite SM Online.
Prestándose de la Inmunología
Metafóricamente,
las computadoras y la inmunología han estado relacionadas por casi dos
décadas. Los programas antivirus "inoculan", hacen llamar "doctores de
discos" e intentan detener la "infección". En realidad, la mayoría de
estos programas simplemente buscan hilos de códigos que se asemejena
los patrones de códigos malévolos conocidos.El sistema inmunológico
natural es mucho más complejo. Pero eso no detiene a dos equipos de
investigadores para continuar proyectos que en última instancia
pudieran hacer a las computadoras tan eficientes como el cuerpo humano
para detectar y luchar contra cualquier tipo de ataque de agentes
externos.
IBM y el vendedor de antivirus Symantec se han
asociado para trabajar en el Sistema Inmunológico Digital, el cual está
principalmente dirigido hacia la detección mejorada de virus, mientras
un equipo de investigadores académicos espera extender el concepto a
los sistemas de detección de intrusiones, los cuales están diseñados
para indicar todas las formas de ataque.
"Los sistemas
inmunológicos naturales son capaces de distinguir virtualmente
cualquier célula o molécula extraña a las propias células del cuerpo:
esto es conocido como discriminación propia-no propia", dice Stephanie
Forrest, científica de computación en la Universidad de Nuevo México,
que trabaja en el Sistema Inmunológico Artificial.
Forrest dice
que del sistema inmunológico se pueden inferir una multitud de
conceptos de seguridad, incluyendo su capacidad para adaptar y
distribuir el poder combativo hacia la ubicación del ataque. Prestarse
estos conceptos, dice, puede conducir al mejoramiento de la seguridad
de las computadoras, en vez de intentar simplemente mejorar la
ingeniería del software.
El problema, particularmente con los
virus, es que una compañía que responde al virus está sólamente
haciendo control de daños, mientras el veloz virus probablemente ya se
ha extendido a otras máquinas y sistemas. Los sistemas inmunológicos
trabajan fuerte para contener y curar los problemas antes de que ellos
se extiendan. Este tiempo de reacción es uno de los beneficios básicos
del modelo de sistema inmunológico.
En el sistema de Forrest,
los cuerpos externos son buscados y destruídos. La red conocería lo que
es externo por un proceso que en la naturaleza se llama la selección
negativa. Digitalmente eso significa que anticuerpos de la red con
receptores sensitivos se desplazarían alrededor regulando la actividad.
El
personal del Centro de Investigación Thomas J. Watson de la IBM todavía
está probando el Sistema Inmunológico Digital, que trabaja acelerando
el proceso por el cual las computadoras reconocen los códigos malos.
Según Steve White, jefe de investigación y desarrollo de antivirus, el
software patentado detectará cuando un nuevo virus entre a una PC de la
red de una organización.
Después el software automáticamente
"captura" el virus y lo envía por Internet a un centro automatizado
para el análisis de virus. El virus es analizado y la información para
detectarlo y curarlo después es derivada y enviada de regreso por
Internet a la PC que encontró inicialmente el virus. Al mismo tiempo,
el remedio para el nuevo virus se pone a disposición de todos en el
mundo. Este proceso, dicen los investigadores, puede ocurrir dentro de
minutos de la llegada de un nuevo virus.
Ambos equipos han
demostrado los conceptos en los laboratorios; sin embargo, la
conversión del proceso a un producto o servicio real, todavía está
bastante lejos.
CHARLA TECNOLOGICA 06 Por Peter Piazza www.securitymanagement.com
DESPERTAR CON UNA LLAMADA INALAMBRICA
Conforme
se extienda el uso de los dispositivos inalámbricos, como los PDA
(asistentes digitales personales) y los teléfonos de tecnología WAP
(protocolo de aplicación inalámbrica) y se usen como partes integrales
de los negocios, también es probable que aumenten las amenazas contra
estos aparatos. Ya han aparecido programas maliciosos como Trojans y
virus dirigidos específicamente contra los dispositivos inalámbricos, y
los expertos ven mayores amenazas en el horizonte de un mundo
inalámbrico que cada vez se conecta más.
El primer virus que
atacó a la Palm "no fue una amenaza terriblemente grande, pero fue una
llamada importante para despertar a las corporaciones alrededor del
mundo al hecho de que los piratas informáticos ahora van a apuntar
hacia las Palms y PDAs", dice Tanya Candia, vicepresidente de marketing
mundial de F-Secure, Inc., que crea productos para seguridad de datos.
"Conforme usemos más tecnología inalámbrica desde lugares alejados, esa
será una tierra fértil para los piratas informáticos".
Hasta
hace poco, los virus inalámbricos han sido relativamente raros. "La
principal razón era de que no había muchos dispositivos inalámbricos,
así que los escritores de virus no querían tomarse el trabajo necesario
para crear un virus contra ellos", dice William Orvis, especialista de
seguridad de la CIAC (Capacidad de Asesoría para Incidentes de
Computación), que proporciona apoyo técnico al Departamento de Energía.
Además, puntualiza Orvis, no había una forma fácil de introducir un
virus en la máquina, hasta que estos dispositivos entraron a la red
informática. "Pero eso está cambiando rápidamente", dice.
Vincent
Gullotto, director principal del AVERT (Equipo de Respuesta Antivirus
de Emergencia), de McAfee B2B, una organización de investigación
antivirus, dice, "La amenaza aumentará conforme los aparatos manuales
sean conectados con más frecuencia a la Internet". Sin embargo, anota,
"Podrían pasar de seis a doce meses antes de que esto se vuelva un
asunto serio".
No será tan fácil crear y propagar virus
inalámbricos como lo ha sido contra la PC. "La Palm tiene un sistema
operativo simple y transparente y no hay muchos lugares para que se
escondan los virus", dice Julia Rodriguez, vocera de Palm Inc., aunque
acepta que "cualquier plataforma electrónica puede ser susceptible a
los piratas informáticos que crean los virus".
Orvis coincide en
que es más difícil programar códigos maliciosos para las Palms. Eso "no
detendrá a los escritores de virus", dice, pero "los retardará un poco".
¿Qué
se puede hacer? Una manera de proteger las PDAs es alentar a los
usuarios para que las sincronicen en forma regular, dice Rodriguez, de
Palms. Durante la sincronización los usuarios tienen la oportunidad de
aceptar o rechazar cualquiera de las nuevas aplicaciones que intenten
entrar a la Palm, permitiéndoles revisar estas aplicaciones para
asegurarse de que provienen de fuentes conocidas y confiables. Un
usuario debe regularmente guardar los datos de respaldo en una PC,
agrega, de forma que si la información que está en la Palm se perdiese,
ella pueda ser restaurada de manera rápida y fácil.
También se
pide que el usuario tenga una saludable dosis de conciencia. "Es el
mismo problema que tenemos con los virus tipo correo electrónico", dice
Orvis. "La gente simplemente cae en el hábito de oprimir la palabra
“yes” (sí) cuando se presenta un cuadro de diálogo y ni siquiera lo
leen después.
¿Qué otro consejo deben dar los gerentes de
seguridad a los trabajadores que usan dispositivos inalámbricos? "Si
usted recibe un ejecutable de alguien, probablemente no es buena idea
ejecutarlo, a menos que usted lo espere y sepa que es algo en que puede
confiar", dice Orvis. "Practique computación segura", dice Gullotto, "y
use su PDA en forma segura. Si usted traslada archivos entre su PC y su
computadora manual, asegúrese de explorarlos para virus".
Rapi-bytes
Conozca las reglas.
El
senador Orrin Hatch (R-Utah), presidente del Comité Judicial del
Senado, ha publicado un folleto llamado "Conozca las Reglas, Use las
Herramientas", el cual ofrece consejos a los consumidores y a las
empresas para la protección de datos personales en línea. Usted puede
enlazarse con el reporte mediante SM Online.
El estado de la
privacidad. Aunque muchos países están creando leyes para proteger la
privacidad como un derecho humano fundamental, las nuevas tecnologías y
las demandas de las fuerzas del orden para tener mayores capacidades de
vigilancia podrían estar erosionando ese derecho, conforme un estudio
efectuado por EPIC y Privacy International. El estudio revisó el estado
de la privacidad en más de 50 países, desde Argentina hasta los EEUU. @ Puede enlazarse con el informe vía SM Online. Nuevo
estándar criptográfico. Un equipo belga de criptógrafos ganó una
competencia organizada por el Instituto Nacional de Estándares y
Tecnología para desarrollar una nueva técnica de cifrar. Se espera que
el nuevo Estándar Avanzado de Cifrar (AES), que será empleado por el
gobierno así como por el sector privado, sea remitido al Secretario de
Comercio para su adopción en los primeros meses del 2001, después de un
período de 90 días para comentarios del público. @ Se puede enlazar a
un análisis del estándar y a un foro para comentarios públicos, a
través de SM Online.
Poniendo a la PKI en su lugar
El
Acta de Firmas Electrónicas para el Comercio Nacional y Mundial
("E-Sign"), que eliminó una barrera fundamental contra el comercio
electrónico haciendo que los contratos electrónicos fueran legalmente
aplicables, se puso en efecto en octubre. Pero hacer aprobar la ley
puede haber sido la parte fácil.
"Existe una segunda generación
de aspectos que al final van a tener que ser abordados: ¿Cómo vamos a
poner en práctica todo esto, cómo hacemos para que trabaje y cuáles son
las reglas?", dice Thomas Smedinghoff, socio del estudio legal Baker
& McKenzie y coordinador de esa firma para la práctica del comercio
electrónico en Norte América.
Smedinghoff cree que, en general,
el gobierno dejará que el sector privado resuelva los detalles. Pero
eso podría tomar tiempo, dada la carencia de estándares e
infraestructura, que son los sistemas de soporte para administrar
firmas digitales. "Las firmas digitales están en donde la industria
automotriz se encontraba en 1905", dice. "No había muchos caminos o
estaciones de gasolina, pero con un poco de previsión podríamos
fácilmente haber dicho que los automóviles eran la ola del futuro".
La
legislación sobre la firma electrónica (E-sign) es tecnológicamente
neutral y define en forma amplia a la firma electrónica como "un
sonido, símbolo o proceso electrónico, adjunto a, o lógicamente
asociado con, un contrato u otro documento ejecutado o adoptado por una
persona con la intención de firmar el documento". Dan Buchanan,
vicepresidente ejecutivo de operaciones y sistemas de información de la
empresa Zions, advierte que las compañías que quieren aprovechar la
firma electrónica necesitan darse cuenta que esta neutralidad origina
potenciales aspectos problemáticos en su verificación.
"Una
firma electrónica puede ser algo tan simple como presionar el botón
'Acepto' o ingresar un PIN", dice. El problema con eso es que pueden
funcionar de acuerdo con la ley (de firmas electrónicas) pero podrían
causar problemas para ser ejecutadas, "en el caso de que usted tenga
que ir a un tribunal y decir 'Yo sé que fue esa persona'. Si sólo
presionaron 'Acepto', usted realmente no tiene forma de saber si esa es
la persona o no ". Debido a que las firmas digitales identifican a las
personas y aseguran la integridad del mensaje, son el tipo de firma
electrónica más aplicable en un tribunal de justicia, dice.
La
piedra angular para las firmas digitales es la Infraestructura Pública
de Claves (PKI), en la cual los usuarios reciben un certificado digital
de una autoridad certificadora, que es una organización o compañía
independiente y confiable. El certificado contiene información de
identificación, un número de serie, una fecha de expiración y dos
grupos de bits llamados “claves” (keys). La clave privada sólo tiene el
poseedor del certificado. De este modo puede ser usada para generar una
firma digital única que el usuario puede emplear para autorizar una
transacción, como por ejemplo, un acuerdo para adquirir acciones a
cierto precio.
Zions Bank Corporation es uno de los pioneros en
la frontera de la firma digital. Como parte de un programa piloto,
ahora los consumidores pueden abrir cuentas bancarias y ultimar
préstamos por la Internet, actividades para las cuales se requieren
firmas. Una subsidiaria de Zions, Digital Signature Trust (DST), una
autoridad certificadora, proporciona certificados a los usuarios que
les permiten crear firmas digitales.
Pero hacer que la PKI
trabaje en forma eficiente puede ser un reto. EasCorp, una cooperativa
financiera corporativa, tuvo que enfrentar varios obstáculos durante la
puesta en práctica de la PKI. "El sistema de autenticación fue muy
fácil de instalar y comenzar a usarse", dice Christopher E. Smith,
vicepresidente de sistemas computarizados de información de EasCorp,
"pero había gran cantidad de 'sorpresas’".
Uno de los problemas
iniciales fue que cuando se revocaba el certificado de un usuario,
Smith asumía que el certificado automáticamente dejaría de trabajar.
Eso no sucedía. Los servidores de la compañía no verificaban
automáticamente las listas de certificados revocados (CRLs), así que
los propios programadores de EasCorp tuvieron que alterar ese proceso a
la medida de sus necesidades.
Otra dificultad era que el
software de PKI no trabajaba en forma confiable con todos los
buscadores, así que la cooperativa tuvo que pedirles a sus clientes que
empleasen el Internet Explorer. Aún así, Smith dice que varias
versiones de Internet Explorer "tienen problemas de comportamiento;
parece que existen varias combinaciones de software que originan que
los certificados no trabajen".
Otras compañías también han
experimentado problemas. Charles Blauner, vicepresidente del grupo de
eSolutions de J.P.Morgan, dice que ha sido un reto "para que la gente
use los certificados de modo que les de un alto grado de movilidad al
usar varios aparatos diferentes y un solo certificado".
No es
seguro o conveniente emitir un nuevo certificado cada vez que un
cliente quiere usar un nuevo aparato, explica Blauner, así que mientras
la empresa prueba un programa empleando tarjetas inteligentes y
lectoras, los usuarios móviles llevan certificados en un disco flexible.
"Muchos
productos de software, especialmente en el pasado, no estaban
preparados para la PKI", dice Lisa Pretty, directora ejecutiva del
Forum PKI, un grupo que está trabajando para asegurar que la tecnología
PKI pueda funcionar con distintos vendedores y diferentes aplicaciones.
"De este modo, muchos de los aplicadores tuvieron que desarrollar sus
propios códigos para poder aceptar y verificar los certificados". Ella
dice que ha habido un gran progreso en la normalización de los
productos de PKI, "pero aún no se ha resuelto el problema".
Algunos
de los problemas operativos no son técnicos. Por ejemplo, diferentes
autoridades certificadoras (ACs) ofrecen diferentes tipos de cobertura
por responsabilidad. "Una AC puede aceptar la responsabilidad si yo
pierdo mi clave privada, así que si alguien asume mi identidad, ellos
tienen la responsabilidad", explica Buchanan. "Con otras, el riesgo de
responsabilidad recae en la parte que confía (tal como el banco que da
un préstamo), de modo que quienquiera que acepta la firma está
realmente asumiendo el riesgo".
Hay una necesidad de políticas
generales para que la gente se pueda orientar, como las que existen
para las tarjetas de crédito, dice Buchanan. "A usted no le interesa
qué banco emitió una tarjeta de crédito", anota, "porque usted sabe que
las políticas y procedimientos generales van a ser seguidos por todos". @
Se puede establecer contacto con el Fórum PKI, que ofrece un centro de
recursos de PKI a los usuarios de cualquier nivel técnico, a través de
www.security management.com
FBI le dice a la Industria: comparta sus angustias.
¿Están
aumentando drásticamente los delitos de computación? Todos los informes
sugieren que así es, dice David E. Green, subjefe principal de la
Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS), del
Departamento de Justicia de los EEUU. A medida que aumenta la cantidad
de personas que usan las redes informáticas, el FBI y otros organismos
policiales están iniciando muchas más investigaciones criminales, y las
encuestas indican que las corporaciones se encuentran sometidas a
ataques cibernéticos con más frecuencia. Pero no es fácil conseguir
cifras precisas porque las compañías son renuentes a informar sobre los
incidentes. Este reducido nivel de reporte dificulta que los órganos
policiales puedan definir las tendencias y construir un caso que pueda
ser presentado ante el Congreso en busca de más recursos.
A
pesar de los pasos importantes que han dado las organizaciones
policiales para contratar a agentes y fiscales capacitados
tecnológicamente, el bajo nivel de reportes ha llevado a un dilema,
dijo Green a Security Management en una entrevista. "La gente no llama
al FBI porque cree que no hay suficientes agentes con conocimientos
para resolver los delitos que les afecta, así que los informes sobre
delitos cibernéticos siguen siendo bajos", dice. Y eso impide los
esfuerzos de la agencia para obtener fondos para entrenar a más agentes
en los conocimientos tecnológicos.
¿ Qué deben hacer las
compañías?. "Lo mejor es ponerse en contacto con la oficina local del
FBI", dice Green. O ellos dispondrán de equipos de protección de
infraestructura y contra la intrusión informática, que son expertos en
delitos informáticos, o tendrán alguien suficientemente capacitado para
hacer algo o para iniciar contacto con las personas apropiadas.
Green
puntualiza que hay algunos conceptos erróneos respecto a lo que sucede
cuando las víctimas llaman a las fuerzas del orden. Las compañías creen
que el FBI "se llevará todas sus computadoras y las devolverá seis
meses más tarde, después de que usted se retiró del negocio", dice.
En
realidad, conforme a Green, "si usted es la víctima de un delito, las
fuerzas del orden no van a destruir su negocio". Su meta es trabajar
con usted "para encontrar, en los registros, cuándo y de dónde provino
el ataque, quizás identificar la fuente y tomar pasos para desmontar la
bomba de tiempo sin destruir la evidencia".
Green alienta a las
compañías a que se presenten como testigos cuando sean víctimas de un
delito. Es la única forma para que la agencia obtenga pistas que en
última instancia puedan llevar a los arrestos. Es la clave para llegar
a la raíz del problema, dice, haciendo notar que, "a medida que los
agraviados informen a las fuerzas del orden y estos informes vayan en
aumento, eso ayudará a la disuasión". La CCIPS también espera
disuadir a los que quieran volverse piratas informáticos, antes de que
empiecen. "Una de las cosas más previsoras y dinámicas que hemos hecho
es asociarnos con la Asociación de Tecnología de la Información de
América en un programa de ética cibernética, para enseñar a los niños
el uso responsable de las computadoras", indica Green.
Como una
parte del programa, la CCIPS también está animando a los expertos en
computación del mundo de los negocios para que asistan a las escuelas y
les digan a los jóvenes entusiastas de la computación, que irrumpir
indebidamente en redes o sistemas informáticos no es bueno, que es
destructivo. "Tenemos que acercarnos a las personas durante su edad
formativa", dice Green, "y hacerles conocer que no toda la información
‘ansía estar libre’ y que esto no es inofensivo".
CHARLA TECNOLOGICA 07 Por Peter Piazza www.securitymanagement.com
¿ Vigilar la Web protege a su compañía?
En
la pizarra de mensajes de un popular sitio Web para la búsqueda de
trabajo fue colocada información altamente confidencial referida a los
ingresos de un importante banco de inversiones europeo, como eran los
planes de la compañía para despedir a un vendedor principal.
Afortunadamente para el banco, los anuncios no fueron descubiertos por
los medios de prensa financiera sino por una empresa que recorre la Web
buscando referencias a clientes que podrían dañar la reputación de la
corporación o revelar información sensible.
Nick Denton, Jefe
Ejecutivo de Moreover.com, quien alertó al banco sobre los anuncios,
dice que este incidente demuestra por qué las compañías necesitan hacer
seguimiento de la Internet. “Incluso ese único aviso en un millar que
da en el blanco y contiene información sensible y en general exacta,
puede costarle caro a la compañía” en reputación perdida o en negocios
perdidos, dice.
Ahora muchas compañías controlan la revelación
en línea de información sensible o los programas pirateados, dice
Jeffrey Morgan, abogado de Hale y Dorr. “Si usted está trabajando en un
proyecto sumamente secreto en un medio altamente competitivo y su
subsistencia depende de su propiedad intelectual, entonces tendría
sentido emplear los recursos (de la compañía)” para controlar la Web,
afirma.
“Hoy en día, no creo que haya una compañía que no
debiera vigilar la Internet”, dice Nancy Sells, vice presidenta de
eWatch Services, empresa de seguimiento de la Web. Esto es aplicable en
particular a las compañías que son de propiedad pública, dice, “debido
a las responsabilidades que tienen con los accionistas”.
Mary
Waller, gerente de relaciones públicas en la Web para el Banco de
América, dice que la compañía emplea eWatch para buscar el nombre del
banco o el símbolo bursátil de acciones en los grupos de noticias y
emplea un grupo dentro de la empresa para controlar las pizarras de
mensajes como Yahoo! Finanzas. Pero la compañía no observa la
información sólo desde una perspectiva de defensa. También se ve como
una herramienta que proporciona servicios de extensión. “Es una manera
de escuchar a nuestros clientes. Si hay muchas quejas respecto a algo,
podemos saberlo y hacer los ajustes o tratar los problemas”, dice.
Las
compañías que vigilan la Internet pueden localizar fallas con
anticipación, concuerda Andrew Shea, vice-presidente de la consultora
de gestión de crisis Nichols-Dezenhall. “Llevar el control de lo que se
está diciendo sobre una compañía es extremadamente importante, porque
mientras más pronto usted se de cuenta de lo que se dice sobre su
compañía, más tiempo tendrá para planificar una respuesta efectiva”,
afirma.
Las compañías que no le dan importancia pueden sufrir
las consecuencias. El año pasado, Intel ignoró la crítica proveniente
de la Internet sobre su nuevo microprocesador, sólo para retirarlo
posteriormente -a un costo de millones- después de que los problemas
fueron confirmados.
El seguimiento también puede identificar
otras amenazas, tales como inversionistas inescrupulosos que hacen
“subir y bajar” o que utilizan información falsa para inflar los
precios de las acciones y después venderlas con ganancias. En otros
casos, un competidor puede clandestinamente tratar de quitar el negocio
de una compañía al introducir rumores dañinos con respecto a un
producto.
Pero las compañías no deben perder la perspectiva
cuando reaccionen a los comentarios en línea sobre la compañía. “Los
altos ejecutivos son muy sensibles y tienden a reaccionar más de los
necesario”, dice la abogada Megan Gray de Baker & Hostetler, quien
ha representado a colocadores anónimos de avisos que fueron enjuiciados
por colocar comentarios negativos en las pizarras de mensajes para
inversionistas. Ella recomienda que se designe a un empleado para que
revise las pizarras o los informes de las compañías controladoras. “Eso
evita que los gerentes se obsesionen demasiado con los reclamos y
desvaríos de la gente que se concentra en algún aspecto de alguna
decisión administrativa”, dice. El departamento de relaciones públicas
de la Web del Banco de América actúa como un filtro, dice Weller,
elevando a la gerencia sólo los asuntos más importantes. Finalmente,
afirma Morgan, de Hale and Dorr, los altos ejecutivos deben recordar
Rapi-bytes
Prospera
el Fraude por la WebEl fraude con tarjetas de crédito en la Unión
Europea -en especial de las transacciones en línea- saltó el año
anterior a un 50 por ciento, estimándose en más de $ 550 millones las
ganancias criminales, según la Comisión Europea. La Comisión ha
propuesto un Plan de Acción para la Prevención del Fraude, que invoca a
los países a trabajar juntos para abordar el problema mediante la
tecnología, el intercambio de información, programas de entrenamiento,
y cooperación. @ Lea más sobre el plan en SM Online.
Protección
inalámbrica. La firma vendedora de antivirus Trend Micro está
ofreciendo programas gratuitos de protección contra virus para
instrumentos inalámbricos. PC-cillin, que está basado en el programa
antivirus para computadoras de escritorio de Trend Micro, protege
conocidos dispositivos manuales (incluyendo Palm OS y Pocket PC),
contra virus, scripts, caballos de Troya y gusanos. Aunque todavía no
están muy difundido los programas perjudiciales dirigidos contra
instrumentos portátiles, algunos ataques que tratan de probar ese
concepto y que se iniciaron el año pasado, indican que los intrusos
informáticos apuntarán cada vez más hacia las plataformas inalámbricas.
@ Proteja sus dispositivos inalámbricos a través de
www.securitymanagement.com
Decepción con las copias de
respaldo. Un estudio nacional reciente muestra que casi el 37 por
ciento de los usuarios de computadoras de trabajo nunca preparan copias
de respaldo de sus datos, y casi el 10 por ciento preparan respaldos no
más de una vez por mes.
La encuesta efectuado por Bruskin
Research para la Corporación Iomega también revela que casi uno de
cuatro usuarios de computadoras ha perdido información a causa de los
intrusos informáticos (hackers), virus, cortes de energía o fallas
eléctricas.
Se unen los luchadores contra el fraude.
La
Red Mundial de Prevención del Fraude contra el Comercio Electrónico
(Worldwide E-Commerce Fraud Prevention Network), una coalición que se
basa en comerciantes de más de 350 compañías que trabajan para reducir
el fraude en línea, ha lanzado un sitio en la Web para brindar
recomendaciones e información sobre la lucha contra el fraude. La Red,
fundada por compañías tales como American Express y Buy.com, alienta a
las empresas en línea para que adopten las mejores prácticas y la
tecnología antifraude.
Los artículos disponibles en el sitio
cubren una variedad de aspectos de la lucha contra el fraude, que
incluyen datos para dar seguridad a los servidores Web, reporte de
delitos en línea, y empleo de firmas digitales para prevenir los
fraudes. Hay consejos para consumidores sobre compras seguras que los
comerciantes pueden mostrar en sus sitios. El sitio también explica
cinco maneras de que los comerciantes pueden protegerse contra el
fraude cometido con tarjetas de crédito.
Primero, la
autorización en tiempo real por una compañía de tarjetas de crédito
asegura que la tarjeta no ha sido reportado como extraviada. Segundo,
se puede usar un sistema de verificación de la dirección, que compara
la dirección dada en el momento de la transacción con la dirección
existente en el archivo para esa tarjeta de crédito, puede ayudar a
identificar transacciones de riesgo. Tercero, es posible pedir un
código de verificación de la tarjeta (un número en la tarjeta de
crédito del comprador que no se imprime en los recibos) que pueda
validar que un cliente realmente posee la tarjeta que él o ella está
usando. Cuarto, los comerciantes pueden emplear programas informáticos
para detectar en base a reglas, en los cuales ellos definen un conjunto
de criterios (tales como números de tarjeta de crédito o direcciones de
despacho erróneos), contra los que se prueban las transacciones.
Quinto, se pueden usar programas de modelos estadísticos para analizar
bases de datos y calcular el riesgo de una transacción.
Ser
miembro de la Red es gratuito para cualquier organización que esté de
acuerdo en adherirse a sus principios de seguridad: la información de
la tarjeta de crédito debe estar codificada y/o con la contraseña
protegida; la transmisión de datos debe ser hecha en forma segura; el
acceso a datos sensibles debe ser estrechamente verificado; los
programas informáticos de seguridad deben mantenerse actualizados y las
barreras (firewalls) informáticas configuradas apropiadamente; el
tráfico en la Internet debe ser registrado; el sitio Web de la
organización debe ser controlado al menos diariamente; las bases de
datos de las empresas no deben estar conectadas directamente a la
Internet; y se debe notificar a los órganos policiales si se sospecha
un delito. Si se encuentra que los miembros no están cumpliendo se les
pedirá que incrementen la seguridad; si no cumplen, se les cancela la
membresía.
@ Averigüe más acerca de la red y las herramientas para combatir el fraude, dirigiendo su buscador a SM Online.
Arreglo gratuito de las vulnerabilidades de los programas informáticos
Uno
de los pilares para la protección efectiva de la información es la
identificación rutinaria de nuevas vulnerabilidades, seguida por las
contramedidas para sellar estas aberturas. Si bien esto suena bastante
simple, puede ser una verdadera molestia para las compañías que tienen
abundantes programas, considerando que cada mes son descubiertas
alrededor de un centenar de vulnerabilidades. Pero un servicio gratuito
del Instituto Nacional de Estándares y Tecnología (NIST) puede ayudar a
simplificar este proceso.
El Juego de Herramientas para
Categorización de Ataques por Internet (ICAT) permite que los
administradores de sistemas, organismos policiales, investigadores y
desarrolladores de programa busquen dentro de una lista de
vulnerabilidades, ingresando información sobre sus sistemas y programas
operativos.
La lista muestra después los resúmenes de todas
las vulnerabilidades que son aplicables a ese programa, comenzando con
las más peligrosas. (Se considera que una vulnerabilidad es de “alta
gravedad” si permite que un atacante del exterior tenga acceso a la
raíz de un sistema).
También se proporcionan enlaces para
información sobre la vulnerabilidad y las soluciones pertinentes. En
este momento, ICAT contiene más de 2,100 vulnerabilidades de los
programas informáticos.
Una herramienta complementaria llamada
Cassandra alivia el trabajo. Creada por el Centro de Educación e
Investigación sobre Aseguramiento y Seguridad de la Información
(CERIAS), Cassandra permite a los usuarios crear perfiles para archivo
de los servicios y aplicaciones que usan en sus redes. Periódicamente
busca nuevos ingresos en la base de datos del ICAT y envía mensajes
electrónicos a los usuarios cuando se descubren vulnerabilidades que
corresponden a sus perfiles.
@ Visite ICAT y Cassandra a través de www.securitymanagement.com .
Limpiando los derrames de datos
Las
compañías que tienen sitios en la Web necesitan elaborar una política
de privacidad para avisar a los visitantes si van a proteger y cómo, la
información de los visitantes que pueden recopilar. Sin embargo, la
formulación de esa política es sólo la mitad de la batalla; cumplir con
ella mientras el sitio cambia es la otra mitad. El primer paso es
entender las innumerables formas de que la información de los
visitantes podría escaparse de la página Web de la compañía -violando
potencialmente de este modo, la política sobre privacidad.
Las
revelaciones no intencionales de la información personal, denominadas
“derrames de datos”, pueden suceder cuando los visitantes activan el
enlace para un sitio externo. Los buscadores automáticamente comunican
al nuevo sitio del URL (la dirección de las páginas en la Internet) de
donde proviene el usuario, mostrando posiblemente información personal
que debió haberse conservado en forma privada. Por ejemplo el URL
podría contener un nombre, clave o dirección electrónica, o podría
comunicar información confidencial sobre intereses personales (tal como
www.medicalsite.com/menshealth/baldness )
Los avisos de
publicidad y otros objetos contenidos por un tercero también hacen que
el URL sea enviado a un sitio externo, lo que puede igualmente acabar
en una filtración de información que podría violar una política de
seguridad establecida. Ron Perry, Jefe Ejecutivo de IDecide, compañía
de privacidad por la Internet, afirma que esta clase de filtración de
datos se puede evitar fácilmente. “Si una página Web tiene un enlace
hacia un tercero o a un objeto cargado de un tercero, como una imagen o
“applet”, asegúrese que esa página no incluya información personal”
respecto a visitantes, dice.
La información personal también
puede quedar comprometida mediante el uso de bichos (“bugs”) en la Web.
Estas son imágenes muy pequeñas, del tamaño de un pixel (también
llamadas GIFs claras), que son invisibles para los visitantes. Cuando
se visita una página conteniendo un bicho Web (que está alojado en un
servidor diferente al de la página Web), el bicho envía información del
usuario, como su URL actual, al interesado -generalmente una empresa de
publicidad o mercadeo- que alberga el bicho. Los bichos también pueden
emplearse en el correo electrónico HTML, revelando información del
lector como su dirección IP (indicador numérico que identifica a cada
computadora en la Internet), lo que podría permitir a otros interesados
vincular una dirección de correo electrónico y una dirección IP, con un
perfil previamente compilado.
Otra manera en que se da la
filtración de información es a través de ciertos tipos de formularios
Web usados para reunir información personal. Los formularios que
utilizan el método de codificación HTML “Get” adjuntan el contenido del
formulario al URL de la página resultado (por ejemplo, si Juan registra
en un formulario su nombre y edad, el URL de la página resultado podría
leerse www.medicalsite.com/get.cgi?name=juan&age=22 ). Si la página
resultado contiene objetos o enlaces a terceras partes interesadas,
esas terceras partes podrían recibir toda la información que está en el
formulario, produciéndose un derrame de información -y posiblemente una
violación de una política de privacidad. Los formularios que utilizan
el método de codificación “Post”, codifican los datos y no revelan nada
de información del formulario (con lo que el URL resultante para el
ejemplo previo podría decir ). El representante de IDecide, Ron Perry,
dice que este es el método que se recomienda cuando se recoge
información sensible.
El recomienda que se capacite a los
programadores respecto a los peligros contra la privacidad que son
planteados por los “bichos” en la Web y por los formularios
inadecuadamente codificados.
Asimismo, “las páginas Web
cambian constantemente, así que las compañías tienen que verificar sus
sitios Web en forma regular”, para asegurarse que siguen cumpliendo con
la privacidad. @ Lea en SM Online más consejos para el cumplimiento de las políticas de privacidad.
Oigan muchachos, ¿quieren un caramelo?
Todos
saben que no se deben abrir los mensajes de correo electrónico que
tienen archivos ejecutables, como aquellos que terminan en .exe,
incluso si esos anexos vienen de un amigo. Sin embargo, el predominio
continuado de virus, sea que prometa un mensaje como “I love you” o una
foto de Anna Kournikova, demuestra que lo que todos conocen y lo que
todos hacen son dos asuntos totalmente diferentes
Una encuesta
reciente de los usuarios de computadoras en el Reino Unido, auspiciado
por MessageLabs, que se especializa en depurar mensajes por correo
electrónico en búsqueda de virus, mensajes no solicitados y otro
contenido malicioso o inapropiado, muestra que todavía falta que se
aprendan algunas de las lecciones básicas de seguridad. Casi la mitad
de las 150 personas participantes en el estudio dijeron que abrirían un
mensaje electrónico titulado “Great Joke” (Estupenda broma), “Look at
this” (Mire esto) o “Re: message” (Referencia: mensaje).
Más de
un tercio de quienes respondieron afirmaron que abrirían un mensaje
electrónico titulado “I love you” (Te amo) si lo recibiesen de una
fuente conocida en el Día de San Valentín. Eso es riesgoso porque la
mayoría de los virus envían automáticamente copias de sí mismos a todos
los que están en un libro de direcciones, asegurándose que el nombre en
el casillero “De” sea probablemente conocido e incluso digno de
confianza.
Se encontró que el 84 por ciento de las PCs de los
entrevistados tenían programas anti-virus. Sin embargo, más de la
tercera parte de la gente responsable de mejorar su programa anti-virus
lo hizo sólo una vez al mes, y casi la cuarta parte actualizó su
programa cuatro veces al año o menos -lo que es apenas adecuado cuando
nuevos virus están apareciendo casi todos los días.
@ Lea el reporte completo a través de SM Online.
La Policía de Hong Kong tras el delito cibernético Aunque
los usuarios de la Internet en Hong Kong se han incrementado en 300 por
ciento en los últimos dos años, los delitos informáticos sólo
aumentaron 9 por ciento el año pasado, luego del brusco aumento del año
anterior. Sin embargo, los delitos se están volviendo más técnicos y
complicados, especialmente los que involucran la Internet, de acuerdo a
la Sección de Delitos Informáticos de la CCB (Oficina de Delitos
Comerciales), a cargo de investigar los ciberdelitos.
Raymond
Lau Chi-keung, superintendente mayor de la CCB, dijo que los 380 casos
de delitos informáticos investigados el año pasado implicaron
piratería, fraude, obscenidad, y daño criminal. El considera que el
aumento relativamente lento del delito cibernético se debe al trabajo
efectuado en la prevención y concientización.
“Los agentes han
estado visitando las escuelas para elevar la conciencia sobre los
delitos informáticos”, dice “y han dado seminarios en el Ministerio de
Justicia y en las cortes judiciales para mantener al día a los fiscales
y jueces respecto a las últimas tendencias del delito contra la TI
(Tecnología de la Información)”. En Hong Kong este tipo de delito puede
acarrear sentencias hasta de 10 años en prisión.
Están en
preparación los planes para ampliar la sección, crear un laboratorio
forense para delitos informáticos, e incrementar el entrenamiento de
los agentes.
¿ Le agobia la “Fasgrolia”?
Si una
interminable corriente de fasgrolia le tiene confundido, un diccionario
de términos de la Internet preparado por SmartComputing .com puede ser
de ayuda. “Fasgrolia” o el aumento constante en el lenguaje de siglas
de Internet, como HTTP, DNS y C2C, es sólo uno de los muchos términos
que se definen. Se incluyen otros como “emailingerers”, que son los
empleados que parecen estar ocupados en el trabajo al escribir montones
de mensajes electrónicos personales y navegar en la Web; “internesia”,
cuando usted ha encontrado un estupendo sitio Web pero simplemente no
se puede acordar dónde, y “moved to Atlanta” (mudado a Atlanta), que es
una referencia a los errores 404, Archivos no Encontrados, que quedan
cuando desaparecen páginas Web (404 es el código de área de Atlanta).
@ Averigüe cómo evitar “cornea gumbo” y “drownloading” visitando www.securitymanagement.com
CHARLA TECNOLOGICA 08 Por Peter Piazza www.securitymanagement.com
Los eslabones débiles en la cadena de seguridad
Más
de un millón de tarjetas de crédito fueron robadas de los sitios
dedicados al comercio electrónico y a la banca electrónica en por lo
menos 20 estados, anunció en marzo el Centro Nacional de Protección de
Infraestructura (NIPC) del FBI.
Los piratas informáticos
(hackers) daban a conocer sus vulnerabilidades a las compañías y
exigían dinero-hasta $ 100,000-o ellos se aprovecharían de esas
aberturas y robarían la información de las tarjetas de crédito. Aunque
muchas compañías pagaron, los números de las tarjetas de crédito fueron
distribuidos de todos modos. Pero los expertos afirman que los robos
pudieron haberse prevenido, ya que las artimañas empleadas para tener
acceso a los sistemas, eran bien conocidas y fáciles de arreglar con un
programa corrector (patch).
Allan Paller, director de
investigación del Instituto de Administración de Sistemas, Uso de Redes
y Seguridad (SANS), afirma: “La primera vulnerabilidad (del aviso del
NIPC) era el número cuatro en la lista del SANS de las 10 primeras
amenazas de seguridad por Internet que publicamos con el FBI en junio
último. Las personas aún no prestan mucha atención”. Esa
vulnerabilidad, que permite el acceso no autorizado a los servidores
Microsoft IIS, fue descubierta inicialmente en 1998, cuando Microsoft
describió la artimaña y distribuyó un programa corrector contra ella.
Grupos
organizados de piratas informáticos en Rusia y Ucrania usaron cuatro
vulnerabilidades dirigidas a servidores que emplean el programa IIS,
para obtener acceso a los sistemas. Dos de ellas están relacionadas con
el Lenguaje Estructurado de Interrogación (SQL), el cual se usa para
disponer que una base de datos busque información. Chris Wysopal,
director de investigación y desarrollo en @Stake, una compañía de
seguridad de Internet, afirma que algunos investigadores creen
erróneamente que los programas cortafuegos (firewalls) son adecuados
para proteger las redes contra los intrusos. “Un cortafuegos no le da
suficiente protección”, dice, “debido a todas las vulnerabilidades que
se pueden alcanzar a través del enlace con Internet que los cortafuegos
tienen que dejar pasar. El cortafuegos no sirve para nada en problemas
de nivel aplicativo como son los problemas con el IIS o el servidor
SQL”, un sistema de administración de bases de datos.
La
primera línea de protección, dicen los expertos, es fortalecer los
sistemas contra los piratas. Paller dice que algunas vulnerabilidades
son “creadas por el programador que no examina el aporte de datos de
una expresión SQL en particular, para ver si personas con malas
intenciones pueden enviar caracteres especiales a través del SQL”,
posiblemente permitiendo que los intrusos cometan acciones no
autorizadas contra el servidor o la base de datos. Arreglar estos
problemas durante la etapa de programación creará un sistema más
fuerte, dice.
Lo siguiente es que los administradores de
sistemas deben instalar rutinariamente programas correctores, una
obligación que muchos no están cumpliendo, dice Wysopal. “Algunas
grandes compañías de conexión con la Web dicen que instalan estos
ajustes cada seis meses, lo que significa una falta total de sentido”,
indica. Las compañías necesitan un proceso “para asegurar que todos los
sistemas vulnerables se corrijan en un período de tiempo razonable,
diría en un par de días”, menciona. En la Internet (vea Charla
Tecnológica, “Arreglos gratuitos de vulnerabilidades en los programas”,
mayo 2001) puede hallar información filtrada y disponible respecto a
vulnerabilidades y programas correctores, y también servicios
profesionales.
Aunque los expertos están de acuerdo en que la
información sensible, como los números de las tarjetas de crédito,
debería ser encriptada (como exige Visa a sus comerciantes) o no ser
guardada de ningún modo, eso claramente no se realiza, dicen “Calculo
que el 98 por ciento de toda la información de las tarjetas de crédito
que se conserva en estos sistemas, no está encriptada”, afirma. Pero
muchas empresas no parecen tener voluntad para cambiar la facilidad de
uso del consumidor por una ganancia en la seguridad, dice Wysopal. “Las
empresas no quieren que los clientes tengan que escribir los datos de
la tarjeta de crédito la siguiente vez que efectúen una visita”.
@
Lea los avisos del NIPC y la Lista de las Diez Primeras Amenazas de
Seguridad en la Internet, preparada por el SANS, a través de SM Online.
Rapi-bytes
Hechos sobre los Fraudes. El Centro de
Quejas de Fraude por Internet (IFCC) hace poco emitió un informe
detallando sus primeros seis meses de operación. El IFCC, que es una
asociación del FBI y el Centro Nacional de Delitos Administrativos, ha
registrado más de 20,000 quejas, de las cuales 6,087 se trasladaron a
organismos policiales en todo el país. Más de la mitad de los reclamos
estaban relacionados al fraude cometido en las subastas; dos tercios
representaron pérdidas menores de $ 1,000. California estuvo a la
cabeza tanto en quejas como en criminales.
@ Lea el informe completo visitando www.securitymanagement.com
Normas
biométricas. El Comité de Normas Acreditadas X9 , perteneciente a la
Asociación Americana de Banqueros, el órgano encargado de establecer
normas para la industria financiera, ha emitido unas nuevas pautas para
el uso de la biometría en esa industria.
Detalla los
requisitos para administrar y proteger datos biométricos e identifica
las técnicas para asegurar la privacidad y la integridad de la
información biométrica. Desarrollado en conjunto con diversos grupos
biométricos, la nueva norma podría ser eventualmente usada por otros
sectores, como el de atención de salud, en donde se están considerando
los sistemas biométricos.
@ Para mayor información sobre las normas, visite SM Online.
Encuesta
de seguridad. Las pérdidas financieras debidas a las penetraciones en
las computadoras saltaron en cerca del 40 por ciento en relación con el
año pasado, de acuerdo a la Encuesta sobre Delitos y Seguridad
Informática, que conducen anualmente el Instituto de Seguridad
Informática y el FBI. De las 538 compañías encuestadas, no menos del 85
por ciento detectaron penetraciones de seguridad durante el año pasado,
con un 70 por ciento de los ataques proviniendo de la Internet. El
abuso de la Internet por los empleados fue detectado por el 91 por
ciento de los entrevistados, con empleados bajando pornografía,
pirateando programas o empleando el correo electrónico de la compañía
para uso personal.
@ Aprenda más acerca del informe en www.securitymanagement.com
Texto sobre IDS
El
Instituto Nacional de Estándares y Tecnología (NIST) ha lanzado una
Publicación Especial sobre Sistemas de Detección de Intrusos (IDS). En
términos claros y fáciles de comprender, el informe trata sobre las
razones para usar un IDS, los tipos de sistemas que están disponibles,
los métodos para configurar un IDS, y las formas más comunes de ataque
contra las computadoras.
Según Peter Mell, empleado del NIST y
uno de los autores, “el informe es un texto inicial para gente que no
sabe mucho respecto a sistemas de detección de intrusos y que quisiera
familiarizarse con ellos”.
Además de explicar los cómo y por
qué de la detección de intrusos, “el informe ayuda (a los usuarios) a
evitar alguna campaña publicitaria que pueda estar llevando a error”,
dice Mell. A todas las compañías de IDS les agrada pintar sus productos
de la mejor manera posible y al hacerlo sus encargados de mercadeo son
un poco más ambiciosos de lo necesario”. Mell menciona que el informe
del NIST ha tratado de ofrecer una opinión imparcial de lo que es-y no
es-realístico esperar de un IDS.
Al momento de escribir el
presente artículo, el informe estaba disponible en borrador, y Mell
dice que sufrirá ligeras revisiones como resultado de los comentarios
recibidos de varias agencias y organizaciones del gobierno. Finalmente
será presentado al gobierno federal como una guía para la seguridad
informática, aunque podría aplicarse a cualquier clase de industria o
negocio que tenga presencia en la Web.
@ Lea el informe completo a través de SM Online. Las filtraciones económicas pueden hundir un negocio ¿
Cuánto les cuesta a las compañías cada año la pérdida de propiedad
intelectual, información propia y otros intangibles? Por lo menos 5.57
por ciento de sus ingresos totales anuales, de acuerdo a un reciente
estudio.
Frank J. Bernhard, director gerente del area de la
cadena de abastecimiento y telecomunicaciones del Grupo de Consultoría
OMNI, que encabezó el estudio, dice que tal cantidad podría ser mucho
mayor, dependiendo del tamaño de la compañía y de la naturaleza de la
compañía. Y en un caso como la reciente intrusión informática en
Microsoft, en donde fue potencialmente observado el código fuente de
futuros productos, el costo puede ser incalculable.
El
estudio, iniciado en junio pasado, fue subvencionado por una donación
de un grupo de clientes de OMNI para su uso interno. Se estudiaron más
de 3,100 compañías con ingresos que van desde $ 10 millones hasta $ 73
mil millones, desde Norte América y Europa de un amplio espectro de
industrias técnicas y no técnicas, mediante encuestas y entrevistas
profundas con múltiples ejecutivos de cada compañía, junto con datos de
fuentes como el FBI y la Oficina de Análisis Económico del Departamento
de Comercio.
Los enormes y crecientes costos para las empresas
que el estudio reveló tienen diversas causas, dice Bernhard. Pero es
generalmente la Internet la principal culpable del aumento de la
“filtración económica”.
“Existe un dicho ‘Si lo construimos,
ellos vendrán’. Bueno, ellos vinieron y se están yendo con mucho más de
lo que esperaban”, dice.
Un creciente número de trabajadores
móviles y el aumento de la dependencia de las redes informáticas y
sistemas de información, son también responsables de la desaparición de
la propiedad intelectual, afirma Bernhard.
Pero las empresas
tienen la culpa principal por no crear una escala de seguridad que
corresponda a lo que ellos están tratando de hacer, sea como una
presencia física o en la Web”, dice Bernhard. “Las compañías no han
exhibido una política o autoridad sobre el trato de la propiedad
intelectual y la seguridad”, dice “así que necesitan tener en cuenta el
manejo de su política en relación con los recursos de la organización,
aun antes de considerar la tecnología”.
A continuación,
Bernhard indica que las compañías necesitan entender su sistema de
riesgos y compensación para los empleados. Si la propiedad intelectual
y los datos sobre clientes son las joyas de la corona en una compañía,
las empresas necesitan compensar a los empleados por proteger esas
joyas. La encuesta también reveló “una demanda creciente por la
autenticación”, dice Bernhard. Pero cumplir con esa exigencia puede ser
difícil. Aunque muchas tecnologías de autenticación, como los
certificados digitales, se están usando cada vez más, una reciente
advertencia de la autoridad certificadora VeriSign de que en nombre de
Microsoft había emitido erróneamente certificados a unos estafadores,
subraya el punto de Bernhard. (Vea la historia que sigue).
Confíe, pero verifique
La
autoridad certificadora VeriSign anunció en marzo que casi dos meses
antes había expedido dos certificados digitales a alguien que se hizo
pasar como un empleado de Microsoft. VeriSign atribuyó la emisión a un
error humano y no dio más detalles sobre cómo fue burlado el proceso de
validación de la compañía ( el cual exige que se haga una detallada
investigación de la autorización de un solicitante para pedir un
certificado), mientras se realiza la investigación policial. Aunque
este tipo de error puede ser raro, el impacto pudo haber sido mitigado
si las listas de revocación de certificados (CRL) fuesen verificadas en
forma automática por programas aplicativos.
Estos certificados
digitales incluyen un par de llaves que permite que el titular encripte
los datos o muestre la prueba del origen y de la autenticidad de los
datos para los documentos que se han enviado con ellos. Son empleados
para firmar los programas digitalmente, de tal manera que quien recibe
sabe que los programas provienen de una fuente confiable y son seguros
si son activados. Los certificados obtenidos en forma fraudulenta
podrían ser usados por un atacante para engañar a los usuarios y
hacerlos usar un programa que no es seguro. Microsoft ha emitido una
actualización que instala una CRL en donde aparecen los dos
certificados falsos, de modo que un usuario que encuentre un programa
firmado por cualquiera de los certificados verá que ellos han sido
anulados. La actualización también pone en funcionamiento la función
verificadora de CRL en el Internet Explorer para buscar los
certificados de las editoriales de software.
“Hay cosas que se
pudieron haber hecho antes que hubieran evitado que esto fuese un
problema”, dice Shawn Hernan, miembro del personal técnico de CERT. “En
el pasado Microsoft ha escogido no habilitar las características que
hubieran verificado automáticamente los certificados anulados, aunque
“ésa no tiene toda la culpa. Eso es lo que el público ha estado
exigiendo, un acceso fácil de usar y simple, sin obstáculos, para sus
sitios favoritos.”
Mahi de Silva, vicepresidente y gerente
general de servicios confiables de VeriSign, dice que existen otras
razones por las cuales la verificación automática de CRL no ha sido
popular. “Usted tiene la posibilidad que la CRL sea grande y podrían
existir algunos problemas de retrasos en la red informática cuando el
sistema trata de recuperarla”, afirma. “Asimismo, hay desarrolladores
de aplicaciones que están preocupados sobre lo que esto significa desde
la perspectiva del ancho de banda”.
A pesar de estas
preocupaciones, de Silva dice que la verificación automática de CRL se
convertirá en algo más extendido. “Toda la infraestructura para la PKI
(infraestructura de llaves públicas) observará esto y dirá ‘Esto es
algo que necesitamos efectuar para hacer al sistema aún mejor de lo que
es hoy’”.
Hernan está de acuerdo que la industria de los
programas informáticos puede responder al desafío. “Estoy seguro que la
comunidad (de TI) podría responder para desarrollar soluciones
inteligentes para hacerla funcionar con una rapidez aceptable”,
menciona, “Confío que la verificación de las CRL en forma rápida y a
alta velocidad será uno de los resultados de esto”.
@ Lea el Boletín de Seguridad de Microsoft a través de SM Online.
Leyes del comercio electrónico en línea
La
Organización de Cooperación y Desarrollo Económico (OCDE) ha preparado
un documento con una visión general de las actuales leyes de protección
del consumidor y del comercio equitativo, mercadeo justo y requisitos
para revelar información aplicados al comercio electrónico en los
países miembros de la OCDE, incluyendo a los Estados Unidos, la Unión
Europea, Australia y el Japón.
De acuerdo a la introducción
hecha por la Secretaría de la OCDE, “El inventario servirá como el
punto de partida para reunir e intercambiar información, mientras las
políticas e iniciativas del gobierno y del sector privado relativas al
consumidor, son revisadas, formuladas y aplicadas en línea”.
Los
hipervínculos en las notas de pie de página del documento conducen a
los correspondientes sitios Web del gobierno, en donde los lectores
pueden hallar más información detallada.
@ Lea el documento completo de la OECD a través de SM Online.
Seguridad de la información amenaza a abogados
Aunque
cualquier tipo de empresa puede ser amenazada por intrusos informáticos
y virus, algunos expertos afirman que los abogados se convertirán en
blancos atractivos en forma creciente. “La mayoría de abogados con los
que nos hemos topado no son extremadamente concientes de la seguridad,
y hemos observado muchos casos en los que los abogados han sido el
blanco directo”, menciona Neal O’Farrell, CEO de Hackacademia, compañía
de entrenamiento de seguridad en la Internet.
Los abogados
enfrentan algunas responsabilidades singulares de, y desafíos a, la
protección de información confidencial. “Los abogados están encargados
de conservar segura la información confidencial de sus clientes, y esa
información con frecuencia es crítica para los clientes”, dice Jim
Calloway, director del Programa de Apoyo Gerencial del Colegio de
Abogados de Oklahoma, que brinda asesoría técnica y administrativa a
los abogados. “Un abogado que trabaja en un caso penal podría poseer
información que puede incriminar al cliente si se hace pública, de modo
que tenemos la elevada obligación de proteger la información”. Revelar
información sin tener motivo podría llevar a una demanda por conducta
ilegal en el ejercicio de la profesión o a medidas disciplinarias por
parte de las autoridades que otorgan las licencias de abogado, agrega.
En
una firma pequeña, a veces la seguridad es responsabilidad de una
persona que no tiene entrenamiento, explica el abogado Bruce Dorner.
“Yo soy un abogado solo, así que yo soy el departamento de TI
(Tecnología de la Información)”, afirma. Las firmas más grandes
enfocan la seguridad de la información en forma muy similar a la de las
grandes corporaciones. Jo Haraf es funcionaria jefa de tecnología de
Morrison & Foerster, una firma legal con más de 1,000 abogados
alrededor del mundo. “Sospecho que nuestra seguridad que se basa en un
servidor y en una red informática es casi la misma que poseen todos los
otros [en el mundo corporativo]”, dice, incluyendo programas
cortafuegos, programas antivirus y candados para evitar que se roben o
se pierdan las computadoras portátiles.
Pero aun cuando los
abogados tienen conocimientos tecnológicos, es posible que la
información no esté segura. “Una razón por la que la encriptación no es
usada rutinariamente por las oficinas de abogados no es que los
abogados no tengan la voluntad de hacerlo, sino que los clientes no
desean tratar con ella”, a pesar de que la información confidencial
pertenece al cliente, dice Calloway. “Esa decisión la toma el cliente,
aunque el abogado necesita asegurarse de que el cliente entiende
claramente los riesgos que esto involucra”.
Al igual que en el
mundo del comercio electrónico, no hay una norma mínima clara para
proteger la información digital. “El Colegio Americano de Abogados
(ABA) puede publicar reglas modelo o pautas sobre el uso de la
tecnología”, dice David Whelan, director del Centro de Recursos de
Tecnología Legal del ABA, “pero no podríamos exigir el cumplimiento de
esas pautas”. Cualquiera que sean las normas, afirma, tendrían que
provenir directamente de los estados, que son los que dan las licencias
a los abogados.
Prácticas importantes en el transporte de caudales (2434 palabras en este texto) (leído: 297 veces)
En un primer articulo hacíamos mención a algunas prácticas importantes para la preparación de un hombre que cumple funciones destinadas al transporte de valores y su custodia, hoy trataremos de ahondar un poco más en esas consideraciones a los efectos de clarificar algunos aspectos. Si bien aquí dejamos expresado que esto es importante para el personal destinado al transporte y custodia de valores es aplicable a todos los estamentos de la seguridad.
El tiempo y la experiencia nos da que las mejores medidas que debe tomar un hombre de seguridad, se basan en la prevención, la observación y la disuasión, y por último la reacción. Para que estas etapas se cumplan el hombre deberá estar bien capacitado, por lo cual la capacitación, es la herramienta fundamental en esta empresa para llegar a un buen puerto.
Aquí podremos estar de acuerdo con esto que expresamos seguidamente:
*Personal entrenado en forma deficiente, difícilmente puede realizar tareas de prevención u observación, disuasión y reacción o tareas de seguridad. De nada vale contar con equipos y tecnología de avanzada, si los portadores o usuarios de los mismos, carecen de la formación o capacitación necesaria para utilizarla.
Como decimos siempre el hombre de seguridad debe estar preparado física, psíquica, técnica y jurídicamente para ahondar en estos temas veremos él porque de este orden que si bien parece estar dispuesto en forma caprichosa, tiene su fundamento en razones fundadas en la forma de operar de la delincuencia.
En si cuando tratamos de definir el modo de operar del delito cualquiera que fuera sus formas, no pretendemos desarrollar el modus operandi de las distintas bandas que en cada territorio puedan operar, nos referimos a la esencia del delito, al cual algunos profesionales de la seguridad denominan cuadrado del delito.
Cuadrado del delito
MOTIVO O TENTACIÓN
OCUPAR MENOR OPORTUNIDAD DE
TIEMPO SORPRENDER.
CORRER EL MENOR RIESGO.
Aquí y no en forma caprichosa vemos la esencia del cualquier tipo de delito, cualquiera fuera la instancia que tuviere. De esta manera como contrapartida debe oponer cuatro barreras o medidas para desalentar, minimizar, hacer desistir al delincuente en su intento. Las mismas son las que enunciamos en primera instancia prevención, observación, disuasión y por último la reacción. Así entendemos y pretendemos en nuestra empresa, que los hombres que realizan la tarea en el transporte de valores, lo entiendan y apliquen a los efectos de minimizar los riesgos, personales, corporativos y de terceros.
Si se me permite la expresión: ante una acción una reacción. Para graficarlo de alguna manera.
Si bien dimos forma a lo que pretendemos de nuestros hombres de seguridad, debemos cuidar además aspectos fundamentales los cuales son: físico. Como decíamos en nuestro primer articulo es importante no solo por los largos tiempos en que permanece dentro de la unidad, sino por el mismo hecho de que la delincuencia aprovecha estas falencias en la preparación física como factor clave para la comisión del delito.
No es lo mismo enfrentar a una persona en buen estado físico que a aquélla que no le da el verdadero valor de seguridad que significa tener un buen estado.
En el tiempo que llevo en la actividad, la mayoría de los delincuentes que tuve la posibilidad de observar, tiene un estado óptimo en lo referente al físico como contrapartida ví muchos hombres pertenecientes a la seguridad privada como publica fuera de estado, en muchos de los casos hasta podríamos decir obesos.
Cuando decíamos que el hombre debe estar preparado en forma física, también hacíamos mención a una buena preparación técnica.
Aquí nos vamos detener para ampliar sobre este tema en particular.
Cuando decimos en forma técnica, estamos ahondado no solo en las distintas técnicas de prevención de seguridad, en los nuevos dispositivos GPS etc., en la tecnología, sino también nos referimos a los medios con los cuales cuenta el hombre de seguridad en el transporte de valores para realizar su actividad y esto nos lleva a ver desde su equipo de protección individual, su armamento, su equipo de comunicaciones, sus municiones, como a la preparación de sus habilidades técnicas para el uso de estos elementos.
Mucho podríamos decir pero quiero llamar su atención a un punto en lo que se refiere a lo que sucede en el hombre en una situación de enfrentamiento y muchos no dice, aquí es donde la carga de capacitación debe aplicar el mayor esfuerzo no solo para beneficio del hombre, la organización sino sobre terceros, en este punto no podemos escatimar esfuerzos en horas de capacitación ni técnicas, y fundamentalmente además de lo expresado el hombre que porta un arma debe saber mediante la capacitación, que sucede en él durante un enfrentamiento, lo que algunos estudiosos llaman Súper estrés, no podemos estar ajenos a decir y capacitar a nuestro hombre en técnicas para superar esta limitación propia del ser humano, no solo llevarlo a un polígono, enseñarle todo sobre leyes, creo que esta capacitación toma vital importancia. Ante la cierta posibilidad de un enfrentamiento nuestro hombre debe conocer que cosas suceden en su organismo, es llevarlo a que aprenda que no solo tiene que luchar para defender su vida, sino que también deba luchar con las propias limitaciones que generan su cuerpo ante una situación de extremo peligro. Algunas de las cuales destacamos aquí:
Deformación de la visión
1. Dilatación de pupilas, imposibilidad de enfocar a mas de 1,50 metros, lo que hace imposible también enfocar nuestros aparatos de puntería.
Deterioro de habilidades motoras
1. se hace imposible ante un enfrentamiento manejar nuestras propias manos, las mismas incrementan su peso al máximo, nos pesan una enormidad, lo que nos resulta fácil de realizar en situaciones normales, como levantar nuestra mano, sacar un cigarrillo de su atado, encenderlo, son casi imposibles de realizar, imagínese hacer el recambio del cargador. 2. Se pierde la habilidad entre la mano y nuestra visión. Las acciones más simples se hacen complejas en este tipo de situaciones.
Necesidades fisiológicas incontrolables
1. Acciones involuntarias de los conductos de orina y material fecal.
Alucinaciones
1. Mezcla de la realidad con la ficción.
Imposibilidad de hablar correctamente
1. En virtud de los hechos que vivimos nuestra mente reacciona mucho más rápido de lo que podemos articular.
Llanto incontrolable
1. Comprendemos nuestra mortalidad.
Dolores de estómago, vómitos, náuseas, temblores y escalofríos.
También debemos considerar que ante estas situaciones se pierde la noción de recordar los acontecimientos de los hechos por secuencias. Se tardarán horas o días, para poder recobrar la información de los hechos.
Nuestro cerebro tarda más tiempo en tomar decisiones bajo estas situaciones.
Se centra el poder auditivo en la situación que se vive descartando los otros sonidos, se produce una exclusión.
Se pierde la percepción de la profundidad, es como si se reflejara la imagen en un espejo.
Tomamos conciencia y comenzamos a preocuparnos por la palabra muerte.
Se pierde la percepción del color, se ve como una película en blanco y negro.
Los movimientos nos parecen que se realizaran en cámara lenta, se centra la tensión a un solo objetivo, descuidando el entorno, se produce el efecto túnel.
No podemos creer que nos está sucediendo eso a nosotros, efecto de negación. Incredulidad, confusión.
Todo esto conforma parte de la capacitación de nuestro hombre de seguridad lo cual es muy necesario para aquellos que diariamente conviven con la posibilidad de un enfrentamiento armado, muchos capacitadores, centran su atención a técnicas referentes a extracción del arma, uso de la misma, tiro de reacción, etc. Si bien es válido y necesario, debemos proveer también este tipo de capacitación a nuestros hombres para que conozcan a lo que se enfrentan no solo es un delincuente armado, sino también a sus propias limitaciones.
De nosotros depende en gran medida brindarle al hombre de seguridad las armas necesarias para su trabajo y no todas necesariamente pasan por una pistola, sino también por el conocimiento.
Para lo cual tomo una máxima de la pagina www.tirotáctico.com del excelente profesional Juan Carlos Ferryera: por todo lo expuesto deberemos considerar que la mejor forma de sobrevivir a un enfrentamiento armado sigue siendo una e incontrastable, evítelo siempre que pueda y entrene para vencer. Potencie su intelecto.
Fin del articulo
Recuerde!...Ningún arma por sofisticada que sea dará supremacía en un enfrentamiento sin preparación mental,física y técnica...Entonces?...Desarrolle el arma mas poderosa...Su intelecto!... Visite www.tirotactico.com
