Hosting Gratis Unlugar.com
Hosting - Registro .Com - Hosting Gratis - Barrio Privado - Mail List - Clasificados Gratis
Promo Hosting Unlugar.com
 

Indice  

Gerencia de seguridad.
April 25 2004 at 12:11 PM
 
Forum Owner


AutorReply


Forum Owner
Está protegido su Ejecutivo ?April 27 2004, 2:54 PM 

Está protegido su Ejecutivo ? February 26 2004, 10:30 PM 

Por Anthony Nichter, CPP

Las luces de neón de los casinos cercanos se reflejaban en el parabrisas del lujoso auto Lincoln que se iba acercando y en la brillante limosina que lo seguía. El auto se desvió pegándose a la orilla de la acera, paró y dos guardaespaldas corpulentos usando trajes y lentes oscuros bajaron. La limosina los alcanzó y de ésta emergieron tres hombres más.

Una multitud de curiosos iba creciendo y obstruyendo la entrada al hotel. Cuando un distinguido hombre mayor y una mujer mucho más joven bajaron de la limosina, inmediatamente fueron rodeados por los cinco guardaespaldas. Con el agente líder gritando para abrir paso entre la multitud, la escolta avanzó hacia la entrada. Los espectadores murmuraban acerca de la identidad de la pareja y los destellos de las cámaras se encendían. Para necesitar tanta seguridad, obviamente eran “alguien”. La escolta se abrió paso por el piso donde estaba el casino hacia un restaurante de cuatro estrellas. La pareja fue ubicada en un lugar apartado en la parte posterior. Dos guardaespaldas ocuparon sus posiciones delante de su apartado; uno se quedó parado junto al mostrador de atención y los dos restantes esperaron afuera. Pero en pocos momentos, a pesar de toda esta protección, la pareja VIP y dos de sus guardaespaldas fueron asesinados. Yo los maté.

Este incidente fue, afortunadamente, sólo un ejercicio. Desgraciadamente, refleja de manera precisa las prácticas deficientes de algunos que forman parte del personal de protección de ejecutivos. Debido a que dan la apariencia de una sólida protección, con frecuencia sus errores pasan desapercibidos hasta ser demasiado tarde.

Existe un dicho en ciertos círculos de seguridad: “Algo de entrenamiento es mejor que nada de entrenamiento.” Los VIPs “asesinados” y sus guardias son la prueba de la ridiculez de esa filosofía, sobre todo cuando se trata de la protección de ejecutivos. Los individuos que han sido mal escogidos y entrenados pueden crear la peligrosa ilusión de seguridad. Pero, ¿cómo puede saber una empresa que busca protección para sus ejecutivos, si está contratando a agentes profesionales? Por no dejar la vida de sus altos ejecutivos en manos no calificadas, las empresas que buscan proteger a sus altos ejecutivos deben investigar exhaustivamente el entrenamiento y la experiencia previa de los agentes por contratar. Entre los pasos que deben seguir están: verificar la fuente, revisar las credenciales, examinar puntos específicos de entrenamiento, comprender la actitud mental, saber si trabajan medio tiempo, determinar sus condiciones físicas, realizar entrevistas, revisar referencias y hacer una revisión posterior de los ejercicios.


Revisar la fuente

Al escoger un servicio contratado, la primera pregunta que el cliente debe formular es si el proveedor proporcionará los agentes para protección de ejecutivos o los va a subcontratar de otra empresa. Por ejemplo, es común que en sus avisos las compañías de agentes de seguridad ofrezcan servicios para protección de ejecutivos, cuando no cuentan con personal propio entrenado en ese campo. La investigación revela que los agentes son prestados por otras compañías que realizan trabajos de protección de ejecutivos. Este tipo de compañía de agentes de seguridad actúa como frente, como intermediario de una especialidad que ella no puede proporcionar.

El intermediario agrega una capa entre el cliente y la fuente (la subcontratista), que puede hacer más difícil asegurar la calidad. Si una empresa decide hacer uso de un intermediario, debe insistir en la documentación de la fuente que especificará los niveles de entrenamiento y la experiencia de los individuos en particular a los que se les asignará el puesto. Pero cuando es posible, es mejor negociar directamente con los proveedores y verificarlos personalmente.


Verificar las credenciales

Luego de confirmar que el contratista de seguridad utiliza su propio personal, la empresa deberá pedir el currículum de cada agente que se encargará de proteger a sus ejecutivos. Un proveedor honorable estará en capacidad de proporcionar esta información, que debe incluir un resumen de la educación, entrenamiento y experiencia previa del agente de protección de ejecutivos. Si un contratista alega que sus agentes son veteranos de un organismo del gobierno y que sus currículos son información secreta, la empresa en busca de protección de ejecutivos debe dirigir su búsqueda hacia otro lugar.


Examinar el entrenamiento.

La firma contratada puede indicar que todos sus agentes han completado un programa de entrenamiento interno. Si es así, los posibles clientes deben preguntar si el programa ha sido aprobado o al menos revisado por una fuente exterior de confianza. Algunos estados cuentan con un organismo que está a cargo de revisar todos los programas educacionales y de entrenamiento postsecundarios que llevan a una licencia o certificación. Si el proveedor está ubicado dentro de un estado que cuenta con tal tipo de organismo, su programa interno de entrenamiento debe haber sido aprobado.

Aun si el programa de entrenamiento ha sido acreditado, ello sólo garantiza que sus graduados han logrado un conocimiento mínimo en teoría de la protección. Por lo general, el programa del entrenamiento interno es extraído de textos y muestra videos en lugar de ofrecer experiencia práctica y real. Por eso, el posible cliente deseará ir más allá de las pruebas sobre este nivel de entrenamiento, tal como se menciona más adelante.

La protección de ejecutivos también adolece de su propio pasado. Desde la década de los 60 hasta los 80, la industria rebosaba de escuelas paramilitares y de artes marciales convertidas en academias de entrenamiento para agentes de protección. Aunque afortunadamente estas escuelas ya no prevalecen, el vacío no ha sido completamente llenado por academias de calidad.

Hoy en día el mejor entrenamiento disponible se encuentra en el sector privado a cargo de un grupo pequeño de academias nacionales y regionales establecidas. En estas escuelas y en otras de su mismo calibre, los programas educacionales fueron delineados por practicantes expertos con años de experiencia en el campo.

Una empresa en búsqueda de protección de ejecutivos debe preguntar si las evaluaciones de la labor realizada por las diversas fuentes de entrenamiento de los agentes están archivadas en la agencia. Si el contratista dice que no o que nunca han contado con tal información, eso debe poner a la empresa en alerta.

El cliente también debe pedir pruebas de la verificación de antecedentes. El proveedor debe estar en capacidad de ofrecer la documentación que pruebe que se ha efectuado una exhaustiva revisión del historial criminal, de manejo y de crédito del agente que cubra los diez últimos años. El agente además debe haber tenido recientemente un análisis de drogas ilegales para detectar sustancias controladas.

Si los agentes van a usar armas, el posible cliente también debe pedir la documentación de los cursos de entrenamiento con armas de fuego que los agentes deben aprobar y la frecuencia de las prácticas de tiro y pruebas de destreza. Hoy en día, muchos agentes civiles de protección ya no llevan consigo armas de fuego. En su lugar utilizan armas paralizantes, rociadores de pimienta, y otros dispositivos no letales. En los casos en que los agentes utilizarán estos dispositivos, el cliente también debe pedir las pruebas de que los agentes han recibido el entrenamiento especializado adecuado.

Conocer la actitud mental

Un buen equipo de protección de ejecutivos es más que la suma de sus partes. Por tanto, sus miembros deben estar actuando dentro de las mismas líneas filosóficas. Esto puede que no suceda si los guardaespaldas han sido formados con diversos antecedentes de entrenamiento. Por eso, aun si los agentes del proveedor provienen de una mezcla de las mejores escuelas privadas y del gobierno para la protección de ejecutivos, una combinación de las actitudes mentales que propagan estas escuelas puede causar desacuerdos sobre estrategia y metodología. Un ex-agente del FBI, por ejemplo, tiende a actuar de manera muy diferente durante una operación que un agente que ha sido entrenado por una institución civil o un agente entrenado en una academia local de policía.

Según mi experiencia, los graduados de programas federales son pragmáticos, tecnológicamente avanzados y altamente hábiles, con una actitud de “hagamos el trabajo”. No son intimidados por la policía local u otras autoridades. Por otro lado, un agente civil está entrenado para ser más conocedor de temas como aspectos legales, responsabilidad, incumplimiento del contrato, excesos de costos y el efecto que tiene la mala publicidad en la reputación de un cliente.
Como un ejemplo de las diferencias que existen entre las actitudes, en una ocasión trabajé en un destacamento de protección de ejecutivos con alguien que había sido policía. En ese momento, nuestro trabajo era seguir al vehículo que llevaba al cliente. Desafortunadamente, el chofer del cliente iba a una velocidad alta y pasándose las luces ámbar, haciendo muy difícil poder seguirlo.

Mi compañero de trabajo, el ex-policía, era un conductor muy hábil y no tenía ningún problema en pasarse la luz roja y las señales de paro para poder seguir al auto del cliente. En su trabajo anterior estaba acostumbrado a los seguimientos policiales en el centro de la ciudad, siempre y cuando no matase a nadie,

Por otro lado, yo me retrasaba, obedeciendo el límite de velocidad y las leyes de tránsito porque, como agente civil, estaba preocupado por las consecuencias de ser detenido por la policía. Mi cliente era un individuo de alta importancia y podría recibir malos comentarios de la prensa si sorprendieran a su escolta manejando imprudentemente por las calles. Es cuestión de opinión saber cual enfoque era mejor para el cliente.

Los agentes que son productos de academias de policía también tienen una actitud característica. Algunas agencias de protección de ejecutivos no contratarán a oficiales de policía porque creen que su orientación es reactiva y no planean por anticipado. Dada la naturaleza de su trabajo, no están condicionados para actuar hasta que ocurra algo ilegal, mientras que a menudo, la mayoría de los agentes civiles pensarán anticipadamente cómo impedir una situación antes de que ocurra.

Además, los agentes con antecedentes federales y policiales actuarán a veces como si aún fueran oficiales bajo juramento. Por ejemplo, pueden darle órdenes a la gerencia y a los empleados del hotel donde se está hospedando un cliente, no hacer caso a las normas de la empresa que los ha contratado o las leyes y ordenanzas locales en nombre de la protección del cliente.

Esto ocurrió cuando un conocido cantante fue contratado para actuar en la gran inauguración de un enorme lugar de recreo en Las Vegas. El destacamento de protección de la estrella estaba compuesta de ex-agentes israelíes y oficiales de la policía de California fuera de servicio. Actuaban como una fuerza de ocupación, intimidando y encolerizando al personal de seguridad y demás personal del lugar de distracciones. También llevaban consigo armas escondidas aun cuando su autorización para llevarlas no era válida en Nevada.

Finalmente, hubo una confrontación en la oficina del director de seguridad durante la cual se le dijo al líder del destacamento que sus oficiales eran invitados dentro de una propiedad privada - se encontraban por una invitación y no porque tenían derecho - y se les advirtió que si continuaba su comportamiento agresivo serían echados del lugar.
En general, los agentes civiles se dan cuenta que son ciudadanos privados que deben trabajar con el personal de un local para proteger adecuadamente a sus clientes. También comprenden la necesidad de usar tacto y diplomacia para lograr la cooperación de otros. Por el contrario, los agentes con antecedentes federales y policiales generalmente han enfrentado situaciones de vida o muerte y están mejor preparados para manejar amenazas reales que aquellos del sector civil.

Otro tema surge cuando hacen de guardaespaldas los oficiales que están actualmente en la policía. Los oficiales de la policía trabajan bajo el mandato del estado o del condado para el cual tienen jurisdicción. Por ejemplo, si un oficial de la policía actuando como un agente de protección detiene a una persona, el agente debe leerle a esta persona sus derechos Miranda. Los agentes civiles no necesitan hacer esto ni deben preocuparse de que sus acciones serán juzgadas como hechas bajo la protección de la ley si se lleva un incidente a la corte.

Conocer los trabajadores a medio tiempo.

Un cliente potencial debe darle atención particular al entrenamiento y experiencia de cualquier oficial de protección que trabaja en el campo sólo la mitad del tiempo. Si un proveedor le ofrece a una empresa agentes que no son policías y que trabajan medio tiempo, el posible cliente debe averiguar las proporciones de tiempo de los dos trabajos del agente y la naturaleza del otro empleo del agente.

Por ejemplo, no es extraño que muchas agencias dividan las responsabilidades de su personal entre efectuar investigaciones privadas y realizar protección personal. Esta ecuación puede funcionar bien para la agencia; sin embargo, para el cliente puede que no sea tan deseable. Esto es especialmente cierto si una parte significativa del tiempo del agente se utiliza en trabajos no relacionados con protección. En algunos casos, el personal que trabaja a tiempo completo en la seguridad de tiendas comerciales, hoteles o establecimientos de salud, trabaja extra como agente a medio tiempo para la protección de ejecutivos. La desigualdad del tiempo entre estas disciplinas diferentes puede producir un agente de protección que no sea totalmente competente para manejar entornos con un alto nivel de peligro comparado con un agente a tiempo completo.

Aun si el otro trabajo del agente a medio tiempo es en la policía, es apropiado examinarlo. Existe el mito en el mercado de protección de ejecutivos de que los oficiales de policía reciben entrenamiento específico para la protección de dignatarios y ejecutivos en la academia de policías. Esto es falso.

Algunos oficiales sí toman un entrenamiento complementario que guarda relación, ya sea porque su departamento lo exige o porque desean avanzar en sus carreras pagando ellos mismos el entrenamiento y asistiendo a una academia civil. Por ejemplo, Las Vegas, que es una escala acostumbrada de las celebridades, políticos haciendo campaña y otros VIPs, ha enviado un selecto grupo de oficiales a la Academia del Servicio Secreto de los Estados Unidos.

Los clientes deben asegurarse si alguno de los oficiales de la policía que podrían contratar está entrenado específicamente para la protección de ejecutivos. Y si es así, el cliente debe preguntar donde se entrenó. Como se mencionó anteriormente, la calidad de la escuela es de mucha importancia.

Evalúe las condiciones físicas

En muchos casos, los agentes de protección de ejecutivos son contratados por los proveedores debido a su impresionante estatura, peso y contextura. Levantar 350 libras no puede compensar la incompetencia al realizar el trabajo de protección de ejecutivos, pero la condición física de los agentes tiene importancia y debe ser examinada con regularidad.
¿Qué condiciones físicas debe tener un agente? El o ella debe estar en forma adecuada para manejar las contingencias de un trabajo en particular. Los agentes deben tener la capacidad de caminar y correr distancias regulares, pero lo que es más importante, deben poder estar de pie por largos periodos de tiempo sin tener una incomodidad excesiva.

Algunos clientes sí requieren agentes que son, efectivamente, atletas profesionales. Actualmente muchos ejecutivos y celebridades están muy interesados en los deportes o lucen un perfil alto cuando toman sus vacaciones, apasionados por el ski, el buceo, la caída libre, el alpinismo y otras actividades físicas extremas. Una empresa que protege a este tipo de ejecutivo debe asegurarse de contratar a agentes adecuados.


 
 Respond to this message   


Forum Owner
Esta protegido su ejecutivo ? (2)April 27 2004, 2:55 PM 

Esta protegido su ejecutivo ? (2) February 26 2004, 10:31 PM 

En general, sin embargo, las buena habilidad de comunicación es más importante que la destreza física. He visto a agentes que no están en la mejor condición física pero que prácticamente pueden palabrear el arma de un perpetrador. La capacidad de comunicarse también le permite a un agente persuadir a un propietario, gerente u otra autoridad para que reciba a un grupo privado de protección.

Otra habilidad esencial es un juicio excelente. En el trabajo los agentes deben filtrar varios flujos de información antes de decidir, por ejemplo, si una persona que se acerca es un genuino conocido o alguien decidido a causar daño al VIP.

En tercer lugar, los agentes deben ser personas maduras. Muchos agentes están acrecentando sus propios egos o están ahí para hacerse de un nombre en el mercado. Son propensos a lucirse, sobreactuar y ver amenazas en todos sitios. Esta mentalidad de “reacción rápida” casi siempre termina en una vergüenza cuando el “mozo” realmente resulta ser el mozo.

Realice entrevistas

La empresa debe pedir entrevistas personales con los agentes para establecer la compatibilidad entre el cliente y el agente. Por ejemplo, en un proyecto a largo plazo, un agente tiende a convertirse en “parte de la familia,” y el cliente suele relajar su personalidad profesional. El agente puede llegar a enterarse de información que avergonzaría al cliente si se hiciera pública (siendo la infidelidad en el matrimonio un ejemplo clásico). Por tanto, la lealtad puede ser el mayor atributo que necesite un cliente en particular.

Si el trabajo incluye proteger a la esposa e hijos del ejecutivo, el ejecutivo puede querer un agente que no atemorice a sus niños ni que se interponga entre él y su esposa. Un cliente con quien trabajé específicamente no quiso un agente bien parecido, justo por esta razón.

En otro caso, un ejecutivo que se movía en círculos refinados deseaba un agente que se desenvolviese correctamente en comidas de alta sociedad y otros eventos. Otro quería que su agente de protección pudiese hacerse pasar por un asistente administrativo. En todos estos casos fue importante que el cliente y el agente estableciesen si congeniaban el uno con el otro, a través de un intercambio personal.

Revisar las referencias

Nunca debe contratarse a un proveedor sin revisar las referencias de sus clientes. Muchas firmas manifiestan que la confidencialidad del cliente les prohibe proporcionar referencias. Sin embargo, si la firma ha realizado un buen trabajo para los clientes previos, algunos habrán aceptado servir como referencias. Si el contratista no ha arreglado nada por adelantado y se rehusa hasta intentar encontrar a un cliente anterior que esté dispuesto a hablar, la empresa quizás debe reconsiderar darle su trabajo a este proveedor.


Haga una revisión posterior de los hechos

Luego del simulado asesinato de la pareja VIP y sus guardaespaldas mencionado al inicio de este artículo, durante dos horas se hizo una revisión de los hechos. En ese ejercicio, yo había sido contratado para dar el golpe al interpretar un papel para probar la protección de los ejecutivos de una gran corporación fabricante de productos químicos, ubicada en Nevada.

Al rendir cuentas, hice la crítica al equipo. Una de las fallas más obvias era que no se había ejecutado una evaluación de seguridad por anticipado. Más aún, los clientes originaron un espectáculo público cuando llegaron al lugar de distracciones, causado en gran parte por sus propios agentes de protección que no tenían idea alguna de qué y quién estaría esperando al cortejo.

Antes de llevar a su clientes al restaurante, los agentes no habían solicitado una mesa en la zona de máxima seguridad, permitiendo una rápida salida por una puerta trasera. No hicieron los arreglos con el gerente para obtener los servicios de algunos empleados de confianza a quienes luego se les tendría que haber entregado un prendedor, brazalete, ramillete o algún otro método que los identificase como servidores aprobados.

Debido a que el destacamento de protección no hizo lo anterior, pude deslizarme por una puerta trasera, prestarme un traje blanco de mozo del closet de uniformes y acercarme a la pareja VIP con el pretexto de proporcionarles servilletas. Luego, de mi bolsillo saqué cuatro etiquetas adhesivas manchadas de rojo. Coloqué las etiquetas a ambos clientes y a dos agentes de protección y escapé tan fácilmente como había entrado.

Los guardaespaldas habían recibido su entrenamiento en una compañía cuyos jefes eran oficiales retirados de la policía sin ninguna experiencia verdadera en protección de ejecutivos, más allá de haber sido asignados ocasionalmente al alcalde de la ciudad cuando aparecía en público. La compañía no sólo cometió el error de no investigar más profundamente la capacidad de los agentes, tampoco pidieron referencias. Como resultó ser, la compañía era el primer cliente del proveedor.

Las empresas que buscan proteger a sus ejecutivos deben realizar su propia evaluación de riesgo del personal antes de contratar a los agentes. Si no siguen los pasos adecuados para la selección, pueden hallar que lo que los agentes proporcionan no es más que una falsa sensación de seguridad.

D. Anthony Nichter, CPP, ARM (asociado en gerencia de riesgo) es analista principal e instructor del Instituto para Desarrollo Estratégico de Ejecutivos ( The Institute for Strategic Executive Development), Las Vegas, Nevada. Es presidente del Consejo de ASIS para la Protección de Juegos y Apuestas.


 
 Respond to this message   


Forum Owner
Entrenamiento de Guardias de SeguridadApril 27 2004, 2:56 PM 

Entrenamiento de Guardias de Seguridad

Por Chuck Tobin

Una noche de noviembre hace algunos años, William Joyner, un guardia de seguridad armado del Giant Food en el Centro Comercial Blair Plaza de Silver Spring, Maryland, observó a un hombre que llevaba una pistola, robar al cajero del supermercado.Cuando el sujeto huyó del lugar, Joyner lo persiguió por la zona de parqueo, sacó su arma de servicio y le ordenó que se detuviese.

El hombre ignoró la orden, entró a su carro y empezó a irse. Entonces Joyner hizo dos disparos al vehículo que huía. Una bala, apuntada a la ventanilla lateral del conductor, dio con el panel posterior del auto. La segunda bala, apuntada a la ventanilla trasera, erró su blanco e hizo añicos la ventana del departamento de Geraldine Scherry, ubicado en un quinto piso. Scherry, pensando que alguien estaba tratando de matarla, se puso histérica.

El trauma resultante de Scherry, que determinó su permanencia en el hospital, se convirtió en motivo de una demanda contra el supermercado. La tesis que presentó la demandante fue que el supermercado era solidariamente responsable por la negligencia de Joyner al disparar el segundo balazo. Scherry también planteó en el juicio que Giant Food era directamente negligente por contratar a Joyner y confiarle un arma sin tener el entrenamiento adecuado. Un jurado falló a favor de la demandante en ambos cargos.

Como lo ilustran casos como éste, las compañías quedan bien advertidas para invertir desde el inicio en el entrenamiento de los guardias de seguridad en el uso apropiado de la fuerza. No hacerlo puede salir caro, en términos de juicios y fallos legales, sin hablar del posible daño a la reputación de la corporación en el largo plazo.

El entrenamiento adecuado para el empleo de la fuerza abarca una serie de opciones, desde la comunicación verbal hasta la aplicación de fuerza mortal, dándoles a los guardias el conocimiento que necesitarán para escoger el nivel apropiado de respuesta frente a cada grupo de circunstancias. Puede ser adecuado comenzar con conferencias en aula, discusiones o exposiciones de videos. Pero por último, el entrenamiento debe ir del salón de clases hasta escenarios que le den a los entrenados la oportunidad de aplicar lo que se les haya enseñado, a situaciones del mundo real. Entre los ejercicios que pueden cumplir este objetivo se encuentran: situaciones en vivo, situaciones con fuego real, ejercicios que se basan en el uso de laser, ensayos de escondite, prácticas con armas defectuosas y ejercicios para retener el arma.

Estas situaciones hacen que el guardia de seguridad interactue directamente con uno o más instructores que actúan como espectadores inocentes o como amenazas. Deben idearse diversas situaciones para colocar al oficial en la posición de exigir su cumplimiento, inicialmente mediante órdenes verbales y después a través de un posible empleo de la fuerza. Por supuesto, en cualquier situación en donde se le pueda pedir al guardia de seguridad que emplee la fuerza, el instructor debe asegurarse que todos los participantes estén protegidos. Esto incluye emplear "armas rojas" (armas de plástico incapaces de disparar proyectiles) y varas forradas. Los instructores deben ser conscientes para no presentar situaciones en las que siempre se requiera el uso de fuerza mortal, ya que esto no entrenará adecuadamente a los guardias en la aplicación moderada de la fuerza, una vez que estén en sus trabajos.

En una situación típica planteada por Vance International, la compañía donde trabaja el autor, un guardia de seguridad tiene que enfrentarse con una persona que es un suicida violento posible, el cual es representado por un instructor. A los guardias se les proporcionan armas rojas, varas forradas, rociadores falsos de pimienta y quizás otras armas simuladas, y se les dice que hay un guardia de apoyo. Dependiendo de la situación específica, el instructor puede ser pasivo o belicoso o mostrar una actitud intermedia. El instructor modificará su comportamiento en base a las reacciones del guardia.

En las mejores situaciones, el/la oficial de seguridad actúa correctamente y se va reduciendo la situación tensa hasta que llega la policía, lo que concluye la práctica. En otros casos, el guardia actúa incorrectamente y los participantes reaccionan de acuerdo a ello, lo que lleva a agudizar la tensión del evento. En un reciente caso cuando sucedió eso, el guardia se ofuscó, el instructor, en su papel de protagonista le gritó al guardia. En respuesta, éste atacó al protagonista con el falso rociador de pimienta. Sin que lo supiese el oficial, el sujeto en este escenario portaba un arma de fuego escondida, con la que apuntó al guardia de seguridad.

En otro escenario que se aplica comunmente, a un guardia se le asigna la tarea de asegurar que ningún invitado a una fiesta privada porte armas. Luego, tres instructores ingresan como invitados. Uno es un visitante normal y no tiene armas. Los otros dos son, ya sea un guardaespaldas armado y un cliente privado, o un agente del Servicio de Seguridad Diplomática (DSS) y el diplomático a quien protege.

En el caso del guardaespaldas armado, el guardia de seguridad debe hacer que deje el arma en su carro o que salga de la propiedad (una persona privada tiene el derecho de llevar un arma dentro de una propiedad privada sólo con permiso del dueño de la propiedad). Si se niega, debe llamarse a la policía. Por otro lado, el agente del DSS tiene derecho a portar su arma sin permiso del dueño de la propiedad, así que el objetivo en ese caso es verificar las credenciales del agente y dejarle ingresar armado a la propiedad.

En un reciente escenario de prueba conducido por el autor, el guardia de seguridad decidió detener al agente del DSS sin verificar su identificación. El guardia de seguridad terminó desenfundando su arma, lo que originó que el agente respondiese del mismo modo, un resultado altamente indeseable.

Cada escenario en vivo termina con una evaluación post-acción. En estos repasos, todos los entrenados tienen la oportunidad, como grupo, de analizar lo que sucedió y aprender de las experiencias de los demás. (Las evaluaciones post-acción también deben efectuarse para cada uno de los siguientes tipos de ejercicios.)

Prácticas con "instrumentos no apropiados"

Desafortunadamente, a menudo los nuevos guardias de seguridad tienen que olvidarse del mensaje aprendido subliminalmente en la televisión, de que la mejor forma de solucionar un conflicto es mediante el arma de fuego. Las prácticas con instrumentos impropios, parecidos a los "escenarios en vivo", ponen a prueba la discreción del guardia y lo obligan a pensar cuál es el nivel de fuerza que es razonable en un momento dado. Un funcionario de seguridad observa las prácticas para asegurar que los participantes estén protegidos y para evaluar las decisiones del estudiante.

En una práctica de prueba con instrumentos impropios, a un guardia se le podría pedir que trate de poner bajo arresto a un sospechoso desarmado y obediente, usando las esposas. El instructor que representa al sospechoso aumenta la tensión de la situación al mostrar un arma u oponer resistencia. El guardia de seguridad debe decidir cómo reaccionar.

En esencia, las prácticas con instrumentos no apropiados son como los juegos de apuestas grandes "piedra, papel, tijeras". Si el instructor saca un arma, el oficial también debe sacar un arma, no polvo de pimienta o una vara. Pero esos otros instrumentos bien podrían ser más apropiados para una amenaza de menor índole.

Situaciones con fuego vivo

Las situaciones con fuego vivo involucran a instructores interpretando una situación que es probable que enfrenten los guardias, la misma que después se proyecta sobre una pantalla en un campo de tiro. Los oficiales interactuan con las imágenes de la pantalla, empleando armas y municiones reales contra los actores que aparecen en la pantalla. Esos ejercicios precisan de una video cámara con capacidad de conexión externa, un proyector LCD, una pantalla a la que se pueda disparar (el papel de envolver sirve para el efecto), protectores adecuados de oídos con micrófonos incorporados (por lo menos uno para el estudiante y uno para cada instructor/actor) y gran cantidad de cordones de extensión.

La pantalla debe ubicarse al extremo del campo de tiro, de suficiente tamaño para proyectar imágenes de tamaño real, a donde el guardia de seguridad debe dirigir su atención. El guardia interactúa con la pantalla mientras los instructores, con la cámara detrás del guardia, desarrollan la escena. Los instructores deben preparar un diagrama de flujo con las acciones aceptables e inaceptables que desean probar durante el ejercicio. Ellos, al interpretar los papeles, dirigirán al estudiante a través de estas acciones.

Las situaciones con fuego vivo son una forma excelente de evaluar el empleo de un arma por el guardia en una situación de tensión. No es poco común encontrar que la mayoría de las balas disparadas por el oficial han errado su blanco.

Un ejemplo típico de una situación con fuego real involucra la toma de un rehén y la decisión de intentar un rescate o esperar hasta que llegue la fuerza policiaca. Cuando un guardia de seguridad intenta un rescate, casi siempre dispara al rehén por equivocación. El agujero de una bala en la frente de un instructor, proyectada sobre la pantalla, es una lección gráfica de cómo NO actuar en una situación de toma de rehenes.

Ejercicios basados en uso de laser

Compañías como Beamhit, de Columbia, Maryland, han diseñado sistemas que permiten una interacción de persona a persona, así como una evaluación de la precisión del tiro de los guardias de seguridad. Los sistemas vienen en paquetes variados, pero consisten típicamente en un transmisor laser montado en el cañón del arma y un blanco que recibe e interpreta la señal laser. El blanco se adhiere con Velcro a un chaleco especial que viste el sujeto a quien se dispara. Con estos ejercicios, los instructores pueden aplicar blancos laser a personas en movimiento y pueden reducir el tamaño del blanco (para representar distancias mayores) y efectuar una variedad de otras aplicaciones.

Con algunos sistemas los instructores pueden usar software, que por lo general se instala en computadoras portátiles, para ver en tiempo real dónde dió cada uno de los disparos. Ello puede revelar si un guardia está jalando su arma de izquierda a derecha o si está cometiendo otro error.

Estos sistemas se están haciendo más y más populares y pueden instalarse en ambientes seguros, sin tener que emplear munición real y ni hacer gastos adicionales por la munición y el tiempo de uso de un campo de tiro. Los precios de los sistemas van desde $350 por unidad (laser, chaleco y blanco) hasta $1,500 por sistemas que se conectan a una computadora portátil.

Prácticas de escondite

En la mayoría de los programas de entrenamiento, el tiro se realiza desde un cubículo que existe en el campo de tiro. Los estudiantes reciben poca o ninguna distracción o amenaza. Ese entrenamiento se vuelve más realístico y efectivo si se agrega la carrera al programa para incrementar la tensión.

En las prácticas de escondite, los guardias corren casi 50 metros en el campo de tiro buscando un refugio desde puedan disparar a los blancos. Un instructor acompaña al guardia por el campo, gritándole o distrayéndole para crear mayor presión. Esto origina que aumente la presión sanguínea y que se bombee adrenalina, como si fuese un verdadero tiroteo. El instructor evalúa la forma como el guardia emplea el refugio y su capacidad para dar en los blancos.

Este entrenamiento se ha ideado para que los guardias de seguridad piensen constantemente en su seguridad y en la de los demás. Estas prácticas requieren una supervisión personal, pero el esfuerzo vale la pena. Ayudan a inculcar en los guardias de seguridad el saber que con el uso apropiado de un refugio, pueden tener el tiempo para efectuar un disparo acertado.

Prácticas con armas defectuosas

Las prácticas con armas que tienen funcionamiento defectuoso son básicamente prácticas de refugio, en las que el instructor toma el arma de un guardia y sin que él o ella lo sepa, le inserta cartuchos falsos. Esto origina que el arma falle a medio ejercicio, creando una situación de tensión. Las prácticas de este tipo le dicen mucho al instructor respecto a un alumno. Resultará obvia su capacidad o incapacidad para actuar con calma cuando las cosas no salgan bien.

La carencia de una respuesta mesurada puede poner en riesgo a otros si no se trata y corrige durante el entrenamiento.

Como sucede con otros aspectos del entrenamiento de un guardia de seguridad armado, aquellos que rindan en forma deficiente en esta práctica pueden ser considerados incapaces para las funciones de guardia con arma. Los instructores deben negarse a registrar ante el estado a estos guardias (si es que se exige el registro de guardias de seguridad que usan arma). A estos guardias normalmente se les da la opción de convertirse en guardias sin armas.

Retención del arma

El Centro Nacional de Entrenamiento de Fuerzas Policiales (NLETC), mediante el desarrollo constante de programas de entrenamiento para retener el arma, ha demostrado que los instructores pueden marcar la diferencia en el número de guardias de seguridad muertos con su propia arma. Desde que el programa del NLETC comenzó en 1978 el número de guardias que han muerto de esa manera se ha reducido significativamente. El entrenamiento para retener el arma, por tanto, debería ser aplicado en todos los programas de entrenamiento de guardias de seguridad.

Un guardia puede aprender las habilidades necesarias para conservar su arma en caso de conflicto sólo a través de constantes recordatorios y prácticas.
Un buen programa de entrenamiento para conservar las armas enseña a los guardias a asegurar, posicionarse y soltar. Los guardias de seguridad aseguran sus armas en sus fundas, se posicionan para mantener el equilibrio y sueltan el control del arma del criminal, sea con un golpe en el codo o con una llave a la muñeca. Los guardias deben pasar por diversas situaciones en las que un instructor trata de apoderarse de su arma o el guardia debe recuperar su arma. Se repite que estas lecciones se han diseñado para hacer que los guardias piensen en su seguridad y en la seguridad del público en general.

Han pasado los días en que se colocaba a los nuevos reclutas frente a un televisor, se les daba unas pocas charlas y luego se hacía que disparasen la cantidad mínima de tiros para poder calificarse como un guardia armado. Las compañías que no quieran ver un incidente con un mal desenlace cuando llegue a la escena el guardia de seguridad con su arma, gastarán los fondos necesarios para el entrenamiento en el uso adecuado de la fuerza, sea por personal propio o contratado. Es probable que aquellos que no hagan este gasto lleguen a ser objetos de unas costosas demandas.

Chuck Tobin es director de entrenamiento en Vance International. Es responsable del desarrollo de los programas de entrenamiento para los Oficiales Uniformados de Protección Vance y es el instructor principal de los oficiales de seguridad con o sin armas en Vance.

Manteniendo satisfechos a los guardias de seguridad.

El entrenamiento no sólo es bueno para la compañía, sino también brinda satisfacción al empleado. Los programas de entrenamiento que son efectivos ofrecen retos intelectuales y desarrollo personal al alumno - beneficios que pueden ocupar el lugar de, o ir de la mano con, las oportunidades de ascender dentro de la compañía. De este modo, los buenos programas de entrenamiento de guardias de seguridad pueden ayudar a mejorar la capacidad de la compañía para retener al personal de seguridad de alta calidad, lo que es un desafío constante para las fuerzas propias y contratadas.

En la empresa a la que pertenece el autor, han tenido mucho éxito al ofrecer sesiones o seminarios educacionales para los empleados de todos los niveles de la organización. Hemos encontrado que ofrecer seminarios sobre temas como violencia en el centro de trabajo, terrorismo, tecnología de seguridad y seguridad personal, ha motivado a los oficiales a que aprendan y se superen.

Los seminarios estimulan más deseos de aprender. Aquellas compañías que tienen personal propio para entrenamiento, deben considerar obtener la certificación de sus clases al trabajar con la institución superior de su localidad. También pueden encontrar clases externas de entrenamiento (mediante escuelas de entrenamiento) para oficiales de seguridad, que den crédito universitario.

Los gerentes pueden argumentar que si entrenan a sus empleados, ellos se irán buscando mejores oportunidades. Eso podría ser cierto, pero los mejores, si son retenidos, serán aún más rápidos para irse en pos de una mejor oportunidad. Todos se benefician cuando los jóvenes oficiales de seguridad aprenden respecto a la industria y se desarrollan en su profesión.


 
 Respond to this message   


Forum Owner
Practique lo que enseñaApril 27 2004, 2:57 PM 

Practique lo que enseña

Por Patrick R. Kane, CPP

El entrenamiento lo es todo, lo dijo una vez nada menos que el luminar como Mark Twain. El observó que sin entrenamiento, “El durazno alguna vez fue una almendra amarga”. Y lo mismo pasa con la seguridad. Un departamento que espera obtener beneficios de los frutos del trabajo de sus empleados, primero debe sembrar las semillas del buen rendimiento.

El departamento de seguridad debe dirigir sus esfuerzos de entrenamiento en dos direcciones: la fuerza de seguridad y el conjunto de empleados. El entrenamiento de la fuerza de seguridad debe enfocar más las destrezas prácticas, el desarrollo de destrezas, y la capacidad de obrar reciproca y profesionalmente con los empleados, mientras que el entrenamiento general del empleado debe tratar las técnicas de conciencia y prevención.

Personal de seguridad

El proceso de entrenamiento para el personal de seguridad debe incluir los siguientes elementos: objetivos, conferencias, situaciones, ejercicios de prueba, pruebas individuales, repasos y cursos de actualización.

Objetivos. Antes de que pueda comenzar el entrenamiento, el departamento de seguridad debe determinar sus metas; deben trazarse ciertos objetivos. Luego, la administración debe usar un enfoque del tipo “bloques de construcción”, en el cual se enseñan primero las destrezas individuales, seguidas por las destrezas en equipo. Después de la instrucción inicial, las lecciones aprendidas deben ser puestas en práctica a través de ensayos o ejercicios, y sometidas a prueba durante un ejercicio simulado de emergencia.

Si el objetivo es tratar las emergencias médicas en forma rápida y efectiva, un programa de entrenamiento probablemente ofrecería primero a los oficiales de seguridad un entrenamiento individual básico para la certificación en RCP, primeros auxilios, y posiblemente un entrenamiento respecto al desfilibrador automático externo (DAE). En algunos lugares, cierto personal podría ser entrenado hasta el nivel de técnico en emergencias médicas (TEM) o paramédico. Luego, el programa podría requerir el entrenamiento en equipo, en el cual cada persona aprende la función que cumplirá al responder a una emergencia. Estas funciones pueden variar según el puesto en donde está ubicada la persona, la hora del día, o el lugar de la emergencia. Muchas de estas obligaciones pueden estar orientadas a dar apoyo, como pedir una ambulancia por teléfono, disponer que un ascensor funcione en forma independiente, o proporcionar escolta para la ambulancia que está por llegar.

Conferencias. Generalmente, se puede usar el entrenamiento basado en exposiciones para dar una introducción y una perspectiva general de los temas rutinarios. Posteriormente se pueden reforzar estos conceptos empleando la capacitación práctica. Para mantener el interés de los guardias, las conferencias deben integrar elementos de multimedia, tales como presentaciones en PowerPoint y películas. Los instructores también pueden usar sus exposiciones para atraer la atención de los estudiantes; los instructores deben mencionar incidentes de seguridad anteriores y hacer que los oficiales analicen cómo los enfocarían ellos. El entrenamiento basado en conferencias debe concluir generalmente con algún tipo de evaluación, por lo común una prueba escrita.

Entrenamiento basado en situaciones. Aun la más efectiva de las exposiciones sólo llega hasta cierto punto en términos de entrenamiento. Muestra información pero no le permite al alumno actuar en lo que ha aprendido y ver si ello funciona o cómo funciona. Así que es mejor reforzar las presentaciones en clase mediante adiestramiento y ejercicios prácticos de entrenamiento relacionados con las habilidades.

Estos ejercicios son mejores si están basados en estudios de caso extraídos de situaciones reales. Para encontrar ideas para las situaciones, los gerentes de seguridad pueden acudir a sus propios informes internos de incidentes, periódicos y revistas profesionales, o inclusive diarios, aun cuando los entrenadores deben saber que los informes de los medios de prensa en general, como los diarios o revistas noticiosas, rara vez ofrecen el nivel de profundidad que se necesita para un buen entrenamiento. Las publicaciones profesionales y comerciales ofrecen mejores posibilidades. Como orientación para seleccionar los casos, el gerente debe recordar que mientras más tenga que ver el caso con el ambiente de los empleados, más efectivo será el entrenamiento.

En Atlas Air, una aerolínea de carga con oficinas en Nueva York (en donde el autor es empleado), el equipo interno de evaluación de amenazas de la compañía utiliza los estudios de caso para practicar los procedimientos, de forma que el equipo pueda cometer errores en un ambiente simulado y aprender de esos errores, antes de poner en peligro las vidas humanas.

Para este entrenamiento, los miembros del equipo obtienen información de situaciones que encuentran en los archivos de informes de incidentes de la compañía, y de los incidentes con los que han tenido que tratar personalmente en el pasado.

Por ejemplo, en un edificio de oficinas de muchos pisos del área de Wall Street en Nueva York, el personal de seguridad volvió a revisar un informe de incidente para resolver un problema de procedimiento.

El incidente involucró a un hombre que había atravesado el vestíbulo principal, rehusando a inscribirse o a mostrar algún documento de identidad al oficial de seguridad. El hombre caminó hacia la fila de ascensores y subió, sin hacer caso a las órdenes del oficial para que se detuviese. El oficial no pudo determinar de inmediato en que piso salió el intruso, así que se enviaron rápidamente a otros oficiales para buscarlo. Luego de una búsqueda exhaustiva en los pisos a los que servía la fila de ascensores, dos miembros del personal de seguridad encontraron al hombre discutiendo con un recepcionista. El hombre era conocido en la compañía pero nunca se le había considerado como una amenaza.

Sin embargo no tenía cita con la persona a quien deseaba ver ese día. El personal de seguridad y el recepcionista persuadieron al hombre para que programase una visita en una fecha futura y se registrase en el puesto de seguridad del vestíbulo cuando llegase. Luego el hombre fue acompañado fuera del edificio sin otro incidente. Aunque el hombre se retiró pacíficamente del edificio, la incapacidad del cuerpo de seguridad para evitar que llegase hasta los pisos superiores fue una seria preocupación.

Se usó este incidente en una clase de entrenamiento para los supervisores de turno. Cuando se le expuso la situación y se le preguntó cómo respondería, un supervisor dijo que por control remoto desde el puesto de vigilancia haría regresar los ascensores hasta el vestíbulo apenas la persona se rehusase a identificarse o a detenerse. Si bien esta solución podía originar algunos problemas, especialmente cuando los ascensores están ocupados, era de lejos la mejor solución. Por ejemplo, otra estrategia que se propuso involucraba seguir a la persona hasta el interior del ascensor y tenerla bajo observación, pero eso acarreaba el riesgo de una confrontación física en el ascensor o en uno de los pisos.

Por el contrario, hacer regresar a los ascensores permitía que el personal de seguridad evitase que el individuo ingresase a las oficinas, sin caer en el riesgo de un enfrentamiento físico con la persona, así como el peligro y la responsabilidad legal asociados - el intruso no tendría otra opción que salir del ascensor en el vestíbulo, y varios oficiales de seguridad podrían asegurar que la persona fuese escoltada fuera del edificio de manera segura. Esta medida fue incluida posteriormente en forma oficial en las órdenes de los puestos.

Puede que estos ejemplos de la vida real no estén disponibles para todas las situaciones. En consecuencia, se deben desarrollar situaciones hipotéticas para hacer frente a algunas necesidades de entrenamiento. Pero es importante que las situaciones estén basadas por lo menos en parte en situaciones verdaderas, para hacerlas más realísticas. Al hacer esto, el instructor o el coordinador de entrenamiento puede seleccionar un estudio de caso y modificar algunos de los detalles para hacerlo más apropiado al ambiente en el que se está conduciendo el entrenamiento.

Por ejemplo, mientras administraba el personal de seguridad en el edificio de oficinas en Manhattan mencionado anteriormente, el departamento de seguridad condujo un ejercicio de entrenamiento empleando una situación basada en el ataque con bombas ocurrido en agosto de 1998 en Omagh, Irlanda del Norte. La explosión sucedió un sábado cuando mucha gente estaba de compras y haciendo otras tareas en el área de negocios de Omagh.

Más temprano aquel día, en la oficina de la BBC en Belfast se recibió una amenaza telefónica creíble de bomba, en la cual quien llamó advirtió que se había colocado una bomba cerca del juzgado de Omagh, ubicado a algunas cuadras de distancia del atestado distrito comercial. Inmediatamente la policía comenzó a evacuar el área que rodeaba el juzgado y comenzó a alejar a las personas de la amenaza percibida, dirigiéndolas hacia la zona comercial.

Casi veinte minutos después de recibirse la llamada telefónica, una enorme explosión sacudió la zona comercial justo donde la policía había estado reuniendo a los evacuados. El coche bomba, que pesaba alrededor de 500 libras, mató a 28 personas y dejó heridas a más de 200. El que hizo la llamada había engañado a la policía para que evacuase la gente hacia la prevista zona mortal, para causar más víctimas.

En el ejercicio, la amenaza telefónica llegó a la consola de seguridad de un edificio que poseía una plaza amplia al aire libre, que había que atravesar durante una evacuación típica. Al recibirse la llamada, el oficial informó al supervisor, quien decidió evacuar a todos los ocupantes del edificio a través de dicha plaza. Se había colocado un dispositivo explosivo simulado en la plaza, en el sector que tendrían que atravesar los evacuados para llegar al área de reunión, fuera de una estación del subterráneo, a una cuadra de distancia. El dispositivo “explotó”, causando grandes daños.

Varias lecciones se aprendieron del ejercicio. Por ejemplo, que no todas las amenazas ameritan una evacuación. Además, los oficiales de seguridad se dieron cuenta que las búsquedas necesitarían incluir las áreas a las que se podrían dirigir los evacuados, como la plaza al aire libre e incluso las escaleras de salida de emergencia.

Los participantes en el ejercicio aprendieron que se encuentran la mayoría de las bombas en la parte exterior de los lugares escogidos como blancos, porque es más fácil colocarlas allí. Por lo tanto, se enseñó a los oficiales de que vigilasen especialmente las áreas exteriores. Además, los oficiales se dieron cuenta de la importancia de considerar rutas de evacuación alternas.

Una vez que se ha seleccionado una situación, ésta puede también ser interpretada con varios resultados o niveles de amenaza, para dar a los alumnos, a través del desempeño de varias funciones, la oportunidad de aprender a manejar cada situación. Este es un enfoque especialmente útil para los problemas que probablemente surjan de las interacciones diarias, como tener que lidiar con un visitante difícil.

En estos casos el instructor puede desempeñar el papel del visitante y llevar al alumno a través de las diferentes combinaciones de un encuentro. Este tipo de entrenamiento puede incluir situaciones simuladas con visitantes temperamentales o alterados, así como con visitantes que no hablan el idioma, tienen limitaciones de audición, o de alguna otra manera presentan preocupaciones especiales para la comunicación.

El autor ha visto este entrenamiento dar resultados.

Por ejemplo, una mujer se presentó a una oficina de seguridad pidiendo hablar con una persona del piso de arriba, aunque no se le esperaba. Cuando seguridad telefoneó a la persona, esta se negó a verla. La mujer insistió en quedarse hasta que él bajase, esperando a eso de las 3 p.m. hasta las 7 p.m.

El oficial había sido entrenado justamente para una ocasión como esa. Utilizó técnicas de reducir la tensión para mantener tranquila a la mujer y llamó a la policía y a una ambulancia para hacer frente a posibles problemas mentales. Sin este entrenamiento, el oficial podría haber sido más agresivo y dispuesto al enfrentamiento, en vez de tener paciencia y empatía, lo que podría haber producido una confrontación cada vez más tensa y hostil, terminando posiblemente con lesiones al oficial, la visitante o los espectadores.

Ejercicios de prueba. Al entrenar a la fuerza de seguridad, es crítico que la interpretación de funciones sea seguida por ejercicios que comprueben el rendimiento del entrenado. Por ejemplo, el autor condujo el equipo de seguridad a una propiedad en donde todo el grupo de empleados había sido entrenado en los procedimientos de control de acceso, pero diversos incidentes hicieron evidente que esos procedimientos no eran siempre puestos en práctica.

Para evaluar la eficiencia de la fuerza de seguridad para controlar el acceso, se efectuó una prueba de penetración básica. Se escogieron varios evaluadores que eran desconocidos para el personal del edificio. A cada evaluador se le instruyó que llegase un lugar específico del edificio-por ejemplo, el vestíbulo de los ascensores del 10o. piso. Cada uno de estos lugares elegidos era controlado por CCTV. A los evaluadores se les asignó horas escalonadas para intentar el ingreso y estaban vestidos de ropa diversa--algunos usaban trajes de negocios y otros ropa de calle.

A los evaluadores se les dio un diagrama del edificio y una carta que explicaba el ejercicio, en caso de que fueran detenidos por ingresar sin autorización y se llamase a la policía. También se les pidió que llenasen un formulario de informe, en el cual indicaron la hora y la entrada que utilizaron y, si alcanzaron su objetivo dentro del edificio, la hora en que llegaron.

Los informes, junto con un repaso de los videos de las diversas entradas y lugares del edificio, le dio a la gerencia una imagen más clara de la situación tanto de los procedimientos de control de acceso como del entrenamiento de la fuerza de seguridad.

Los resultados de este ejercicio en particular fueron esclarecedores - unos siete de cada diez evaluadores fueron detenidos antes de llegar a sus destinos, lo que sugiere que la mayoría de los oficiales de seguridad se encontraban alertos, bien entrenados, y desempeñando sus obligaciones. Sin embargo, se identificó diverso personal que necesitaba entrenamiento adicional. Estos oficiales no cumplieron los procedimientos.

El procedimiento exigía que los oficiales de seguridad pidiesen que los empleados que llegaban después de las horas de trabajo mostrasen su identificación. Luego el oficial observaría mientras los empleados escribían sus nombres en letra de molde y firmaban una hoja de registro en el vestíbulo. Se halló que los oficiales de seguridad problemáticos les decían a los empleados que firmasen, sin comprobar sus documentos de identidad o verificar que escribiesen sus nombres correctamente. (Se encontró a un oficial de seguridad leyendo un diario, sin detener a las personas en forma adecuada y firme. Fue sancionado y asignado a un puesto con una supervisión más estricta).

Otro ejercicio de entrenamiento práctico usado con buenos resultados en la misma instalación implicó llevar al personal de seguridad por las diversas fases de un potencial incidente de atentado con bombas.

Antes del ejercicio, el personal de seguridad recibió entrenamiento en base a conferencias sobre el trato de amenazas telefónicas de bomba. artículos sospechosos, búsqueda de bombas, y cartas y paquetes sospechosos. El entrenamiento cubrió estos temas en términos generales y en términos específicos para las órdenes de los puestos de la instalación.

Después de esta exposición, se hizo pasar a los miembros del personal por un ejercicio de comprobación para ver hasta qué punto entendían lo que tenían que hacer. Este ejercicio, a diferencia de la prueba de penetración mencionada previamente, fue abierto pero sin anunciar. Unos minutos antes de que comenzase se les dijo a los oficiales de seguridad que era un ejercicio, y varios evaluadores con listas de verificación estaban presentes para calificar el desempeño del personal.

Se hizo una llamada simulada de amenaza de bomba a uno de los puestos de seguridad del edificio. El evaluador calificó la capacidad del oficial de seguridad que contestó para registrar la información del llamante en forma precisa y su habilidad para describir la forma de hablar de quien llamó y todo el ruido de fondo.

Después se comprobó la capacidad de los miembros del personal para transmitir la información al supervisor de turno.

El supervisor, acompañado también por un evaluador, asignó diferentes responsabilidades a los miembros del equipo. Una persona fue encargada de hacer las llamadas para avisar al 911 y a la administración del edificio (el ejercicio se desarrolló fuera de las horas de trabajo), y otra fue enviada a que acompañe a los respondedores de emergencia, como la policía y las compañías de bomberos.

Otro personal se asignó a los equipos de búsqueda. Los evaluadores acompañaron a los equipos de búsqueda durante todo el ejercicio. Un equipo ubicó un objeto sospechoso y se calificó su capacidad para avisar al supervisor y aislar el área en forma segura.

Después del ejercicio, las listas de verificación fueron revisadas y se hizo la evaluación a los oficiales de seguridad. La crítica se realizó en una atmósfera constructiva en donde los participantes pudieron expresar observaciones positivas y negativas de su propio rendimiento y el de sus colegas. Como ejemplo, el supervisor de seguridad, que dirigía uno de los equipos de búsqueda, descubrió un objeto sospechoso debajo de una mesa. En ese momento, levantó su radio portátil y presionó una de las teclas para alertar a la consola de seguridad.

Como el evaluador le hizo saber de inmediato, esta acción fue un error porque iba contra lo que el personal de seguridad había sido entrenado: les habían dicho que evitasen usar radios portátiles en una situación de amenaza de bomba o ante la presencia de un objeto sospechoso debido al riesgo de accionar un sistema eléctrico de disparo. En la crítica que siguió al ejercicio, se reiteró la lección a todos los oficiales.

Otro dispositivo sospechoso fue localizado en la plaza exterior. Aunque los oficiales de seguridad que descubrieron el objeto informaron en forma apropiada, no cumplieron en aislar el área circundante.
Varios meses después se condujo un ejercicio de entrenamiento posterior utilizando un escenario similar. Durante este ejercicio, el personal de seguridad trabajó en forma mucho más consistente, y no se repitieron los problemas vistos durante el primer ejercicio. Sin embargo, surgieron algunos problemas nuevos. Por ejemplo, algunos oficiales recordaban los detalles exactos de la amenaza mejor que sus colegas.

A partir de esa experiencia, se hizo claro que ciertos oficiales estaban mejor preparados que otros para manejar los teléfonos, aunque era imposible restringir esas tareas para los oficiales más competentes. El resultado de ambos ejercicios, empero, fue un mayor entendimiento de las capacidades y puntos débiles del personal por parte de la gerencia y una apreciación mayor de los participantes respecto a las dificultades que encontrarían al responder a una situación de emergencia real.

Pruebas individuales. Los que asisten al entrenamiento deben someterse a una prueba después que han terminado el curso. La prueba debe ser efectuada formalmente y con documentación de soporte.
Una forma excelente para comprobar las destrezas individuales es utilizar una lista de verificación.

Durante el entrenamiento, los objetivos deben ser estandarizados y establecidos con claridad. Cuando se ha completado el entrenamiento, y a partir de allí en forma periódica, un evaluador con una lista de verificación, debe pedir al entrenado que demuestre las destrezas requeridas. Por ejemplo, si el entrenamiento se trata de responder a un alarma en la consola de seguridad, la lista de control puede detallar los pasos que se necesitan tomar, como reconocer la alarma, enviar una patrulla para investigar, y avisar al personal de supervisión o gerencia. El evaluador puede entonces determinar en forma sistemática si todas las acciones fueron debidamente ejecutadas. Mediante este análisis, el gerente de seguridad puede identificar áreas en las que cada individuo puede necesitar mejorar y cómo se puede efectuar el entrenamiento mejor en el futuro.

Revisión periódica. Las lecciones para el entrenamiento deben ser periódicamente revisadas y vueltas a probar. En el edificio de oficinas mencionado anteriormente, por ejemplo, cada seis meses se ofrece entrenamiento estructurado de seguridad contra incendios, durante el cual el personal pasa por un incidente simulado.

Entrenamiento de repaso. Generalmente, el entrenamiento de repaso sólo es necesario cuando el personal de seguridad no puede realizar ciertas tareas o cuando falla en el momento de explicar o demostrar un procedimiento durante un repaso. En esos casos, el entrenamiento normalmente se da en el momento.

Empleados

Los empleados que no trabajan en seguridad tienen otras responsabilidades que reducen su atención a la seguridad, pero a través del entrenamiento de concientización se les puede dar una visión general de las consideraciones de seguridad enfatizando cómo pueden contribuir a un centro de trabajo más seguro. Se les puede dar ejemplos de cómo sus acciones pueden tener ramificaciones de seguridad.

Es mejor dar el entrenamiento de seguridad al personal que no es de seguridad en los inicios de su período de empleo. Es de ayuda si el departamento de seguridad prepara el programa conjuntamente con varios otros departamentos, como el de recursos humanos. Atlas Air presenta los conceptos de seguridad a sus nuevos empleados desde el primer día de trabajo. Un representante del departamento de seguridad da una presentación de 15 minutos como parte de cada orientación de empleados nuevos.

Esta introducción le da al nuevo empleado una visión panorámica de la misión del departamento de seguridad. También comprende la emisión de tarjetas de acceso y las políticas de control de acceso, emisión de etiquetas de estacionamiento y políticas sobre estacionamiento, presentación de informes de incidentes, y algunas pautas generales sobre los programas de seguridad de la compañía tales como seguridad de información e información sobre contactos.

La charla de orientación inicial brinda al empleado valiosa información relacionada con políticas y procedimientos de seguridad. También debe hacer que los nuevos empleados se sientan cómodos al iniciar contacto con seguridad en el futuro si tienen cualquier preocupación.

Además, los temas de seguridad se incluyen de vez en cuando durante los intercambios entre empleados, una reunión del tipo de ayuntamiento, en donde los altos funcionarios de la compañía abordan diversos temas con los empleados. Otra herramienta para la conciencia de seguridad, aunque hablando estrictamente no es una actividad de entrenamiento, es la revista de la compañía, la que puede utilizarse para difundir el mensaje de seguridad.

En Atlas Air, seguridad ha incluído artículos sobre la protección de información privada, consejos de seguridad para hacer compras, seguridad en el hogar, fraude con tarjetas de crédito, y robo de identidad.

La meta es reducir la cantidad y gravedad de diferentes tipos de incidentes, dándoles a los empleados las herramientas que necesitan para evitar la situación en primer lugar o para detectarla durante sus inicios.

Entrenamiento especializado. Determinado personal no perteneciente a seguridad necesitará entrenamiento especializado dirigido a los aspectos de seguridad de sus trabajos. El entrenamiento puede ser dado en clases orientadas a grupos específicos, de preferencia breves, presentadas por un representante del departamento de seguridad.

Por ejemplo, se deben entrenar a los ayudantes de ejecutivos y al personal de la oficina de correo para detectar las señales que advierten una potencial carta o paquete bomba. Esto es cierto incluso si la compañía emplea equipos de rayos-X para revisar toda la correspondencia entrante. Los representantes de servicio al cliente necesitan saber tratar las llamadas telefónicas amenazadoras, y los recepcionistas de la compañía deben ser entrenados para lidiar con visitantes encolerizados, potencialmente amenazadores, que puedan encontrar cara a cara.

Un buen ejemplo de este tipo de entrenamiento especializado es una clase que puede darse a los recepcionistas. Los recepcionistas generalmente realizan importantes funciones de control de acceso.

En algunos casos, los recepcionistas pueden estar localizados en un área en donde los visitantes tienen que atravesar un punto de control de seguridad antes de llegar a ellos, o pueden estar ubicados al costado de un puesto de seguridad. Sin embargo, con frecuencia, especialmente en compañías más pequeñas, el recepcionista se sienta solo y es el principal método de control de acceso durante las horas de trabajo.

Es esencial que el recepcionista comprenda el elemento de seguridad de su trabajo y que sea adecuadamente preparado para tratar situaciones difíciles. Estas pueden fluctuar desde visitantes trastornados hasta llamadas telefónicas difíciles o amenazadoras.

Se puede proporcionar entrenamiento mediante una conferencia y una presentación en PowerPoint. Si fuese conveniente, se puede insertar un estudio de caso o una situación hipotética de entrenamiento. Es importante mantener el entrenamiento relativamente breve y específico y tan simple como sea posible, al mismo tiempo que aún se transmite la información necesaria.

Después del entrenamiento, un evaluador puede efectuar una prueba de penetración a través del área de recepción. La prueba también puede ser una oportunidad para evaluar otros aspectos del rendimiento del recepcionista, como sus habilidades para el servicio a los clientes.

La prueba de penetración puede ser efectuada casi de la misma manera como con la fuerza de seguridad. Se pueden enviar a los evaluadores al sitio, con instrucciones de tratar de ingresar mediante varios métodos diferentes. El evaluador puede tratar de engañar al recepcionista para que le permita pasar o puede simplemente tratar de evitar al recepcionista durante un momento congestionado del día.

Este tipo de comprobación ayudará a determinar si el entrenamiento ha sido efectivo. En el anterior lugar de empleo del autor, las evaluaciones mostraron que la mayoría de los recepcionistas estaban aplicando las lecciones del entrenamiento y evitando que ingresase personal no autorizado, aunque se reveló alguna deficiencia ocasional, como cuando el evaluador encontró dormido a un recepcionista.

Asociándose. Para proporcionar este entrenamiento en forma efectiva, el departamento de seguridad debe trabajar conjuntamente con otros departamentos dentro de la compañía, específicamente recursos humanos, operaciones, y comunicaciones corporativas, ya que estos departamentos le ofrecen a seguridad el mayor acceso a la masa de empleados. Con frecuencia, esto significa que el departamento de seguridad tendrá que convencer a los jefes de estos departamentos de la necesidad de este tipo de entrenamiento y tendrá que demostrar que es aplicable al empleado ordinario.

A su vez, estos departamentos pueden aconsejar a seguridad cómo presentar este material de una manera que sea útil para los empleados sin crear un clima de preocupación innecesaria o temor.

En Atlas Air, por ejemplo, se le dijo a seguridad que su personal administrativo estaba comunicando los conceptos en forma demasiado brusca. Desde entonces han aprendido a agregar un toque de suavidad a las exposiciones y a mantener una terminología sencilla.

En algunos casos, incluso se ha retirado la palabra “seguridad” del título de la sesión de entrenamiento.

En la búsqueda de un lugar de trabajo más seguro y protegido, el entrenamiento de seguridad debe ser dado del mismo modo a empleados de seguridad y a los que no pertenecen a ella. Aunque el enfoque de este entrenamiento y de los métodos y técnicas empleados puede ser diferente para estos dos grupos, la meta final es una compañía en donde todos los empleados tomen un papel activo para proteger al personal y a los recursos de la compañía y reducir la frecuencia y severidad de los incidentes.

Patrick R. Kane, CPP, es el director de seguridad de Atlas Air, Inc., ubicada en Purchase, Nueva York. Es autor de Practical Security Training (Entrenamiento Práctico de Seguridad). También es miembro de ASIS.
Conviene entrenar

El entrenamiento puede ayudar a la compañía en diferentes frentes. Si ocurre un incidente en el inmueble de la compañía y origina una acción legal, por ejemplo, los registros detallados de entrenamiento pueden ayudar a la compañía a demostrar que su personal de seguridad y empleados estaban adecuadamente entrenados, lo cual puede reducir o eliminar la responsabilidad.

El entrenamiento efectivo también eleva la moral del empleado. Los oficiales de seguridad hacen un trabajo que frecuentemente es rutinario y tedioso. Proporcionarles un entrenamiento informativo y atractivo y tratarles de manera profesional hará que se sientan mejor respecto a quiénes son y qué hacen.

Del mismo modo, el entrenamiento general de conciencia de seguridad para todos los empleados les facultará a sentirse más seguros dentro y fuera del lugar de trabajo. Puede ser que muchas prácticas simples que parecen ser de sentido común para los profesionales de seguridad no sean muy conocidas para el empleado común. Por ejemplo, en una clase reciente para los recepcionistas de Atlas Air, Inc., los recepcionistas agradecieron a los entrenadores por darles consejos, como las técnicas para reducir la intensidad de un evento, para ayudarles a sentirse más tranquilos frente a situaciones fuera de lo común.

Una conducta proactiva prudente también puede reducir los incidentes. Los oficiales uniformados de seguridad que están entrenados en buenas técnicas de patrullaje pueden impedir los incidentes, y los empleados que adoptan las opciones correctas respecto a la protección de la propiedad o prevención de situaciones o lugares potencialmente peligrosos pueden evitar que sucedan los problemas.

Lamentablemente, es imposible cuantificar estos logros porque no se puede saber con certeza si un incidente habría ocurrido bajo circunstancias diferentes. Sin embargo, lo que con frecuencia es cuantificable es el grado hasta el cual se puede mitigar el daño cuando los incidentes llegan a ocurrir. Por ejemplo, si el personal de seguridad ha ensayado ampliamente los procedimientos de evacuación, y ocurre una situación tal como un incendio, la capacidad del personal de seguridad para evacuar eficiente y efectivamente el edificio validará el entrenamiento.

Cuando el autor trabajó para una empresa en un edificio de 40 pisos, los oficiales tenían que dar respuesta a los problemas médicos urgentes de los huéspedes o invitados, tales como ataques de ansiedad o dolores de pecho. Estos oficiales hacían mención de medidas específicas de su entrenamiento para salvar vidas - más notablemente cómo operar los ascensores independientemente y mantenerlos en espera para que uno estuviera rápidamente disponible en el piso correcto - por ayudar a agilizar el tratamiento.


 
 Respond to this message   


Forum Owner
Una leccion sobre entrenamientoApril 27 2004, 2:58 PM 

Una leccion sobre entrenamiento

por Scott Watson, CPP

El entrenamiento es uno de un gran número de preocupaciones que mantienen despiertos por la noche a los profesionales de seguridad. Aunque la mayoría de los departamentos de seguridad tienen alguna forma de entrenamiento autodidacto o en aula, la calidad de estos programas, como la miden los objetivos de desempeño, varía en gran medida. ¿Cómo se asegura un gerente de seguridad que el tiempo y el dinero que él o ella gasta en el entrenamiento producen el necesario retorno de la inversión? ¿Cómo puede saber un gerente que el entrenamiento recibido por el personal hoy se traducirá en una acción positiva durante una emergencia de aquí a seis meses? La clave es seguir un proceso paso a paso para desarrollar el programa y asegurar que por lo menos una parte del entrenamiento da participación a los estudiantes en actividades basadas en escenarios.

Paso a paso

Muy a menudo, los gerentes reconocen una deficiencia de desempeño e inmediatamente asumen que la solución es el entrenamiento. Esto es un error. Los empleados a veces no rinden como se esperaba por razones que no están relacionadas con el entrenamiento. De hecho, a menos que el gerente pueda determinar que la causa principal de la deficiencia observada es una falta de conocimiento o habilidad, el entrenamiento no servirá para ningún propósito.

Por lo tanto, los gerentes siempre deben hacer un análisis para evaluar la necesidad del entrenamiento.

Ese es el primer paso en lo que se conoce como el modelo ADDIE para desarrollar un programa de entrenamiento (el acrónimo es sacado de las primeras letras de cada paso, comenzando con el análisis). Los otros pasos son determinar el diseño del programa, desarrollar el programa, implementar el plan y evaluar los resultados. Los siguientes estudios de caso demuestran cómo los conceptos básicos de diseño de la instrucción fueron aplicados y modificados para satisfacer las necesidades de dos departamentos de seguridad diferentes.

Respuesta a emergencias

El primer estudio de caso demuestra cómo fue usado el modelo ADDIE como una herramienta de evaluación. En la compañía en cuestión, el departamento de seguridad estaba compuesto de una fuerza propia grande, bien equipada y bien entrenada. Dentro de sus obligaciones, el departamento se concentraba en prestar asistencia médica de urgencia a los empleados y visitantes que se enfermaban o lastimaban. Como parte del programa básico de entrenamiento de oficiales de seguridad, se habilitó a todo el personal como elementos de respuesta inmediata y, con el apoyo y fondos de la compañía, algunos oficiales seleccionados de seguridad se habían convertido en técnicos médicos de emergencia (EMTs, en inglés).

En un esfuerzo proactivo por mejorar sus capacidades de respuesta, el departamento comenzó a buscar las áreas que necesitaban mejoramiento. Como parte de esta evaluación de necesidades, una revisión de los informes de incidentes pasados determinó que, aunque se había respondido exitosamente a un gran número de emergencias médicas, ellas generalmente caían dentro de unos cuantos tipos específicos de problemas médicos relativamente menores. La pregunta si el personal, a pesar de su entrenamiento formal, podría responder con éxito ante una emergencia más seria, necesitaba ser sometida a prueba. Además, el departamento recientemente había inaugurado un sistema de comando de incidentes dentro de sus procedimientos estándares de operación y se necesitaban pruebas de seguimiento para determinar si el personal estaba desempeñándose según el estándar recientemente adoptado.

Como el objetivo era evaluar dos asuntos separados, se diseñó el escenario hipotético de tal modo que un incidente se desarrollase dentro de otro. La respuesta a una alarma de incendio sería utilizada para examinar los protocolos del sistema de comando de incidentes. Al llegar a la escena, los oficiales de seguridad no encontrarían fuego alguno. En vez de ello, encontrarían al ingeniero del edificio desplomado en el suelo como resultado de una pequeña explosión proveniente de una caja eléctrica.

Antes de diseñar los aspectos específicos del escenario, se efectuó un análisis de tareas haciendo referencia a los procedimientos operativos estándares de la compañía sobre emergencias médicas y el sistema de comando de incidentes. Estos procedimientos operativos estándares reflejaban el reglamento estatal sobre la atención médica de emergencia. Se desarrollaron criterios específicos para determinar si todos los aspectos de los protocolos de respuesta habían sido cumplidos.

Por ejemplo, al llegar a la escena de la emergencia, generalmente se esperaba que los oficiales de seguridad realizasen funciones tales como revisar la escena del incidente para ver si era seguro ingresar a la habitación y prestar ayuda; tratar de averiguar el mecanismo de la lesión; realizar una encuesta médica básica; inmovilizar el cuello y la cabeza de la víctima (si había razón para creer que la emergencia era el resultado de una lesión como una caída, en vez de una condición médica tal como un ataque al corazón); y tomar y registrar los signos vitales de la víctima. Mientras tanto, se esperaba que por lo general los elementos de respuesta que no eran médicos notificasen al servicio médico local de emergencia, coordinasen las comunicaciones entre todos los elementos de respuesta y con los organismos públicos, se asegurasen que el personal del servicio médico de emergencia pudiese localizar e ingresar a la instalación, controlasen a las multitudes si fuese necesario y tomasen notas para usar posteriormente en un informe de incidente


Estos criterios fueron utilizados para conformar dos listas de control del escenario. La primera lista de control cubría el sistema de comando de incidente; esa lista se le entregó a un supervisor de seguridad con experiencia en esa área. La segunda lista de verificación cubría la parte de la respuesta médica del escenario y fue entregada a un oficial de seguridad de alto nivel quien también era un EMT. Los dos miembros del personal de seguridad a quienes se les habían dado las listas de control eran los responsables de calificar las actividades enumeradas en sus respectivas listas de verificación durante el transcurso del escenario.

El planeamiento para la prueba era crucial, porque la gerencia no quería que se afectasen las operaciones normales. El ejercicio solo involucraría al equipo de seguridad y se conduciría durante las primeras horas de la mañana.

El edificio de seguridad fue elegido como el lugar del escenario porque el reglamento local contra incendios no exigía que el sistema de alarma contra incendios estuviese enlazada con el departamento de bomberos, si una fuerza de seguridad local estaba presente. Además, se informó a los operadores del centro de comando de seguridad de la emergencia para evitar una llamada al servicio médico local de emergencia.

Habiéndose reducido la probabilidad de que el escenario hipotético interrumpiese las operaciones normales de la empresa, o de un informe inadvertido de incidente a las autoridades locales, los planificadores desarrollaron los aspectos específicos del ejercicio. Se tomó la decisión de filmar el escenario hipotético con una cámara grabadora en un esfuerzo por proporcionar, al rendir cuenta del escenario, una visión objetiva de lo que había sucedido.

El ejercicio comenzó el día designado a las 2 a.m. cuando el operador del centro de comando recibió la activación de una alarma en su pantalla. Según los protocolos normales, envió oficiales de seguridad a la escena e intentó tomar contacto con el ingeniero del edificio. El primer oficial en llegar a la escena estableció un comando del incidente como requerían los protocolos, se colocó junto al panel contra incendios y dirigió al segundo y al tercer oficial hacia la activación de la alarma en el sótano. Los oficiales de seguridad encontraron a los tres observadores que los esperaban. A los oficiales se les ordenó que reaccionasen como si fuera un hecho real.

Los oficiales procedieron a revisar la escena para determinar si era seguro ingresar. Una vez que vieron que lo era, los oficiales se acercaron a la víctima, quien yacía a una distancia de varios pies de un panel eléctrico. Notando las marcas obvias de quemaduras en el cuerpo de la víctima (hechas con maquillaje de teatro) y la distancia del panel eléctrico, los oficiales asumieron correctamente que había ocurrido una explosión, posiblemente causando lesiones en el cuello o la espalda a la victima. Un oficial se puso al costado de la cabeza de la víctima y le aplicó una estabilización en línea mientras que el otro realizaba una revisión médica primaria, determinando que la víctima experimentaba una respiración dificultosa y era poco sensible al estímulo verbal.

Después de evaluar los signos vitales y administrar oxígeno de alto flujo, un oficial realizó una segunda revisión y empezó a tratar las quemaduras y otras lesiones relacionadas, según era necesario. Unos minutos más tarde se tomaron los signos vitales de seguimiento y se continuaron hasta las 2:20 a.m., cuando los observadores anunciaron que las autoridades habían llegado a la escena y asumido responsabilidad por la victima. Esto concluyó el escenario hipotético.

Poco después de que se terminase el ejercicio, mientras la experiencia todavía estaba fresca en la mente de todos, se llevó a cabo una reunión de información. El supervisor abrió la reunión recalcando a cada uno de los participantes que la situación hipotética se desarrolló para que pudiesen aprender el uno del otro, estableciendo así el tono de la reunión y evitando que ella se convirtiese en una situación estresante. Luego, cada participante y observador dio su propio relato sobre lo que había ocurrido durante el escenario planteado.

Un observador notó que el oficial que efectuaba la estabilización en línea había, en varias ocasiones, permitido que el cuello y cabeza se movieran. Si este acto hubiera ocurrido durante una emergencia médica verdadera, la víctima podría haber experimentado lesiones adicionales o posiblemente parálisis.

El oficial que había realizado esta tarea no creía que había hecho incorrectamente la tarea. Luego se revisó la cinta de video de la cámara. La cinta mostraba que el oficial en efecto había soltado el cuello de la víctima en una ocasión y que había aflojado significativamente su asimiento varias otras veces.

Después de que se completó la revisión del video y cada participante y cada observador tuvo la oportunidad de hablar, se desarrolló una lista de lecciones aprendidas. Encabezando la lista estaba más entrenamiento y práctica en sostener la cabeza o cuello de una víctima durante la estabilización en línea, cuando el mecanismo de lesión sugería un problema de cuello o espalda.

Aunque había espacio para mejorar, la determinación total de este escenario fue que el personal había cumplido satisfactoriamente la mayoría de los criterios establecidos. Otros escenarios hipotéticos posteriores mostraron una mejoría con tiempo.

Control de acceso

El segundo estudio de caso muestra como se utilizó el modelo ADDIE para mejorar la función del control de acceso en una compañía grande que utilizaba personal de seguridad contratada para proteger sus oficinas principales en el centro de la ciudad. El personal contratado recibía su entrenamiento básico de oficial de seguridad antes de ser asignado al lugar, y ya en el empleo se les daba un entrenamiento específico sobre el sitio, complementado por cursos autodidactos proporcionados por la compañía contratada.

Cuando la compañía de seguridad asumió la responsabilidad del contrato por primera vez, el arreglo funcionó bien. La calidad del trabajo era apropiada para las necesidades de la instalación. Sin embargo, al pasar el tiempo, el perfil de la amenaza cambió. La compañía fue el blanco de manifestantes, y estas protestas fueron cubiertas por los medios de prensa. Esta publicidad incrementada, combinada con un número creciente de amenazas externas de violencia laboral dirigidas contra los empleados, llevó a los gerentes de seguridad a volver a evaluar el programa de entrenamiento de los oficiales de seguridad y buscar oportunidades para mejorarlo.

Una serie de incidentes menores brindó un punto de partida para este esfuerzo al determinarse que los oficiales de seguridad operativos se habían relajado al tratar los problemas de control de acceso. Los procedimientos escritos exigían que los oficiales de seguridad examinasen visualmente la insignia de identidad de cada empleado que ingresaba a la instalación y sólo permitiesen el acceso a aquellas personas que presentasen una insignia válida de la compañía con la fotografía del empleado. Mientras tanto, se dirigían a los visitantes a una entrada particular donde se verificaba su identidad y la razón por la que se encontraban en el lugar.

En una ocasión, dos mujeres que no eran de la ciudad confundieron las oficinas generales de la compañía por un edificio del otro lado de la calle. Ellas ingresaron a la instalación por la entrada principal y caminaron por delante de cuatro oficiales de seguridad sin que se les pidiera su identificación. Luego las mujeres entraron al ascensor y acabaron deambulando en un piso superior, antes de ser detenidas por una secretaria alerta.

En otro caso, un contratista llegó bastante antes de las horas de trabajo para efectuar algo de trabajo en un área restringida de la instalación. El oficial de seguridad conocía al contratista y le permitió continuar al área sin una escolta porque el oficial tenía poco personal y no quería causar inconvenientes al contratista al hacerlo esperar.

Para abordar estas situaciones y otros problemas potenciales, los gerentes de seguridad realizaron un análisis de necesidades de entrenamiento. Se entrevistó informalmente a miembros del personal y se revisaron los informes de incidentes pasados para descubrir la existencia de cualquier tendencia.

Además, se creó y entregó a cada oficial de seguridad un “Formulario de Evaluación de Conocimientos del Oficial de Seguridad”, basado en las consignas de los puestos del lugar.

Varios temas surgieron de la información recogida. En la entrada de empleados, algunos oficiales no entendían del todo las órdenes del puesto. Otros se concentraban tanto en los procedimientos escritos que fallaban en aplicar un criterio firme cuando se veían frente a situaciones inusuales. Aun otros se habían vuelto permisivos con el transcurso del tiempo. Sin embargo, los guardias de seguridad ubicados en la entrada para visitantes se desempeñaban en forma coherente, de acuerdo con los procedimientos establecidos.

La terminación del análisis de necesidades reveló dónde existían deficiencias de desempeño. Armados con esta información los gerentes de seguridad desarrollaron objetivos didácticos formales según el desempeño deseado que se esperaba de cada oficial de seguridad. Debido a que la función de control de acceso era un tema particularmente preocupante, los gerentes de seguridad decidieron conducir una serie de escenarios de penetración.

En estos escenarios, se les pidió a empleados seleccionados y a otros voluntarios que intentasen ingresar sin presentar una identificación apropiada. Algunos de estos examinadores presentaron licencias de conducir y otros documentos, mientras que a otros se les entregó insignias legítimas de antiguos empleados.

Además de ello, a varios verificadores se les pidió que tratasen de convencer a los oficiales de seguridad que les dejasen pasar. Los resultados de estos ejercicios iniciales de penetración fueron excesivamente malos: De 16 intentos para ingresar a la instalación, 15 tuvieron éxito.

Las razones por las que los verificadores pudieron penetrar en la instalación cayeron de modo general en una de tres categorías: En la primera, el oficial de seguridad no inspeccionaba visualmente la insignia de identificación de cerca. Tales fallas permitieron que ingresase con éxito una mujer de unos 30 años mostrando la insignia de un empleado varón de unos 50 años.

En otras oportunidades, el o la oficial de seguridad se dejaba distraer por la amabilidad de los examinadores. Por ejemplo, una empleada de recursos humanos muy efusiva se puso a conversar con el oficial de seguridad antes de entrar a la instalación. El guardia se distrajo con la conversación y permitió que ella entrase a la instalación sin enseñar una insignia de identidad.

La tercera razón fue que el oficial de seguridad quedaba abrumado por el número de empleados que ingresaban por el punto de control en un momento dado: los que hacían la comprobación intentaban ingresar en los momentos excepcionalmente ajetreados, escabulliéndose por el puesto mientras el oficial estaba tratando con otros empleados o visitantes.

Lecciones. A los guardias de seguridad se les informó los resultados de una manera no acusatoria. En las situaciones donde había errores debido a una falta de conocimiento, se tomó el tiempo para explicar las órdenes del puesto y otros aspectos de la operación. En las situaciones en las cuales los oficiales de seguridad no aplicaron un criterio apropiado, se desarrolló y expuso ante los oficiales una serie de escenarios escritos y verbales. Después de que los oficiales dieron sus respuestas a estas situaciones, los oficiales y el supervisor analizaron el problema hasta que el supervisor quedó convencido de que el oficial había entendido lo que se esperaba.

Por ejemplo, se le describiría al oficial una situación como aquella del contratista a quién habían dejado entrar sin escolta en un área restringida en las primeras horas de la mañana, y su respuesta sería registrada por el supervisor. Las desviaciones en la respuesta del oficial con respecto a las órdenes del puesto y a la política de la compañía, así como asuntos más subjetivos como el criterio acertado, fueron anotadas y tratadas en sesiones de tutoría individual o en ejercicios adicionales de entrenamiento en grupo.

Este planteamiento puso a prueba a los oficiales en una forma carente de crítica, permitiéndoles practicar y aprender mejores técnicas para reaccionar en una situación real. Para aquellos oficiales de seguridad que se habían vuelto complacientes con el transcurso del tiempo, el simple hecho de que los escenarios de penetración se efectuasen en forma regular, dio como resultado un desempeño mejorado.

Después de que se condujeron los escenarios y se identificaron las deficiencias en el desempeño, se condujo un segundo conjunto de escenarios para evaluar el efecto del entrenamiento. El desempeño de los oficiales de seguridad después de los ejercicios de penetración fue comparado con los datos del análisis de necesidades reunidos al inicio de la iniciativa. La comparación mostró que el programa estaba produciendo resultados que se podían medir.

Como dijo el filósofo Epictetus hace más de 2000 años, “Sea lo que sea que quiere hacer habitual, practícalo”. Para el departamento de seguridad eso significa hacer que el personal practique los procedimientos en programas de entrenamiento adecuadamente diseñados hasta que la respuesta correcta también se vuelva habitual.

Scott Watson: CPP, CFE (Examinador Certificado de Fraudes), EMT (Técnico Médico de Emergencias), es un analista senior de gestión de riesgos que trabaja en Liberty Regional Agency Markets en Keene, New Hampshire. Posee maestrías en administración de justicia penal y en diseño de la instrucción y es el actual presidente del Capítulo Costero Tri-estatal de ASIS.

Entrenamiento de la A a la E

Siga estos cinco pasos para elaborar un programa de entrenamiento:

Análisis

La primera etapa del modelo ADDIE, el análisis didáctico, es la base sobre la que se construye todo el programa. Aquí, el gerente de seguridad necesita determinar si el entrenamiento es la solución apropiada y, si lo es, cual será la meta o el resultado del entrenamiento.

El gerente debe efectuar un análisis de necesidades de entrenamiento para examinar otras causas posibles, como moral baja, compensación poco convincente, problemas sistémicos, y supervisión deficiente. Mientras efectua este análisis de necesidades de entrenamiento, el gerente debe utilizar numerosas fuentes de información, incluyendo entrevistas y cuestionarios a los empleados, una revisión de reportes de incidentes anteriores, pruebas diagnósticas, y la observación.

Tomada en su totalidad, esta información debe proporcionar suficientes datos al gerente de seguridad para que determine si la deficiencia de desempeño está o no relacionada con una falta de conocimiento o habilidad. Si lo es, entonces el gerente debe determinar cuál es el conocimiento o habilidad que falta y exactamente cuál es el objetivo final.

El Dr. Robert F. Mager esboza un método simple para determinar estas metas en su libro de 1997 titulado Preparando Objetivos Didácticos (Preparing Instructional Objectives, publicado por CEP Press). Mager divide los objetivos didácticos en cuatro secciones. El primero, conocido como tema, generalmente contiene una afirmación tal como “Al término del curso el estudiante podrá …(llenar espacio en blanco)”. Otras tres secciones siguen la afirmación del propósito: desempeño, criterios y condición.

La sección desempeño detalla exactamente lo que el gerente o el creador del curso quiere que hagan los estudiantes, identificando exactamente los comportamientos que se desean y cómo se medirá su cumplimiento. (Durante la fase de evaluación del modelo ADDIE, los resultados se juzgan según los estudiantes alcanzaron o no los objetivos de desempeño). Al escribir un estándar para medir el desempeño, uno debe evitar términos vagos que no puedan ser cuantificados fácilmente.

Una de las palabras que más se debe evitar es “comprender”. Es mejor escribir el objetivo en términos de acciones observables que muestren claramente que el empleado comprende. Por ejemplo, si un gerente de seguridad se quiere asegurar que los oficiales entiendan cómo crear una insignia de identificación para un empleado, entonces la medida de rendimiento deseado debe ser que el empleado pueda crear una insignia y la comprobación de esto sería hacer que él lo haga al final de la clase, a modo de examen.

La sección condición describe las circunstancias bajo las cuales el gerente desea que el empleado ejecute la tarea. Por ejemplo, la sección condición podría leerse “Se creará una insignia usando el sistema Badge-o-Matic 1200”.

La sección criterios incluye el grado de calidad o los estándares que se esperan cuando se ejecuta la tarea bajo las condiciones apropiadas. Siguiendo el ejemplo de crear una insignia para un nuevo empleado, el criterio puede ser que la insignia tiene que cumplir las normas corporativas generales para una insignia de identificación de empleado.

Cuando esté escrito de manera completa, el objetivo didáctico en este ejemplo podría leerse: “Al final de esta sesión de entrenamiento, el oficial de seguridad podrá crear una insignia para un nuevo empleado usando el sistema Badge-o-matic 1200 de acuerdo con las normas corporativas para insignias de empleado”.

Una vez que el gerente haya establecido los objetivos didácticos para el entrenamiento, debe revisarlos para ver si se pueden medir. En este caso, la respuesta es sí; como se hizo notar anteriormente, el gerente puede observar a los oficiales de seguridad que recibieron el entrenamiento mientras producen la insignia de identificación, lo cual mide el conocimiento adquirido según los estándares de rendimiento del objetivo.

Diseño

La siguiente etapa trata el diseño del entrenamiento. Con los objetivos didácticos ya escritos, el gerente de seguridad debe determinar qué formato tendrá el curso de entrenamiento. La forma del entrenamiento debe ser elegida según el tiempo disponible, los costos financieros y al impacto operacional sobre el departamento. En ciertas situaciones, puede ser una instrucción autodidacta o en aula. Otra opción es un entrenamiento basado en escenarios hipotéticos, lo cual ofrece una importante herramienta complementaria de instrucción que puede ayudar a poner las lecciones de aula en una perspectiva de vida real para los estudiantes.

¿Porqué entrenamientos basados en escenarios hipotéticos? Los estudiantes adultos tienden a dirigirse por sí solos, con objetos específicos en mente mientras aprenden un material nuevo. Típicamente son motivados por un deseo de ejecutar alguna actividad o alcanzar alguna meta en sus vidas privadas o profesionales. Además, debido a que los estudiantes adultos ingresan a las actividades educacionales con la riqueza de una experiencia externa de la cual extraen conclusiones, frecuentemente aprenden más de las experiencias y del conocimiento de otros estudiantes que de los instructores.

Infortunadamente, la mayor parte del entrenamiento de seguridad que se da en los centros de trabajo no toma en cuenta estos aspectos; en lugar de ello, está basado en técnicas diseñadas para niños de escuela: conferencias en aula o lectura de libros de texto, sin participación del alumno y sin manera de adaptar el entrenamiento a problemas específicos del lugar.

El entrenamiento basado en escenarios hipotéticos resuelve muchos de estos problemas.

Debido a que los escenarios están diseñados para poner a prueba la respuesta del personal contra amenazas especificas del local, ellos estimulan al aprendizaje activo del material pertinente. El entrenamiento basado en escenarios hipotéticos también permite que el gerente de seguridad compruebe tanto las capacidades del personal como los procedimientos establecidos en situaciones que simulan la tensión de un evento real.

Desarrollo

El jefe de seguridad necesitará determinar exactamente la apariencia del curso o entrenamiento. Para este finalidad, el gerente de seguridad usará los objetivos didácticos de la etapa de análisis y la decisión sobre el formato adoptada en la etapa de diseño, y revisará los recursos que tiene a su disposición. Los aspectos específicos del entrenamiento dependen del tamaño del departamento y el nivel deseado de formalidad para el producto final.

Implementación

Implementar el programa es el próximo paso. Una vez más, según el tamaño de la operación, los recursos disponibles y el nivel deseado de formalidad, este paso puede tomar sólo un día o hasta varios meses para concluirse.

Evaluación

El propósito de la etapa de evaluación es determinar si los estudiantes han aprendido el conocimiento o las habilidades deseados. Los gerentes pueden determinar el éxito del programa repitiendo la etapa de análisis para observar si la deficiencia de desempeño ha sido eliminada. Pero el gerente también debe revisar el programa de entrenamiento en sí, considerando los resultados de desempeño en el transcurso del tiempo, la retroalimentación de los estudiantes, los costos asociados y los impactos operacionales sobre el departamento. Estos resultados, tomados en su totalidad, deberán entonces ser utilizados para mejorar el programa de entrenamiento.


 
 Respond to this message   


Forum Owner
Los Nuevos CenturionesApril 27 2004, 2:59 PM 

Los Nuevos Centuriones

por Sherry L. Harowitz

http://www.securitymanagement.com/

Cualquier intento de determinar cómo ha cambiado la seguridad corporativa durante el último año debe comenzar en la fuente con una autoevaluación hecha por los jefes de los departamentos de seguridad. Pero así como Alexis de Tocqueville aportó la provechosa perspectiva de un forastero a la América del siglo 19, ayuda ir más allá del profesional de seguridad cuando se evalúa el estado actual de la seguridad. Con eso en mente, Security Management ha considerado no sólo cómo los directores superiores de seguridad evalúan sus propios papeles sino cómo se percibe la seguridad entre los altos ejecutivos de las empresas, analistas de Wall Street, y otros. El cuadro que surge es el de una disciplina que ha dado pasos muy importantes, aunque todavía queda mucho por hacer.

Un claro indicador de la nueva importancia de la seguridad es que cuando la Mesa Redonda de Negocios (Business Roundtable), una asociación de los presidentes ejecutivos (CEOs) de corporaciones líderes, formaron un grupo de trabajo de seguridad, 41 CEOs se inscribieron en tres días, dice Mike Armstrong, CEO de AT&T, el presidente del grupo de trabajo.

Seguridad es ahora una estrella ascendente en el firmamento corporativo. Las personas responsables de la seguridad “se han hecho más visibles para la dirección de la empresa”, dice Armstrong, “y mucho más importantes para la propia empresa”.

El cambio en las actitudes de las empresas es también evidente en un informe de mercado sobre la industria de seguridad, elaborado por Lehman Brothers. En ese informe, el analista Jeffry Kessler escribe que la industria mundial de la seguridad “ha pasado de una actividad periférica a un escenario central”.

Una señal adicional de la naturaleza en maduración de la seguridad corporativa es que la firma Boyden Búsqueda Mundial de Ejecutivos (Boyden Global Executive Search) observó la necesidad del mercado de una descripción de puesto formalizada de Chief Security Officer (CSO) o funcionario principal de seguridad. La Comisión Internacional de Normas de ASIS está ahora en el proceso de ayudar a desarrollar esa descripción como una guía para las compañías que están buscando llenar el puesto más alto de seguridad.

Así que, ¿quiénes son estos nuevos centuriones que tienen ahora un papel más significativo en el escenario corporativo, cómo se han modificado sus relaciones con la alta gerencia después del 11 de septiembre, cuáles son sus nuevas responsabilidades, y qué desafíos les espera por delante?

Quiénes son.

El filósofo francés del siglo 18 René Descartes propugnaba que se tirasen por la ventana todos los principios aceptados para que pudiesen ser admitidos uno por uno por la puerta principal con el objeto de asegurarse que estas ideas básicas fuesen válidas. Con el tiempo, la seguridad ha desarrollado su propio conjunto de temas “asumidos” que pueden merecer un nuevo examen. El primero entre ellos es el imperativo, afirmado frecuentemente, que el jefe de seguridad ideal para el siglo 21 no se aproxime a la seguridad privada como una segunda carrera luego de años en la aplicación de la ley, y que en vez de ello, esta persona posea ante todo una fuerte orientación empresarial porque es crítico que hable el lenguaje de la sala de junta y porque la seguridad privada no es un trabajo policial.

Hasta cierto punto, el 11 de septiembre ha invertido esa ecuación, dirigiendo el reflector sobre el conjunto básico de destrezas en seguridad. Conocer el negocio sigue siendo importante, dice Frank V. Cahouet, Jr., un director gerente en la firma de búsqueda de ejecutivos Korn/Ferry International.

Pero lo que piden los ejecutivos corporativos es que sus CSO posean capacidad o experiencia en inteligencia, y quieren gente con más habilidades de investigación. En consecuencia, observa Cahouet, muchos de estos altos puestos se dan a gente de los organismos policiales federales, de la comunidad de inteligencia, de ciertas áreas militares y de las áreas de investigación dentro de una agencia como el Departamento del Tesoro de los EEUU

Un ejemplo es Larry L. Cockell, quien fue contratado el pasado enero como vicepresidente senior y CSO de AOL Time Warner, Inc., una empresa con 90,000 empleados y siete compañías diferentes mundiales. En el período posterior al 11 de septiembre, la dirección quería alguien con sólida experiencia internacional y un enfoque estratégico para estructurar la función de seguridad, dice Cockell, un veterano con más de 20 años en el Servicio Secreto, quien se había retirado como director adjunto, y quien en algún momento había estado a cargo de las operaciones de seguridad de la Casa Blanca.

George Campbell, presidente de la Asociación Internacional de Administración de Seguridad (International Security Management Association, ISMA), la cual tiene miembros que ocupan cargos de seguridad en corporaciones multinacionales, dice que observa ese tema expuesto repetidamente en el tablero de anuncios de empleos en línea de ISMA. “Cuando usted examina el perfil de experiencia tras del cual van”, dice, “éste gira alrededor del cumplimiento de la ley....No dice que quieren una MBA” (maestría en Administración de Empresas).

Kessler, de Lehman Brothers, ha observado una tendencia similar. “Hay cerca de cinco compañías aquí en la Ciudad de Nueva York, en un radio de una o dos cuadras inmediatamente a nuestro alrededor, que han contratado personal que han trabajado en seguridad en lugares que van desde el Departamento de Policía de la Ciudad de Nueva York al FBI y a la CIA”, dice. Y hace notar que si bien la mayoría de ellos tienen al menos ciertos antecedentes en TI, su fundamento, en términos de los asuntos en los que trabajaron en estas organizaciones, son de seguridad.

Finalmente, sin embargo, el debate sobre los méritos relativos de la experiencia en organismos policiales versus los conocimientos técnicos o de negocios, representa una elección que no ofrece una alternativa real. Las corporaciones no necesitan elegir entre estos antecedentes, observa Campbell. Ni lo han hecho. La realidad entre los profesionales que ocupan estos altos cargos es que ellos representan lo mejor de múltiples mundos.

Regis W. Becker, CPP, director mundial de seguridad y cumplimiento de PPG Industries, Inc., ofrece un ejemplo de cómo se pueden tender puentes entre los mundos de la seguridad y de los negocios. Becker, quien ha sido presidente de ASIS, comenzó su carrera en la aplicación de la ley, en donde prestó servicios como agente especial del FBI, pero también obtuvo un grado en derecho y una MBA.

“Usted debe tener una amplia comprensión no sólo de la administración de la seguridad sino de las prácticas generales de la administración de empresas y una comprensión general del ambiente de los negocios”, dice Becker.

Becker y otros también anotan la importancia de las destrezas de comunicación. “Usted tiene que poder comunicarse en todos los niveles de la organización”, dice. “Debe tener la capacidad de sentarse frente al comité ejecutivo y presentarles un informe, y quizás al día siguiente sentarse y tener una entrevista con un empleado de producción”.

Pero cualquiera que sea la relación de destrezas que uno pueda reunir para el jefe ideal de seguridad, el puesto nunca será igual en todos los casos. Cada corporación busca la destreza que encaja mejor en su entorno de negocios. De este modo, los profesionales de seguridad pueden viajar por cualquier número de senderos profesionales hacia lo más alto.

Considérese a Jack Fair, vicepresidente senior y jefe de seguridad en Fidelity Investments, con base en Boston, que tiene unos 30,000 empleados. El es un CPA (contador público certificado) y posee una MBA, pero también es un CPP (profesional certificado de seguridad) y un CFE (examinador certificado de fraude). Aunque él también se inició en el gobierno (en este caso el FBI, en donde sirvió seis años trabajando en casos de delitos económicos), pasó gradualmente al sector privado en los inicios de su carrera a través de la contabilidad pública.

Cuando primero se incorporó a Fidelity hace 11 años, se inició como jefe de la unidad de investigaciones. Pero dejó la división de seguridad para dirigir varios otros departamentos de Fidelity, incluyendo el grupo de auditoría interna en Inglaterra y operaciones continentales europeas en Luxemburgo, antes de regresar finalmente para dirigir el departamento de seguridad el pasado mayo, cuando se retiró su predecesor.

A Fidelity le agradó su experiencia ajena a la seguridad, dice Fair, porque había profundizado su comprensión de los negocios medulares de la compañía. Sus períodos en otros departamentos también le mostraron cómo era percibida la seguridad y le enseñaron la importancia de brindar servicios más allá de los límites convencionales.

Tal como el conocimiento de Fair de los principales negocios financieros de Fidelity le ayudó a conseguir el puesto más alto de seguridad, Mary Ann Davidson, la nueva CSO en Oracle Corporation, quien tiene un bachillerato de ciencias en ingeniería mecánica y una MBA, llegó al trabajo desde el sector de seguridad y desarrollo de productos de TI (tecnología de información)--el núcleo del negocio de Oracle.

Davidson fue la elección perfecta para el cargo por otra razón--ella escribió la descripción de puesto. “Mi idea fue que sería muy importante tener alguien con la autoridad y responsabilidad para elaborar políticas globales de seguridad”, dice. “Hice la gestión para que tuviéramos dicho cargo. Y me ofrecieron el puesto”.

El reconocimiento de Davidson de la necesidad de un cargo de funcionario principal de seguridad y su iniciativa para definirlo y vender la idea a la administración, fue un indicio de su capacidad de liderazgo. Más allá de cualquier habilidad específica en una materia, un CSO debe ser ante todo un líder que pueda manejar las relaciones y ejercitar influencia estratégica, dice Campbell, de ISMA. Como hace notar Davidson, “Usted sólo es realmente tan bueno como la gente que desea trabajar con usted y para usted”.

Relaciones ejecutivas.

El lugar otorgado al ejecutivo de seguridad de mayor nivel en la jerarquía corporativa está pasando por un cambio sísmico en muchas compañías. En la Encuesta Anual Internacional de Empleo de ASIS, tomada a unos 480 gerentes de seguridad, por ejemplo, 18 por ciento de los que respondieron dijeron que los jefes de seguridad de sus compañías reportan ahora a una persona de mayor rango que antes de los ataques terroristas de 2001.

La tendencia, sin embargo, no comenzó con el 11 de septiembre, dice Kessler de Lehman Brothers. Aún antes de ello hubo “un impresionante crecimiento” en el número de ejecutivos que tenían la palabra “seguridad” unida a sus nombres --vicepresidentes, vicepresidentes superiores y vicepresidentes ejecutivos de seguridad fueron cada vez más comunes en las oficinas centrales de las corporaciones. Un ejemplo de tal progreso es Grant Crabtree, CPP, quien se convirtió en el vicepresidente de seguridad corporativa de ALLTEL, una compañía de telecomunicaciones, hace tres años. “Ellos vieron suficiente necesidad para crear un puesto de funcionario de la compañía”, dice Crabtree. Le dieron a seguridad “un asiento en la mesa”, expresa.

Crabtree tiene un B.S. en justicia penal obtenido mientras desempeñaba una función de apoyo en el FBI, pero dice que ganó su conocimiento práctico de seguridad durante el trabajo en varias operaciones de seguridad privada, y enfatiza la necesidad de dirigir el departamento de seguridad como cualquiera de las otras funciones de negocios. Hace notar la necesidad de desarrollar relaciones con las otras unidades de negocios, así como hacia arriba y abajo de la escalera corporativa. “Cada vez que me encuentro con alguien, verdaderamente quiero que sienta que va a agregar valor, que entiende el negocio, y que va a ayudarnos a hacer dinero”, dice.

Pero incluso Crabtree, quien es un funcionario de la compañía, reporta al vicepresidente ejecutivo y al asesor jurídico. No reporta directamente al CEO, un acuerdo que algunos expertos de la industria propugnan.
¿Es ese nivel de reporte suficiente para seguridad? Probablemente, dice Chad Callaghan, CPP, vicepresidente de servicios de prevención de pérdidas de Marriott International y co-presidente de la Comisión de Normas de Seguridad de ASIS que está trabajando en la plantilla de descripción del puesto del CSO. Por ejemplo, dice, “en una compañía como la mía, con 120,000 empleados, siendo realistas, no voy a reportar al CEO. Y no sé que necesite hacerlo”.

Lo que importa es el nivel de apoyo de la alta gerencia, dice Becker. La idea es establecer el puesto principal de seguridad en la estructura de la administración, dice, de una manera tal que seguridad “ pueda producir el cambio e impulsar a la organización”.

El ámbito de seguridad.

Los asuntos de seguridad claramente han subido de nivel en la agenda corporativa, pero lo que sigue poco claro es quién es el propietario de este campo de la seguridad, siempre en expansión y ahora más importante. Consta de muchos elementos diferentes incluyendo seguridad física, seguridad cibernética, gestión de riesgos, protección, y gestión de desastres/continuidad de operaciones. El hecho que al cargo más alto de seguridad se le ha ido subiendo cada vez más en la escala corporativa no necesariamente significa que también se le ha dado autoridad sobre la gama completa de estas responsabilidades.

Uno de los objetivos de la descripción del puesto de CSO que está siendo desarrollada por ASIS y Boyden Global Executive Search es consolidar todas estas responsabilidades relativas a la seguridad bajo la jurisdicción del CSO, de modo que quede claro quién está a cargo, dice Sean Ahrens, CPP, gerente principal de seguridad de la firma consultora Gage Babcock, y miembro de la Comisión de Normas de Seguridad de ASIS que está trabajando en la definición del CSO.

Actualmente pocas compañías se centralizan hasta ese extremo. Y más grande que sea la compañía, más probable es que tenga una hidra supervisando las operaciones de seguridad. Pero se ha hecho progresos.
Considérese el caso de PepsiCo, Inc. Esta bien conocida empresa mundial, que tiene ingresos por más de 27 mil millones de dólares y más de 143,000 empleados, no tenía una persona de seguridad de alto nivel supervisando la corporación antes del 11 de septiembre, dice David Carpenter, quien se convirtió en dicha persona en julio del año pasado. Carpenter dice que los ataques terroristas fueron una llamada de alerta que llevó a que la junta de directores se preguntase “¿Cuán preparados estamos? ¿Hay alguien o debemos contratar a alguien para que supervise todas las divisiones de PepsiCo?”

La junta respondió afirmativamente a la pregunta y creó el puesto de vicepresidente de seguridad mundial, que reporta directamente al CEO. “Fui contratado a un nivel ejecutivo para interactuar no sólo con la dirección superior de PepsiCo sino también con el directorio y los presidentes de todas las divisiones”, dice Carpenter, quien llegó a ese cargo desde el Departamento de Estado de los EEUU, en donde había sido secretario de estado adjunto.

Incluso antes del 11 de septiembre, el papel de la seguridad en la corporación se había vuelto más y más centralizado, dice Kessler, de Lehman Brothers, a medida que las corporaciones han tratado de conseguir mayor control de sus funciones de TI y de acceso físico.

Y, contrariamente a lo que temían algunos profesionales de la seguridad física, en la mayoría de los casos la seguridad no está siendo incluida dentro de TI. Por ejemplo, Crabtree consiguió elaborar un caso para llevar a la seguridad informática bajo su dominio. “Recomendé que tuviésemos una evaluación de seguridad de TI por nuestros auditores, Ernst & Young, y ellos hicieron eso. Vinieron e interrogaron a muchas personas en toda la compañía sobre cómo la empresa estaba manejando la TI, y descubrieron ... que probablemente TI debía estar en mi organización”.

A Carpenter, de PepsiCo, también se le dio la parte de seguridad de TI. Resulta interesante que ese fuera el resultado de un estudio interno efectuado por el grupo de gestión de riesgos de la compañía, sin ninguna insinuación del departamento de seguridad. “Ellos habían hecho algunos estudios, considerado las mejores prácticas en otras corporaciones, y creían que esa era la mejor estructura de reporte”, dice Carpenter. Como resultado, el funcionario principal de información (CIO) reporta directamente al presidente, como lo hace Carpenter, pero el funcionario principal de seguridad de la información reporta a Carpenter, no al CIO.

Y en donde las funciones de TI y de seguridad física no están explícitamente bajo una persona, dice Kessler, los dos grupos coordinan sus esfuerzos más frecuentemente que en el pasado. Esta coordinación informal se extiende más allá de TI y de seguridad física hasta los jefes de otras divisiones, como planeamiento de crisis, auditoría, y gestíón de riesgos, mediante equipos, comités, consejos y grupos de trabajo. Mislock, de Du Pont, llama a esto la “administración por matriz”.

Ese modelo es utilizado por AOL Time Warner, dice Cockell. “Debido a que obviamente ninguna persona puede abordar el espectro de problemas que surgiría en una compañía de este tamaño, es un esfuerzo de colaboración. Yo trabajo con el CIO, recursos humanos, bienes raíces, y los gerentes de las instalaciones para colaborar con ellos en estrategias para mejorar nuestra situación de seguridad”.

Es lo mismo en Philip Morris, dice George W. Bujac, vicepresidente de seguridad corporativa. “Yo no hago seguridad de TI”, dice, “aunque me desempeño en el consejo de seguridad de la información”.
De modo similar, advierte Bujac, los profesionales de seguridad de Philip Morris laboran en grupos de trabajo para cada una de las unidades de negocio. “Nuestra ocupación es brindar asesoramiento y consejo al grupo de trabajo que podría estar elaborando un producto”, o involucrado en el embarque o en otro proceso de negocios, dice, “pero no es nuestra responsabilidad”. La responsabilidad descansa en las unidades de negocio.

Davidson coordina la seguridad en Oracle a través de un comité de dirección de seguridad corporativa que incluye no sólo a los grupos de seguridad de TI, física, de desarrollo de productos --sino a otros interesados, como recursos humanos, el funcionario principal de privacidad, y el departamento jurídico. Ella anota: “Esa es realmente una estructura que ha sido recomendada por la Estrategia Nacional para Asegurar el Ciberespacio, un documento que está actualmente publicado como anteproyecto” y que proviene del presidente Bush.

Un efecto a largo plazo del 11 de septiembre es que “la función de seguridad se está involucrando más en el contexto de gestión de riesgos y continuidad operacional”, incluso en donde el grupo que maneja la función no está bajo el dominio de seguridad, dice Don W. Walker, CPP, presidente/ CEO de Pinkertons Inc., y co-presidente de la Comisión de Normas de ASIS. El anota que antes del 11 de septiembre, la gestión de riesgos estaba más identificada con el sector de gestión financiera de la empresa. Ahora, dice, las compañías se preguntan, “¿Cómo hacemos para que seguridad se involucre para ayudarnos a identificar y mitigar esos riesgos?”.

Pero los efectos del 11 de septiembre en la centralización de la seguridad han sido desiguales. Por ejemplo, en Marriott, dice Callaghan, la gestión de crisis solía estar bajo su responsabilidad, en el departamento de seguridad de la división de alojamiento. Pero conforme cobró mayor importancia después del 11 de septiembre, la compañía matriz decidió que debía haber un grupo separado de planeamiento de crisis para garantizar la consistencia a través de diferentes operaciones (hospedaje, alojamiento para personas de edad, y club de vacaciones).

Continua habiendo tantas variaciones en la estructura de la organización de seguridad como hay compañías. Y eso tiene sentido hasta cierto punto, porque “la organización de seguridad depende realmente del tipo de negocio en el que se encuentra y de la organización de la compañía”, expresa Walker de Pinkertons.
Pero, en lo que concierne a la estructura que funciona mejor, “en última instancia eso es cultural”, dice Davidson de Oracle. “Si cada una de las personas en la compañía carece de noción de su responsabilidad por la seguridad, no importa cuál sea su estructura, usted no tendrá éxito”.

Economía.

Dada la situación ajustada de la economía, quizás no sorprenda que muchos departamentos de seguridad todavía no obtengan más dinero con el cual luchar contra las crecientes amenazas, y que algunos incluso hayan sufrido recortes. La encuesta de ASIS sobre empleo encontró que el 38 por ciento de los que respondieron no habían tenido incremento en sus presupuestos, mientras que el 7 por ciento informaron una reducción. “Incluso después del 11 de septiembre, veo a directores de seguridad que no pueden conseguir dinero para comprar una caja de clips”, dice Roy Bordes, presidente y CEO de The Bordes Group, Inc.

Richard G. Hudak director corporativo de seguridad y protección de Loews Corporation en Nueva York, dice que si bien su estatus y esfera de influencia crecieron como resultado del 11 de septiembre, la reducción de actividades en la industria del hospedaje condujo a recortes en la fuerza de guardias de seguridad. También hace notar que al nivel corporativo, años atrás cuando era jefe de seguridad de ITT Sheraton, tenía un grupo de empleados de 20 o 30 personas. Hoy, dice, “No tengo empleados. No quieren que tengamos empleados”. En vez de ello, contrata a terceros para todas las actividades, desde investigaciones hasta control de acceso.

Algunos expertos de seguridad también han encontrado una noticia preocupante en una reciente encuesta del Consejo para la Competitividad (COC, por sus iniciales en inglés), efectuada a 230 ejecutivos corporativos de compañías con ingresos brutos de US $50 millones o más: 67 por ciento de los que respondieron no veían cómo una seguridad mejorada los podría hacer más económicamente competitivos.

Pero una pregunta separada en la misma encuesta presenta otra visión: 46 por ciento dijeron que creían que los cambios en la seguridad mejorarían la productividad de su compañía a largo plazo, un número bastante alto cuando uno considera que la seguridad ha sido tradicionalmente vista sólo como un gasto general.
Lo que es más, la pregunta sobre productividad ya no es la única pertinente. Todavía es cierto que, “usted se puede proteger hasta acabar con el negocio”, como dice David H. Nozensky, director de seguridad corporativa del FPL Group, Inc. Pero en muchas más compañías que antes, ahora la sala del directorio entiende que la seguridad representa lo esencial–la supervivencia de la empresa. Como lo dice Armstrong, de AT&T, ahora las compañías deben sopesar el costo de implementar la continuidad operacional contra el costo de no garantizar la continuidad operacional.

Kessler está de acuerdo. Hace notar que a Lehman Brothers, cuyo edificio estaba al otro lado del Centro Mundial de Comercio, le tomó nueve meses recuperar la participación en el mercado que perdió debido a los trastornos creados ese solo día. Las compañías están empezando a darse cuenta, dice, “que dado el costo total de propiedad de ese sistema de seguridad, el rendimiento de eso puede ser enorme solamente por la protección que proporciona”.

De las palabras a la acción.

En lo que se refiere a los pasos específicos adoptados para proteger a la empresa corporativa desde el 11 de septiembre, la tarjeta de calificaciones no haría sentir orgullosos a muchos padres, pero por otro lado, se puede observar progreso.

Por ejemplo, 90 por ciento de los que contestaron la encuesta del COC dijeron que no veían a sus compañías como blancos del terrorismo. Sin embargo, es alentador que 70 por ciento dijesen que sus compañías habían revisado o analizado las políticas de seguridad, y 53 por ciento habían efectuado cambios basándose en gran medida en esas evaluaciones.

Es difícil generalizar debido a que algunas compañías han hecho mucho y otras aún tienen que comenzar, pero “Yo diría que en términos generales estamos en el 25 por ciento inicial de dónde en última instancia necesitamos ir”, dice Walker, de Pinkertons. Aunque todavía hay mucho camino por recorrer, dice, “es un proceso a largo plazo y se han dado pasos gigantescos”.

Desafíos futuros.

En general, como se ha analizado, la percepción de la seguridad por parte de la administración, por lo menos en las grandes compañías, ha cambiado a causa del 11 de septiembre y debido a una multitud de otros riesgos que van desde seguridad cibernética a integridad empresarial e intereses empresariales mundiales. “Se está aceptando que la seguridad es más que sólo manejar oficiales de seguridad, realizar investigaciones, y llamarnos después que ha ocurrido un hecho”, dice Edward G. Casey, CPP, director de seguridad corporativa de Procter & Gamble Company.

Eso obliga a que los jefes de seguridad estén a la altura del desafío. Y como una disciplina, la seguridad se está “volviendo mucho más profesional de lo que ha sido anteriormente”, dice Raymond A. Mislock, Jr., director de seguridad corporativa de Du Pont.

Campbell, de ISMA, está de acuerdo. “Creo que se ha hecho un gran progreso en la última década”. Mientras más conozcan los directorios los diversos conjuntos de riesgos que enfrentan las corporaciones, dice, “más demanda existirá para una persona con un puesto elevado en la compañía, responsable de una variedad amplia de los servicios de seguridad ”. Y, agrega, hay cientos de profesionales de seguridad que poseen lo que es necesario para llenar estos puestos de seguridad de alto nivel.

Sin embargo, también es cierto que “existe un segmento muy grande de la población profesional de seguridad que con toda probabilidad no está a la altura de estos estándares” que están siendo propuestos para la plantilla del CSO, dice Timothy Connor McNamara, socio y director gerente de Boyden Global Executive Search. “Es un nivel diferente de educación. Es un balance diferente de habilidades técnicas y educacionales. Es un nuevo juego de pelota”, dice.

Muchos directores de seguridad corporativa, por ejemplo, no tienen experiencia práctica en seguridad de la información, concuerda Mislock. Y muchos expertos señalan a la falta de una trayectoria académica de postgrado bien establecida como una barrera al progreso futuro de la profesión.
“En donde estamos ahora es que hay gran cantidad de trabajo por hacer”, dice Kathy Lavinder, directora ejecutiva de Security and Investigative Placement Consultants (Consultores de Empleo de Seguridad e Investigación). “La profesión de seguridad tiene la oportunidad única de elevar su perfil....Las corporaciones industriales de EEUU nunca han estado tan concentradas en la seguridad, así que necesitan aprovechar el momento”.

James Cohon, presidente de la Universidad Carnegie Mellon, y miembro del Consejo Asesor de Seguridad de la Patria del Presidente Bush está de acuerdo en que éste puede ser un punto fundamental para la seguridad corporativa. Repara que el punto central del enfoque de la administración Bush para la seguridad de la patria es la asociación entre el sector público y el sector privado.

“Eso tiene enormes implicancias para el funcionario principal de seguridad (CSO) en términos de su papel dentro de las corporaciones”, dice Cohon, “porque en efecto lo que estamos hablando es de conseguir que las corporaciones hagan que la seguridad sea una parte natural y activa para sus tomas de decisiones corporativas, especialmente en la toma de decisiones estratégicas, y si ese es el caso, me parece que el CSO tiene un papel muy importante que jugar”.

Ese papel, aunque ampliado en su alcance y significado, sería el que siempre ha sido: ayudar a que las compañías entiendan el porqué importa la seguridad y luego ayudarlas a alcanzar ese objetivo. Y como antes, la labor continuará siendo un desafío.

Sherry L. Harowitz es editora de Security Management.


 
 Respond to this message   


Forum Owner
No solo a la fuerzaApril 27 2004, 3:00 PM 

No solo a la fuerza

Por Richard A. Haynes

Un hombre joven se detuvo frente la tienda, mirando a su alrededor cautelosamente. Ningún oficial de seguridad uniformado estaba a la vista. De pronto, tomó una brazada de ropa y salió precipitadamente por la puerta. Un oficial de seguridad que no vestía uniforme observó lo que pasó y salió en su persecución. El ladrón corrió velozmente a través del área de estacionamiento y se dirigió hacia un carro para huir, seguido de cerca por el oficial. En un momento más, el ladrón estaría bajo custodia y el oficial se convertiría en un héroe. Pero ese momento nunca llegó. Dos cómplices del ladrón aparecieron detrás de un auto estacionado y emboscaron al oficial de seguridad. Lo patearon y golpearon, enviándolo al hospital con heridas que amenazaban la vida. El ladrón y sus cómplices fugaron en el carro y nunca fueron capturados.

Este fue una tragedia de la vida real que se podría haber evitado si el oficial hubiera sido entrenado de forma adecuada. Muchas veces los oficiales de seguridad tienen que hacer frente a situaciones peligrosas como ésta, pero no siempre se les da la orientación que necesitan para manejar el incidente en forma segura y efectiva.

El entrenamiento debe ser diseñado para que los oficiales estén al tanto de todas las opciones disponibles cuando se vean ante una situación potencialmente hostil. Debe prepararlos mental y fisicamente para que enfrenten el incidente con la respuesta moderada correcta. Un programa de entrenamiento completo en tácticas defensivas está diseñado para hacer eso. A pesar del nombre, este enfoque no exige que los oficiales estén estrictamente a la defensiva reaccionar a un encuentro violento.

Este programa abarca tanto tácticas ofensivas como defensivas. Además, no depende solamente de la acción física.

El objetivo del enfoque de tácticas defensivas es entrenar a los oficiales a resolver situaciones de manera pacífica, a menos que la persona hostil lleve un encuentro a un nivel más alto de amenaza. Un aspecto particular de este planteamiento es concentrarse en preparar a los oficiales de seguridad tanto mental como físicamente.

Un programa de concientización en tácticas defensivas debe contener dos componentes primarios de entrenamiento: estrategias para evitar conflictos y técnicas esenciales de autodefensa. Otros asuntos son el entrenamiento en las políticas y procedimientos de la compañía, aspectos de salud y seguridad y consideraciones legales.

Prevención del conflicto.

El primer punto del concepto de las tácticas defensivas enfatiza las estrategias para evitar el conflicto. En esta fase de instrucción, el oficial aprende la gestión del enfrentamiento (incluyendo los métodos de intervención verbal), señales del lenguaje corporal, posturas de protección, zonas de peligro, procedimientos auxiliares de emergencia y tácticas de negociación.

Gestión del Enfrentamiento. En algunos casos, sólo acercarse a una persona potencialmente hostil puede ser suficiente para incitar a ese individuo hacia una acción violenta. Los oficiales necesitan entender que los esfuerzos por desactivar la situación deben comenzar en el momento de contacto. Por ejemplo, los oficiales deben adoptar un comportamiento sereno. Por ejemplo, pasos suares y no amenazantes, movimientos controlados de manos y brazos, y una distancia apropiada del sujeto pueden convencer a una persona potencialmente hostil que el oficial de seguridad no es un peligro para él o ella.

Los sí y no del lenguaje. Contra lo que se dice a los niños--que las palabras nunca pueden hacerles daño--el uso mal considerado del lenguaje puede incitar a una persona ya enojada a adoptar una conducta violenta. A la inversa, las palabras respetuosas pueden reducir el nivel de tensión, posiblemente evitando la violencia. Los oficiales de seguridad que aprenden cómo el lenguaje y el tono de voz pueden apaciguar a adversarios agresivos, serán mucho más efectivos en su trabajo.

Lenguaje corporal. Los gestos y las acciones físicas son también elementos vitales de la comunicación entre un oficial y una persona potencialmente hostil. Las palabras calmadas del oficial deben estar acompañadas de gestos apropiados. Por ejemplo, un oficial que apoya la mano sobre el puño del bastón enfundado o que usa excesivos gestos manuales, como apuntar mientras habla, enviará un mensaje subliminal de agresión que podría provocar a la persona a la que se está acercando.

Igualmente, el lenguaje corporal del oponente del oficial de seguridad puede ser un presagio de acciones hostiles. Los oficiales necesitan tener cuidado de puños cerrados, de una postura tensa, de ojos punzantes o de una mirada molesta o desafiante. Todos estos pueden ser indicadores de violencia.

Posturas de protección. Aunque un lenguaje corporal no agresivo puede mantener calmados a sus antagonistas, los oficiales de seguridad no obstante deben estar físicamente preparados para un ataque súbito. Un oficial de seguridad puede reducir la exposición del cuerpo como blanco al ponerlo en un ángulo de 45 grados hacia el agresor potencial. Asimismo, los oficiales deben retirar de los agresores el lado del cuerpo donde se encuentran las armas de defensa personal como los bastones. Esta posición puede evitar que los oponentes arrebaten esos objetos al oficial antes o durante una lucha.

Zonas de peligro. Se les debe enseñar a los oficiales la importancia de dominar el área entre ellos y sus oponentes. Un oficial que se acerca demasiado a un sujeto puede no sólo provocar a esa persona a la violencia sino también perder el control de un conflicto si se inicia uno. Una distancia de aproximadamente cuatro pies puede dar un espacio mínimo de seguridad, permitiendo la comunicación directa sin los numeros temeroso o sobreprotegido.

Apoyo. Las cantidades superiores son clave para controlar en forma segura a un individuo hostil. Por lo tanto deben estar establecidas las estrategias para asegurar que un oficial pueda recibir rápidamente el apoyo adecuado de sus compañeros o de la policía si el problema avanza. Los escenarios usados en el entrenamiento deben ayudar a los oficiales comprend cuándo y cómo pedir apoyo.

Negociaciones. No es infrecuente que las personas empuñen un arma de fuego u otra arma cuando se les enfrenta un oficial de seguridad. Por tanto, el personal de seguridad debe saber persuadir a un individuo a que suelte el arma. Por ejemplo, los oficiales deben aprender qué decir para convencer a un oponente armado que no se le hará ningún daño.

Autodefensa.

Como no todos los intentos para evitar enfrentamientos violentos tendrán éxito, los oficiales deben de estar preparados para defenderse. Si los oficiales están armados, el entrenamiento debe incluir algunas situaciones donde el oficial tiene un arma y algunas en se le ha quitado el arma o no la tiene disponible.

Para quien se va a defender, las técnicas deben incluir la preparación física para el entrenamiento de autodefensa y movimientos básicos como amortiguación de caídas, acciones evasivas, y técnicas para bloquear, golpear y patear. También debe abarcar formas de derribar, técnicas de sujeción, técnicas de pelea supina y medidas preventivas especiales, como retención de armas y estrategias defensivas contra cuchillos y armas de fuego.

Si bien se puede aprender la mayoría de estas técnicas en clases de artes marciales o en otro entrenamiento de autodefensa, el instructor debe de entender las funciones, las actividades y el ambiente de los oficiales de seguridad. El instructor debe concentrarse en enseñar aquellas técnicas aplicadas que se puedan llevar a la práctica el próximo turno en que el oficial se presente a cumplir su obligación. Un análisis de la situación de trabajo del oficial revelará que algunas técnicas son más efectivas que otras, pero en general los criterios que se usan para seleccionar las técnicas deben incluir los siguientes factores.

Simplicidad. Las tácticas de autodefensa deben de ser fáciles de aprender, practicar, recordar y ejecutar. Una maniobra complicada puede parecer impresionante en la práctica, pero es mucho menos probable que funcione efectivamente en la vida real.

Versatilidad. Las tácticas necesitan adecuarse al ambiente normal del oficial de seguridad. Por ejemplo, los movimientos deben ser efectivos de cerca si el espacio del oficial es limitado; pero también deben ser útiles para el oficial en una variedad de lugares y situaciones. Además, las técnicas de autodefensa necesitan ser igualmente efectivas para oficiales masculinos y femeninos y deben ser seguras en situaciones de alta tensión.

Flexibilidad. Cualquier maniobra de autodefensa necesita funcionar bien cuando los oficiales llevan el uniforme, los cinturones portaaccesorios u otro equipo de trabajo que pueda limitar el alcance del movimiento. Los movimientos deben ser efectivos cuando se usan ofensiva o defensivamente y deben permitir el retroceso rápido para permitir la adopción de una nueva posición de lucha. Algunas técnicas de autodefensa comprometen mucho al cuerpo del oficial a un movimiento específico, con la posibilidad de hacer que el oficial pierda el equilibrio.

Tácticas callejeras. Hoy muchas personas son hábiles en las tácticas de lucha callejera, y al encontrarse ante la amenaza de una persona hostil, el oficial de seguridad debe estar preparado para todas y cada una de las formas de treta del atacante. Un entrenamiento apropiado puede ayudar a evitar que un oficial caiga víctima de tales tácticas. Muchas veces la policía local puede ser útil en este campo. Por ejemplo, en el ejemplo al inicio de este artículo, si el oficial que fue emboscado por los cómplices del ratero de tiendas hubiera sabido que ésta era una táctica callejera común, habría evitado lesiones físicas graves.

Otro componente de esta parte de la instrucción incluye el armamento oculto. Todas las formas de armas, fabricadas o improvisadas, actualmente están disponibles. Pueden estar escondidas y usadas repentinamente contra un oficial. Nuevamente, la policía local puede ser un recurso invalorable para ayudar en este tipo de entrenamiento. Ellos tienen experiencia con, e inclusive pueden tener ejemplos de, varios dispositivos que se pueden analizar y exhibir en una clase de entrenamiento.

Políticas.

El entrenamiento en la conciencia de tácticas defensivas debe incluir una explicación de las políticas y procedimientos del empleador respecto al uso de la fuerza. La política debe detallar específicamente las tácticas defensivas aprobadas, las cuales estipularán lo que es una conducta aceptable por parte de los oficiales. Se debe usar el análisis en clase de los procedimientos para aclarar cualquier preocupación o concepto erróneo del oficial de seguridad. Esta instrucción brinda a los oficiales el marco esencial en el que se basan las futuras acciones en el caso de un encuentro hostil.

Además, las declaraciones de las políticas y procedimientos deben de describir los parámetros del uso de la fuerza necesaria y especificar la conducta que no será tolerada. Por ejemplo, la política pueda prohibir que los oficiales ataquen el área de la ingle de un agresor, porque tales ataques pueden provocar una grave lesión e inclusive la muerte. También pueden estar prohibidas las tomas de estrangulación

El personal de seguridad también necesita una explicación práctica de cuándo es apropiado usar o aumentar el uso de la fuerza. Una explicación del incremento de la fuerza ilustra a un oficial el tipo de fuerza que es apropiada conforme crece el nivel de amenaza. Por ejemplo, cualquier situación probablemente comienza con estrategias vocales de intervención ideadas para neutralizar una situación que involucra a un sujeto verbalmente enojado. Si el antagonista lleva el asunto a un nivel más alto de amenaza, el oficial puede entonces responder de acuerdo a ello, recurriendo a un nivel de fuerza no mayor que el requerido para controlar la situación.

La instrucción debe tratar adicionalmente las condiciones bajo las cuales debe cesar el uso de la fuerza, y debe abordar por completo el tema del abuso de la fuerza que puede originar problemas, como demandas legales, contra el oficial y el empleador

Informes. La documentación de los incidentes de seguridad es importante en general y es aún más crítica cuando ha sucedido un incidente violento. Las políticas deben, por lo tanto, incluir de estos informes debe ser transmitido a los oficiales durante el entrenamiento. Se les debe enseñar a los oficiales que documentar rápida y directamente el uso de la fuerza en un evento demuestra profesionalismo y un deseo de que se conozcan todos los hechos.

Se debe entrenar al oficial a reportar todos los detalles que rodean un incidente, en particular aquellos hechos que llevaron a la participación del oficial. Un factor especialmente importante en este proceso de hacer la crónica de los hechos, es el acto o acción específica, por parte del agresor, que motivó que el oficial recurriese a la fuerza física.

Salud y seguridad.

Un altercado en el puesto de trabajo del oficial puede causar heridas al oficial y al agresor. Los oficiales deben tener suficiente entrenamiento en primeros auxilios para poder tratar dichas heridas antes de que llegue la ayuda médica de emergencia.

Otra consideración importante es la posibilidad de contacto con sangre u otros fluidos corporales. Como parte de su preparación de protección personal, los oficiales necesitan reconocer la presencia potencial del VIH/SIDA y necesitan estar preparados para tomar las precauciones necesarias conforme lo exige la Administración de Salud y Seguridad Ocupacional (OSHA). Por ejemplo, las botiquines de primeros auxilios deben estar abastecidos de un compuesto desinfectante aprobado así como guantes de látex, y los oficiales deben estar totalmente entrenados para proporcionar primeros auxilios mientras cuidan su propia seguridad.

Los objetivos corporales constituyen otra consideración importante de seguridad y salud para los oficiales de seguridad. El cuerpo humano tiene varios puntos vulnerables que si son golpeados por un agresor pueden causar heridas graves o inclusive la muerte.

Los ataques contra estos lugares sensibles pueden causar daños graves que pueden empeorar si no reciben tratamiento. Los oficiales necesitan conocer estas áreas físicamente sensibles; hasta el más leve contacto con estas áreas puede requerir atención médica inmediata.

Asuntos legales.

El proceso de instrucción también debe incluir al consejero legal del empleador, quien puede brindar conocimientos y advertencias relacionadas al uso de la fuerza así como las consecuencias del uso de fuerza excesiva. Todas las leyes locales y sus ramificaciones civiles y penales requieren una explicación completa por profesionales de la ley.

Entrenamiento continuado.

El entrenamiento en el programa de tácticas defensivas implica habilidades que se deterioran en gran medida en un ámbito en el que las amenazas cambian constantemente. Si los oficiales no conservan actualizadas y agudas sus habilidades defensivas, la precisión y la ejecución serán afectadas o desaparecerán. Por lo tanto, las clases periódicas durante el servicio deben asegurar que todos los oficiales se mantengan competentes y conscientes de los cambios en la política o en las técnicas. Los oficiales de seguridad deben estar preparados para protegerse a sí mismos sin exponer a la compañía a una responsabilidad legal innecesaria. Un programa completo de tácticas defensivas puede dar a los oficiales el entrenamiento mental y físico que necesitan para manejar cualquier situación con el menor nivel de fuerza requerido.

Richard A. Haynes, CPP, CFE (examinador certificado de fraude), es un capitán jubilado del Departamento de Policía de Charleston y co-fundador de la Asociación de Artes Marciales para Oficiales de Seguridad. Ha trabajado como consultor de seguridad para empresas e industrias. Es miembro de ASIS. El autor solicita a los lectores que observen que este artículo sólo tiene el propósito de dar información general.


 
 Respond to this message   


Forum Owner
Contratando buenos empleadosApril 27 2004, 3:01 PM 

Contratando buenos empleados

By Susan Markwood y Barry J. Kingman

Contratar no es una tarea fácil aún en la mejor de las circunstancias, pero se ha hecho aun más difícil en la economía actual de casi empleo pleno. La compañía Servicios de Investigaciones de los EEUU (USIS), que proporciona servicios de investigación y de verificación de antecedentes para clientes comerciales y gubernamentales, incluyendo al gobierno federal, su mayor cliente, ha tenido que enfrentar este problema de primera mano durante los últimos cinco años, mientras ha aumentado su fuerza laboral de 700 a 3,000 empleados. Sólo en los últimos 18 meses la compañía ha procesado más de 60,000 resúmenes personales y efectuado 12,000 entrevistas a candidatos para trabajos que van desde trabajos de oficina de nivel inicial hasta puestos altamente especializados y técnicos de seguridad. La iniciativa de contratación más grande ha sido para investigadores de campo, y es la experiencia de USIS en esta área la que ofrece la base para este artículo.

USIS empezó su iniciativa de contratación de investigadores definiendo claramente sus objetivos en términos de la calidad delos nuevos investigadores que buscaba, la puntualidad del proceso decontratación, y la productividad del equipo de contratación. Estos tres aspectosproporcionaron la base para la administración exitosa de la compañía de estemasivo esfuerzo de contratación.

Alistándose.

Los gerentes que contratan sólo ocasionalmente tiendena responder a una necesidad de contratación meramente colocando un aviso yhaciendo entrevistas. Sin embargo, esteenfoque pierde algunos pasos preliminares que pueden incrementar en mucho laprobabilidad de encontrar un buen candidato para el puesto. Este trabajo comprende el desarrollo de unadescripción de trabajo, la identificación de las competencias y característicasnecesarias, y la selección de preguntas para las entrevistas que mejoridentifican a los candidatos fuertes.
USIS emplea descripciones de trabajo de una página que incluyen una lista de cinco a siete responsabilidades principales, una descripción de cómo se medirá la eficacia en cada una de estas responsabilidades, y los detalles de las competencias necesarias para tener éxito en el trabajo. (Las competencias son las habilidades y características que aporta una persona al trabajo.)

En la mayoría de los casos, el departamento de recursos humanos es la primera fuente de ayuda para preparar una descripción del trabajo. En USIS, el departamento de recursos humanos dirige la redacción de la descripción, consultando al gerente de campo específico respecto a las obligaciones que impondrá el trabajo.

Luego de que USIS desarrolló su descripción de trabajo para la posición de investigador, recurrió a unos materiales preparados por una compañía externa especializada en evaluaciones de candidatos. Estos materiales incluían una lista de competencias que guardarían relación con ese tipo de trabajo, junto con sugerencias para las preguntas de la entrevista relacionadas a cada punto (que se analizan con más detalle en la sección relacionada a entrevistas).

Estos materiales, que se desarrollaron con
contribuciones de investigadores actuales, se usaron para compilar la siguiente lista de competencias que requeriría el candidato a un trabajo:
· Administración de volumen de trabajo.
· Aptitud para trabajar en forma independiente.
· Adaptabilidad.
· Habilidad para fomentar confianza de los clientes y los sujetos de la investigación.
· Capacidad para tomar decisiones.
· Capacidad para escritura

Encontrando candidatos.

Una vez que se ha hecho el trabajo preliminar, el siguiente paso es determinar a dónde dirigir los esfuerzos de búsqueda: dentro de la compañía, fuera de ella, o una combinación de ambos..

Muchas compañías se concentran en hacer internamente la publicación y reclutamiento para el trabajo, usándolo para fomentar la lealtad y la retención de los empleados. El beneficio es que el reclutamiento interno proporciona un recurso conocido y de una lealtad más fuerte. El principal inconveniente de este enfoque es que reclutar exclusivamente dentro de la organización limita a las compañías a un menor número de candidatos: pescar en una pequeña laguna en vez de hacerlo en el océano, donde es más probable que se encuentre el pez más grande.

Por el contrario, el reclutamiento en el exterior proporciona un número mayor de solicitantes con una gama más amplia de experiencia, antecedentes y niveles profesionales. Pero no ofrece los beneficios de recursos conocidos y mayor lealtad. USIS hace su reclutamiento en el exterior para los puestos de nivel inicial y usa los anuncios internos para puestos de nivel más alto, mirando afuera ocasionalmente en busca del pez más grande.

Las compañías que intentan decidir cuál de los dos enfoques es mejor para ellas deben volver a los temas de las competencias y responsabilidades. Si tratan de llenar un cargo existente, hay una probabilidad razonable de que la compañía encuentre dentro de ella las habilidades que necesita. Si se está creando una posición que requiere nuevos grupos de habilidades, buscar fuera de la compañía puede ser una mejor opción.

Si la compañía sale, debe encontrar una forma de ubicar las fuentes de obtención de candidatos que desea. Si bien no intenta ser una lista completa, los siguientes instrumentos para reclutamiento han funcionado bien para USIS.

Programas de referencias.

Hasta 1998, USIS obtenía la mayoría de sus contrataciones mediante referencias, un método de reclutamiento de poco costo que generalmente sirve para empleos de alto rendimiento. En sus más recientes gestiones de contratación, USIS ha conseguido aproximadamente el 25% de sus contrataciones provenientes de referencias, las cuales caen en dos categorías: personales y de palabra. Las referencias personales son aquellas de amigos o familiares de actuales empleados y tienden a tener un tasa más baja de rotación. Las referencias de palabra son contactos de negocios que manifiestan su interés en el trabajo de investigador. Por ejemplo, un individuo que está pasando una investigación de antecedentes podría preguntar sobre el cargo y recomendar a un miembro de su familia. USIS anima a sus investigadores para que hagan que estas mentes interesadas consulten la página Web de la compañía, y algunos investigadores inclusive llevan folletos de la compañía cuando hacen sus entrevistas.

Anuncios en Internet.

Anteriormente USIS ha utilizado con éxito algunos de las grandes pizarras de búsqueda de empleos. Conforme el mercado de trabajo se hacía más estrecho, la compañía cambió a pasar avisos publicitarios en los sitios Web de nichos. USIS contrató a una compañía externa para analizar las características de los investigadores de éxito y para ubicar los sitios Web en donde el perfil del visitante duplica estas características seleccionadas. Algunos resultaron una sorpresa para USIS, yendo más allá de sus expectativas. Por ejemplo, los sitios relacionados con los viajes y art.com han mostrado ser prometedores.

Anuncios en periódicos.

USIS ha tenido un enorme éxito con los anuncios tradicionales en los diarios. Por ejemplo, un cuadro de 3 por 5 pulgadas en los avisos clasificados dominicales en The Washington Post cuesta aproximadamente $ 5,000 y atrae aproximadamente 100 candidatos calificados. Aunque es caro, es la manera más fácil de llegar a una cantidad más grande de personas y permite que una compañía reciba una respuesta rápida (los currículos personales generalmente se ven dentro de una semana).

Ferias de empleos.

Aunque USIS efectúa reclutamiento en las universidades, la compañía ha tenido más éxito haciendo sus contrataciones en eventos de las asociaciones profesionales y militares, ya que las personas que asisten generalmente se igualan al perfil de los investigadores exitosos.

Correo directo.

Mientras los Estados Unidos se acercaba a un estado de pleno empleo, USIS necesitaba cambiar las tradicionales estrategias de contratación mencionadas y llegar a los que buscan trabajo en forma más pasiva, como aquellos que ya tienen trabajos pero están un poco descontentos y están eventualmente considerando sus opciones. USIS hizo esto al coordinar una campaña de correo directo utilizando las listas de correo de asociaciones cuyos miembros coinciden con el público beneficiario, como son los oficiales militares jubilados y trabajadores sociales. A través del correo directo, la compañía ha podido dirigir sus esfuerzos hacia personas cuyos conjuntos de habilidades coinciden más con los que necesita, que aquellos del público en general.

Proceso de selección.

Una vez que las solicitudes van ingresando, un gerente de contrataciones puede efectuar una contratación acertada luego de evaluar un número pequeño de candidatos. Sin embargo, esto rara vez sucede. La contratación que tiene éxito es típicamente un juego de números, y existen pocos atajos. Por ejemplo, durante el intenso trabajo de USIS de los últimos 18 meses para reclutar investigadores, la compañía ha encontrado que para hacer una sola contratación tiene que revisar 45 currículos previamente seleccionados, ponerse en contacto telefónicamente con 14 candidatos, y hacer 12 entrevistas iniciales y 7 segundas entrevistas.

Sin embargo, el proceso puede ser simplificado, para asegurar que no se malgaste el tiempo del entrevistador en candidatos que no tienen las calificaciones. Esto se hace mediante la preselección.

Preselección.

En el inicio, USIS sólo hacía selecciones telefónicas respecto a los elementos y aptitudes más básicos del trabajo, tales como ciudadanía, voluntad para hacer viajes, requisitos mínimos de sueldo, y acceso a un vehículo. Pero debido a que los encargados de las contrataciones no podían aprender mucho sobre los postulantes a través del teléfono, los entrevistadores después perdían un tiempo valioso en muchos candidatos incapaces.

Entonces la compañía ideó un proceso de selección inicial más estricto, aunque teniendo cuidado de no hacerlo tan riguroso que pudiese dejar fuera a candidatos potencialmente calificados. El perfeccionamiento del proceso preliminar de selección condujo a la herramienta de reclutamiento que USIS actualmente utiliza, que fue diseñada a la medida.

El sistema, que la compañía ha estado usando por cerca de 10 meses, permite que los candidatos adquieran conocimientos del trabajo y se preseleccionen respondiendo a preguntas de preselección cuidadosamente preparadas sobre sus antecedentes y voluntad de aceptar las condiciones del trabajo. En esencia, la herramienta de preselección establece un currículo electrónico basado en las respuestas del postulante. Los candidatos interesados luego pueden remitir el cuestionario/currículo ya completado si quieren.

Después que se ha remitido el currículo, los gerentes de contratación pueden elegir a los candidatos con las calificaciones específicas de educación y experiencia que desean. Por ejemplo, si USIS está buscando empleados para cumplir un contrato que anteriormente había sido adjudicado a otra compañía, los gerentes de contratación podrían buscar entre los empleadores anteriores de los solicitantes para determinar si alguno de los empleados del contratista previo ha pedido trabajo. O, los gerentes podrían buscar postulantes que tengan una campo de estudio particular.

Aquellos postulantes cuyos currículos satisfacen los criterios del gerente, son invitados por recursos humanos para entrevistarse para el trabajo.

Aproximadamente 75 por ciento de los candidatos con los que se ha hecho contacto para la entrevista aceptan la invitación. USIS ha encontrado que debido a que la selección y la revisión del currículum ayudan a eliminar a candidatos débiles, el proceso ha mejorado enormemente la calidad de las personas que van para la primera entrevista.

Prueba y evaluación.

Una organización también debe decidir si va a incluir herramientas de evaluación en el proceso de selección. Tales herramientas, que abarcan la gama desde pruebas de habilidades hasta evaluaciones de personalidad, pueden ayudar a determinar la aptitud del candidato para el trabajo.

Los programas informáticos para ambos tipos de pruebas (habilidades y personalidad) se pueden comprar o pueden ser diseñados específicamente para una organización por un consultor de recursos humanos. Lo primero es menos caro pero lo segundo tratará las habilidades específicas que desea una compañía.

Cualquiera que sea la opción que se escoja, el departamento de recursos humanos debe revisarla para asegurarse que se cumplan los requisitos legales respecto a la validez del instrumento.

Actualmente USIS básicamente utiliza una prueba, un examen de escritura, para todos los postulantes a investigador. Se escogió la prueba de escritura porque la redacción de informes es crítica para el éxito en el puesto.

Los postulantes tienen 30 minutos parar responder a dos preguntas escritas. Por ejemplo, una pregunta podría pedir que el candidato identifique a alguien que no es digno de confianza y que describa cómo él o ella llegó a esa conclusión. Los encargados del reclutamiento usan una hoja de evaluación para juzgar el contenido, gramática, lenguaje y otros aspectos. La muestra escrita elimina aproximadamente el 40 por ciento de los candidatos que pasaron una buena entrevista.

Adicionalmente, ahora USIS está conduciendo un programa piloto para determinar si una evaluación del perfil de la personalidad agregará valor al sistema de selección. En julio del 2,000 se dió este instrumento a 50 nuevas contrataciones. Se sigue su progreso para determinar cuáles son las semejanzas del perfil de aquellos que se quedan y los que se van, así como entre los que tienen éxito y los que hacen la lucha. (La compañía también tiene planes para desarrollar más herramientas de examen en el futuro, incluyendo las que miden las habilidades de empleo del lenguaje, razonamiento abstracto, y pensamiento crítico.)

La entrevista.

Las entrevistas de trabajo tienen dos propósitos: evaluar al candidato y convencerlo acerca del trabajo. El enfoque tradicional ha sido evaluar al candidato, pero con el aumento en la competencia por los candidatos con talento, el enfoque ha cambiado hacia convencer al candidato sobre el trabajo y la compañía. Desafortunadamente, esto a menudo sucede a expensas de reunir información de calidad sobre las habilidades y rasgos del postulante, más allá de los que se presentan en el currículo.

Las actuales demandas de USIS para contrataciones son tan intensas que la compañía limita su proceso de precontratación a la prueba escrita y a dos entrevistas personales , con otro miembro del personal en cada ocasión. Las organizaciones que reclutan para una cantidad reducida de vacantes deben tener en consideración efectuar un proceso de entrevista más extenso, que permitiría que los finalistas tuvieran entrevistas con cuatro o cinco personas del departamento. Los aportes desde múltiples perspectivas son un variable importante para decisiones efectivas de contratación. Además, si los empleados han recomendado un candidato para que sea contratado, es muy probable que ellos lo o la apoyen durante los primeros meses en el trabajo.

Técnicas de entrevista.

El primer paso en una entrevista efectiva es hacer que el candidato se sienta cómodo, entablando una conversación informal y dándole una visión general de lo que se tratará durante la entrevista. A continuación, el entrevistador debe hacer preguntas respecto a la experiencia anterior y a los logros relacionados con las calificaciones y competencias enumeradas en la descripción de trabajo.

El segundo paso de la secuencia de la entrevista–preguntar sobre la experiencia previa-se basa en la premisa de que la mejor manera de predecir el comportamiento futuro es el comportamiento pasado. USIS utiliza una guía escrita estructurada para la entrevista con preguntas sobre el comportamiento para cada competencia o calificación. Las preguntas enfocan la manera de que el candidato respondió a situaciones reales en el pasado.

Los entrevistadores empiezan con preguntas de interpretación abierta y luego profundizan en puntos específicos. Por ejemplo, una de las calificaciones para el puesto de investigador es la capacidad de auto-administrar la propia carga de trabajo. Para evaluar esta característica en los candidatos, USIS solicita un ejemplo de una ocasión en la que el programa de actividades del candidato se vio alterado por circunstancias imprevistas, y cómo él o ella respondió. Para la calificación de adaptabilidad, el entrevistador podría preguntar sobre la última vez que el candidato estuvo en desacuerdo con una nueva política establecida por la alta gerencia y cómo él o ella hizo frente a esto.

El entrevistador debe preguntarle al candidato su percepción del trabajo. Luego el entrevistador debe presentar una visión panorámica del trabajo y de la compañía, y cerrar con una explicación de los siguientes pasos en el proceso.

Errores.

El error más común de los entrevistadores es hablar demasiado. (USIS calcula que el entrevistador sólo debe hacer el 30 por ciento de la conversación). Otro error es dar la información correcta en el momento equivocado. Los entrevistadores efectivos esperan al final de la entrevista para ofrecer información detallada respecto al trabajo y la compañía porque no desean mostrar exactamente lo que están buscando hasta que hayan recibido respuestas imparciales sobre la experiencia previa del candidato.

Evaluaciones.

Al final de la entrevista se evalúa el candidato en cada capacidad. Como es fácil perderse en los detalles menores de un sistema de puntos para hacer entrevistas, los gerentes de contrataciones también dan un paso atrás para tener una visión amplia, preguntándose si pueden visualizar al candidato como un investigador exitoso.

Asuntos legales.

Una conversación sobre la contratación estaría incompleta si no se mencionasen los posibles escollos legales. El mayor riesgo legal surge en las entrevistas individuales. Los tópicos que deben evitarse, según el derecho de discriminación, bajo la mayoría de las circunstancias, comprenden el estado civil, hijos o el intento de tener hijos, nombre de soltera, ciudadanía, edad o fecha de graduación (que puede indicar la edad), condición de invalidez, afiliación religiosa, y salud. Esta lista puede servir como un punto de partida para conversaciones con el departamento de recursos humanos respecto a las consideraciones legales en el proceso de contratación.

Verificaciones de referencias.

El principio de que el comportamiento pasado es la mejor forma de predecir la conducta futura, también se aplica a las referencias, que pueden ayudar a pintar un cuadro del rendimiento anterior. Cuando un gerente de contrataciones efectúa comprobaciones solamente superficiales, se incrementa la probabilidad de que él o ella tomará decisiones de contratación basándose en afirmaciones infladas o falsas.

En USIS, la verificación de las referencias implica una investigación completa de antecedentes, realizada después de haber hecho una oferta condicional de contratación. Puede tardar entre 6 y 16 semanas para completar la verificación de antecedentes, la misma que incluye entrevistas en el terreno con colegas de trabajo y vecinos. Las preguntas se centran a si el entrevistado tiene alguna razón para creer que el postulante no debería tener un cargo relacionado con las seguridad nacional, como problemas de alcoholismo, dificultades crediticias o desaveniencias conyugales.

Muchos gerentes de contrataciones no pueden darse el lujo de efectuar una investigación de antecedentes tan amplia. Pero deberían, como mínimo, confirmar la veracidad de todas las afirmaciones en la solicitud de trabajo y verificar los logros que el postulante manifiesta haber alcanzado, utilizando recursos internos de la organización o contratados. La información que debe ser verificada comprende educación, fechas de empleo, y sentencias penales.

Los gerentes de contrataciones que desean sacar el máximo provecho de sus llamadas a las fuentes de información deben hacer algo mas que solamente pedirles que confirmen las afirmaciones del postulante. Pueden, por ejemplo, pedirle a la referencia que amplíe su descripción del rendimiento de la persona en un trabajo anterior y preguntarle sobre las mediciones especificas de rendimiento que fueron utilizadas.

Haciendo la oferta.

Esta parte del proceso de contratación es muy parecida al cierre de una venta. Cuando un gerente de contrataciones planea ofrecer el trabajo a un candidato, él o ella debe considerar las siguientes preguntas: ¿Qué motiva al candidato, y qué es lo que impulsa la decisión del candidato? Esta información ayudará al gerente a adecuar su oferta, lo cual mejorará la probabilidad de que el candidato la acepte.
Por supuesto, el gerente debe tener alguna idea de lo que motiva al candidato, aun antes de preguntarle. Los indicios sobre los intereses del candidato habrán sido dados en el lenguaje de la carta de presentación y en el objetivo colocado en el resumen, así como en las respuestas del candidato a las preguntas sobre la comunicación con los supervisores, la autonomía, la parte favorita y la menos favorita de su trabajo actual, y la capacidad de trabajar con una variedad de personas.

Los que planeen hacer una oferta al finalizar la entrevista deben estar seguros de preguntar qué piensa el candidato sobre la oportunidad de trabajo, para medir sus actitudes al respecto y su entusiasmo por el puesto. Si la reacción es favorable, deben pedirle al candidato detalles específicos sobre qué es lo que él o ella encuentra atractivo en el trabajo.

Los candidatos a USIS han mencionado que los aspectos que impulsan a tomar su decisión incluyen la oportunidad de contribuir a la seguridad nacional, la cantidad de trabajo de campo involucrado, la seguridad financiera, y oportunidades de tener un empleo de largo plazo y de viajar. USIS invierte tiempo en la oferta de trabajo porque la investigación de antecedentes puede durar de 6 a 16 semanas, que es demasiado para muchos de los que buscan trabajo. (Los contratados no pueden comenzar el proceso de entrenamiento mientras no se haya completado la investigación de antecedentes.) Al orientar la oferta de trabajo hacia los impulsadores de decisión de cada candidato, la compañía ha podido retener el 90 por ciento de los candidatos hasta terminar el proceso de habilitación, aunque la mitad se hallan inservibles en base a los resultados de la investigación de antecedentes.

Manejando al personal no seleccionado.

Un aspecto que frecuentemente se pasa por alto en el proceso de contratación es cómo tratar a los candidatos que no son elegidos para el cargo. USIS le presta atención a este segmento del proceso por diversas razones. Primero, los candidatos que no son escogidos hoy pueden ser candidatos viables más adelante a medida que cambien las necesidades de la organización o las calificaciones del candidato.

Segundo, los postulantes no seleccionados pueden algún día convertirse en clientes, o pueden conocer a alguien que encaje mejor en el puesto. Para mantener estas relaciones es importante mantener una imagen corporativa positiva en las mentes de los candidatos no seleccionados.

Con esta finalidad, USIS envía una carta a los días de entrevistar a los candidatos que no satisfacen las necesidades de la empresa, diciéndoles que pueden volver a presentar sus solicitudes para reconsideración en un plazo de seis meses. Además, la página Web de USIS permite que la compañía se comunique vía correo electrónico con los candidatos que no se apareaban con la posición de investigador en base a aspectos como sueldo o lugar de trabajo. Si la compañía experimenta un cambio de necesidades, puede así fácilmente determinar si estos candidatos continúan interesados.

En el trabajo.

La contratación efectiva es sólo el primer paso hacia una fuerza de trabajo efectiva. Los nuevos investigadores comienzan a trabajar con tres semanas de entrenamiento en aula y un período de prueba de un año, durante el cual los nuevos contratados pueden ser despedidos sin los pasos disciplinarios progresivos normales, aunque generalmente el empleado recibe una asesoría personal antes de ser separado, a menos que el problema sea particularmente notorio. Durante el entrenamiento en aula y a través de todo el primer año, el nuevo contratado está bajo un escrutinio estrecho que les permite a los gerentes confirmar que la decisión de contratarlo fue buena.

El entrenamiento en aula, realizado en la oficina corporativa principal de USIS, es intenso. A través del curso, los entrenadores brindan una constante retroalimentación y verifican las tareas dadas a los nuevos investigadores para evaluar su progreso y para ayudar a los gerentes a descubrir individuos que requieren entrenamiento adicional.

Otro elemento del programa de entrenamiento es un examen final escrito sobre los aspectos técnicos del trabajo. Las notas del examen se toman en cuenta junto con el rendimiento de los nuevos investigadores durante los ejercicios de desempeño de funciones y sus destrezas demostradas en computación, para determinar si aprueban o desaprueban el curso. La mayoría de los candidatos tienen éxito a través del régimen de entrenamiento.

El entrenamiento en aula incorpora una sesión de orientación la cual, además de dejar a los nuevos contratados listos para sus responsabilidades, también los convence más aún sobre el trabajo e inicia a los recién ingresados con la actitud correcta. Todos los funcionarios de alto nivel, incluyendo el presidente ejecutivo, son expositores en el programa, tomándose el tiempo para conversar sobre los logros, cultura y estrategias actuales de la compañía.

El viejo adagio “Usted cosecha lo que siembra” se aplica al proceso de contratación exactamente como a la agricultura. Es probable que las compañías que brindan sólo una atención superficial a una descripción del trabajo, envían rápidamente un aviso al diario local sin mayor premeditación, y entrevistan a postulantes a paso de maratón es probable que no consigan empleados de calidad. Pero aquellas que cuidan adecuadamente los campos de contratación, cosecharán una fuerza laboral impresionante.

Susan Markwood es gerente de personal y Barry J. Kingman es vicepresidente de recursos humanos en US Investigation Services, Inc.

La Contratación Efectiva: Lo Que Marca la Diferencia

Comenzar con la descripción del trabajo. Ella debe identificar las competencias que constituyen las calificaciones para el trabajo. Prepare preguntas que identifiquen la experiencia previa que esté relacionada a cada calificación.

Evaluar a candidatos internos y foráneos. Los que provienen de la misma organización son conocidos y más leales, pero el candidato más competitivo puede estar fuera de ella.

Generar un flujo de solicitantes. Para encontrar al mejor, amplíe su red. Los avisos en los diarios rápidamente producen gran cantidad de ellos.

Hacer una preselección a través de los resúmenes y entrevistas telefónicas. Hacer una preselección puede ahorrar el tiempo de las entrevistas, pero no sea demasiado restrictivo. Una agresiva selección anticipada puede eliminar a su mejor candidato.

Considerar la administración de pruebas. Las pruebas pueden confirmar las habilidades relacionadas con el trabajo, como son la mecanografía y la redacción de informes. Verifique con su departamento de recursos humanos.

Seleccionar a los entrevistadores.

Los entrevistadores deben ser los que tienen un alto rendimiento; tendemos a contratar según nuestra propia imagen.

Conducir entrevistas conductuales.

Las entrevistas están basadas en la premisa de que el rendimiento pasado es la mejor forma de predecir el futuro rendimiento. Haga preguntas sobre la conducta y resultados previos para identificar los patrones de efectividad previos.

Mantenerse dentro de la ley.

Verifique con su departamento de recursos humanos las preguntas que puede y no puede hacer. Averígüelo bien o es probable que tendrá que vérselas con la Comisión de Oportunidades Iguales del Empleo.

Efectuar una vigorosa verificación de referencias.

Las afirmaciones falsas y exageradas son un problema creciente. Verifique la veracidad del resumen personal. Entreviste detalladamente a las fuentes de referencia para confirmar los cómo y qué de los logros de un candidato.

Hacer ofertas de trabajo efectivas.

Conozca lo que importa al candidato y demuestre cómo el trabajo satisface las necesidades del candidato.

Iniciar correctamente al nuevo empleado.

El riesgo de movimiento de personal es más alto durante los primeros días y meses en el trabajo. Vuelva a “vender” el trabajo al empleado y bríndele orientación y entrenamiento profesional.

Retirar al inicio a los contratados por equivocación.

Utilice un período de prueba durante el cual no se requiere la disciplina progresiva, y continúe el proceso de selección durante el período de prueba.


 
 Respond to this message   


Forum Owner
Buscando la adaptacion correcta para la seguridadApril 27 2004, 3:02 PM 

Buscando la adaptacion correcta para la seguridad
Por Robert T. Addlesberger

En años pasados los departamentos de seguridad se encontraron a sí mismos en el nivel más bajo de la estructura corporativa. El presupuesto de seguridad era el más reducido de la compañía, el departamento tenía el efectivo más bajo y sus suministros y equipos eran los últimos en ser reemplazados o mejorados. Cuando los departamentos hacían sus exposiciones, seguridad exponía al final. .

La baja prioridad dada a seguridad se debía principalmente a su papel dentro de la compañía: en gran parte, las obligaciones de seguridad se limitaban a resguardar perímetros y a proteger bienes y servicios contra el ataque físico y el robo interno.

El papel tradicional de seguridad como un patrullaje uniformado y evidente era todo lo que mayormente necesitaba o esperaba de la organización. Como resultado, era frecuente que en el cuadro de organización el departamento de seguridad se encontrase debajo de instalaciones, mantenimiento e ingeniería, u otras divisiones de trabajos indirectos.

En muchas organizaciones, esta disposición no era problemática. La respuesta estaba en proporción con la amenaza. En esa época, cuando las organizaciones se concentraban en protegerse a sí mismas y a sus activos contra los ataques físicos y el robo interno simple, la misión de un típico departamento de seguridad era ordenada y directa y encajaba muy bien en este modelo.

Pero el mundo ha cambiado. Ahora las compañías están protegiendo crecientes cantidades de información propia, cargando con la responsabilidad y las preocupaciones por la seguridad de empleados y clientes, y enfrentando el espectro de los ataques de piratas informáticos. El papel que tiene un departamento de seguridad dentro de cualquier organización varía, al igual que su ubicación dentro de la estructura corporativa organizacional.

Este artículo examinará los pro y contra de diversas organizaciones comunes, observando cómo encajan los departamentos de seguridad dentro del contexto de la industria de confección de tarjetas.

Amenazas para la fabricación.

Para los propósitos de este análisis es útil tener una comprensión básica de las amenazas que se asocian con la industria de la fabricación de tarjetas. De un modo típico, el fabricante de tarjetas produce tres tipos básicos de tarjetas: la tarjeta de banda magnética, la tarjeta inteligente, y la tarjeta no financiera o sin seguridad.

Primero está la tarjeta convencional de banda magnética, la cual por muchos años ha sido el pilar para los bancos y cooperativas de crédito que emiten las tarjetas. Paulatinamente siendo reemplazada por la tarjeta inteligente, la tarjeta de banda magnética posee limitaciones, tales como una encriptación débil en la banda magnética y la capacidad de ser falsificada o convertida fácilmente, con el propósito de cometer fraude. Si fuesen robadas las existencias de tarjetas de una fábrica, sería fácil grabar las tarjetas con el nombre y número de cuenta de un titular y codificar la información del titular de la cuenta en la banda magnética. Como resultado de esto, los gerentes de seguridad deben aplicar y mantener procedimientos estrictos para asegurar la contabilidad de las tarjetas y de los componentes de las tarjetas.

El segundo tipo de tarjeta es la tarjeta inteligente, la cual está atrayendo rápidamente la atención de industrias como las de comunicaciones, juegos, televisión por cable, y banca. Emplea el mismo cuerpo de la tarjeta de banda magnética pero tiene una pequeña cavidad fresada en la superficie de la tarjeta en donde se fija un módulo inteligente o chip. Su funcionalidad sólo está limitada por sus capacidades de procesamiento y por la capacidad de memoria del chip de silicio en el módulo.

Un gerente de seguridad en una empresa fabricante de tarjetas inteligentes enfrenta retos especiales como consecuencia de esta tecnología: la adición de un componente de alto valor (el chip/módulo); la incrementada capacidad para almacenar información sensible en la tarjeta, como por ejemplo información relacionada a cuentas bancarias o de tarjeta de crédito, valor en efectivo, registros médicos e información de la licencia del conductor; y las amenazas comunes relacionadas a tarjetas de crédito.

Los fabricantes de tarjetas pueden además producir otros tipos de tarjetas, como tarjetas específicas para tiendas minoristas, tarjetas de identificación para universidades y tarjetas de seguro médico, pero estas tarjetas carentes de seguridad presentan menor riesgo de fraude porque las conversiones fraudulentas de estas tarjetas son mucho menos lucrativas que las obtenidas con tarjetas de crédito tradicionales. Las tipos de tarjetas sin seguridad, aunque son también una preocupación para el profesional de seguridad, no se enfocan en este artículo.

Tradicionalmente, el gerente de seguridad debe proteger a la organización de los ataques contra la información privada, investigaciones que estén pendientes, secretos comerciales y otras consideraciones. El profesional de seguridad en este entorno también debe proteger los nombres y números de cuenta del usuario final o titular así como las claves criptográficas que serán utilizadas para poner seguro, transportar y quitar el seguro a los algoritmos que activan al chip de una tarjeta inteligente. Al departamento de seguridad se le debe dar el nivel apropiado de autoridad y los recursos adecuados para que pueda cumplir estos objetivos.

Modelo orientado a las instalaciones.

Con esta comprensión básica del ambiente de fabricación de las tarjetas, revisaremos los modelos anteriores y tradicionales de seguridad, así como los modelos más actuales dentro del contexto de su eficacia en la protección del producto e información del cliente.

En el modelo anteriormente mencionado, la misión de seguridad enfocaba primordialmente las amenazas físicas, internas y externas. Para mantener a los delincuentes fuera y a los productos y propiedades de la empresa adentro, el gerente de seguridad usaba barreras físicas y dispositivos de detección para hacer más resistente el blanco. Lo principal de la operación de seguridad era la administración del cuerpo de vigilancia, la operación y mantenimiento de los sistemas detectores de intrusos y las técnicas de vigilancia.

Con los objetivos de este modelo mayormente en el campo de la seguridad física, la organización se daba por bien servida ubicando la función de seguridad bajo la gerencia de instalaciones o funciones similares de apoyo. Realmente el modelo orientado a instalaciones aún cumple un propósito muy útil en muchas organizaciones. Sin embargo, una desventaja del modelo orientado a instalaciones es la falta de interacción entre el cuerpo de seguridad, que se encuentra normalmente en los puestos de seguridad perimetral, y las operaciones dentro de la planta o instalación.

Modelo orientado a producción.

Un segundo modelo que se encuentra en muchas empresas fabricantes aborda directamente este asunto. En el modelo orientado a la producción, la función de seguridad reporta al gerente de producción, quien tiene la responsabilidad de todos los departamentos funcionales dentro de la planta. En otro modelo orientado a la producción, el encargado de seguridad reporta al gerente de operaciones, y este gerente a su vez reporta al gerente de producción. O seguridad puede reportar directamente al gerente de la fábrica.

Todas estos escenarios se usan ampliamente y pueden ser efectivos dentro de ciertos parámetros. Sin embargo, puede haber dificultades con este orden jerárquico. Si el gerente de seguridad reporta a un gerente de producción, por ejemplo, es frecuente que la seguridad se vuelva subordinada a las necesidades de producción.

Dentro de la organización donde trabaja el autor, Gemplus, Inc., se pueden encontrar tanto los modelos orientados a las instalaciones como los modelos vinculados a la producción, en diferentes instalaciones de fabricación alrededor del mundo.

Los modelos se han desarrollado conforme la empresa ha comprado otras fábricas de tarjetas y los gerentes de seguridad han tenido que tratar con modelos ya instalados.

Por ejemplo, en una instalación de producción con un numeroso cuerpo de vigilancia contratada, el personal de seguridad tiene muy poca participación en las operaciones internas de la instalación. Al cuerpo de seguridad se le han encargado las responsabilidades de la seguridad del perímetro y del control de acceso en puntos claves dentro de la instalación, mientras que se mantiene una estricta contabilidad del producto mediante procedimientos bien definidos que están bajo la responsabilidad del personal de producción. Existe una evidente delimitación de deberes entre el personal de seguridad y el personal de operaciones en relación con la contabilidad del producto.

En otro local que opera bajo el modelo orientado a la producción, las responsabilidades de un cuerpo de seguridad más pequeño son sumamente diferentes. Aquí, el oficial de seguridad de turno es responsable de un número mayor de tareas, muchas de las cuales implican mantener el control sobre y mantener seguros ciertos materiales y componentes utilizados en el proceso de fabricación. La interacción entre el personal de seguridad y los empleados de producción en esta instalación se nota claramente. Por ejemplo, durante varias etapas de la producción los trabajadores de fabricación están obligados a obtener la aprobación de seguridad antes de continuar con la siguiente etapa de producción. En otras situaciones, los empleados de producción deben ir ante personal de seguridad para obtener componentes de las tarjetas seguras que se necesitan para completar una etapa de fabricación.

Si como se señaló anteriormente, seguridad reporta a producción a través del gerente de operaciones, eso puede crear problemas. Incluso con un gerente de operaciones con las mejores intenciones que tiene en la mente las necesidades del departamento de seguridad, es probable que relegue la función de seguridad a un categoría secundaria cuando deba cumplir con las demandas de envíos puntuales, tasas de material desechado e ingresos de fin de trimestre.

Operaciones con frecuencia puede aceptar unas metas de producción que entran en conflicto con la función de seguridad.

El gerente de seguridad en esta situación debe reunir todos los hechos y apoyo que estén disponibles para intentar persuadir a la alta gerencia a fin de que reorganice esta función de reporte. El gerente necesita mostrar un patrón de dificultades resueltas a favor de la producción a costa de la seguridad, utilizando evidencia de incidentes en los que las decisiones sobre problemas relacionados con la seguridad, cuando eran llevados al gerente de producción, siempre iban en la dirección de producción.

Aunque otros modelos pueden abordar esta situación, quizás la solución más efectiva sea reordenar la organización para permitir que el órgano de seguridad reporte directamente al gerente de la planta. Pero si estas situaciones no pueden ser resueltas a través de una reorganización, seguridad necesita de “válvulas de seguridad” que estén instaladas para asegurar que el departamento tenga a dónde acudir, si las decisiones que estén siendo tomadas son perjudiciales para el bienestar esencial de la compañía.

En Gemplus, esta válvula de seguridad es una relación indirecta de reporte entre la seguridad de la planta y el gerente de seguridad corporativa, la cual le proporciona al gerente de seguridad un mecanismo de apoyo cuando los conflictos serios entre las necesidades de producción y las necesidades de seguridad no pueden ser resueltos a través de una abierta discusión sobre los problemas. Por ejemplo, cuando el autor envía su informe semanal a su supervisor inmediato, el gerente de seguridad corporativa también recibe una copia. Si el autor está preocupado respecto a alguna decisión en particular, el informe está escrito de tal manera que su preocupación es evidente.

En algunos casos, seguridad de planta puede pedirle al gerente de seguridad corporativa que revise la decisión para asegurar que la oficina corporativa se sienta cómoda con ella. Entonces, el encargado de seguridad corporativa tiene la autoridad para regresar donde el gerente de producción y decir: “Esto necesita ser modificado, y usted debe tener más interés por las necesidades de seguridad.”

Existen diversos otros componentes que son necesarios para asegurar el éxito de la seguridad bajo los diversos modelos relacionados a la producción. En primer lugar, es de suma importancia que se mantenga informada a la seguridad corporativa de las operaciones de día a día realizadas a nivel de la planta. El gerente de seguridad de la planta debe enviar informes periódicos al gerente de planta, con copias a los funcionarios de seguridad corporativa, para ayudarlos a mantenerse al corriente del progreso dentro de la fábrica así como de los conflictos en desarrollo. Este es otro elemento del concepto de válvula de seguridad: Si el gerente de planta no da respuesta alguna a los problemas de seguridad, seguridad corporativa está en la cadena y puede tomar acciones correctivas.

En segundo lugar, las metas de seguridad deben estar bien definidas y bien comunicadas al nivel de planta. En tercer lugar, la descripción de trabajo del gerente de planta debe incluir la responsabilidad por la seguridad. Cuarto, la seguridad corporativa debe estar apoyada por otros interesados a nivel corporativo, y la organización debe disponer de mecanismos de ejecución para el caso de gerentes reacios en los niveles inferiores de la organización.

Quinto, los gerentes de seguridad siempre deben buscar maneras creativas para asegurarse de que la función de seguridad siga siendo una voz eficiente dentro de la organización. Por ejemplo, el autor utiliza un informe semanal normal para alertar a los gerentes de seguridad corporativa respecto a sus preocupaciones.

Otra herramienta que utiliza Gemplus es una semana de reuniones anuales que congrega a sus gerentes locales de seguridad en todo el mundo. Las reuniones brindan a los gerentes la oportunidad de expresar a otros en el grupo de seguridad los problemas que enfrentan y también pueden ayudar al gerente de seguridad corporativa a decidir si necesita participar más en los asuntos de seguridad en el nivel local.
ISO 9002. En 1997, Gemplus eligió buscar la certificación bajo el ISO 9002, que es un modelo internacional para examinar la capacidad que tiene una empresa para mantener procedimientos adecuados de auditoría y documentación, diseñados para asegurar la elaboración de productos de alta calidad en una forma sistemática. Este proceso no certifica el producto de la empresa sino el sistema documentado de la empresa.

Una empresa debe cumplir con 18 elementos o estándares para lograr la certificación.

La organización del autor eligió incluir la función de seguridad en el sistema de calidad documentada, considerando la seguridad y la responsabilidad como aspectos de la calidad.

Para lograr y conservar la certificación ISO, la organización debe poner en práctica un proceso de autoverificación y debe someterse a verificaciones periódicas de observación realizadas por el ente certificador (un registrador ajeno). A través de estas dos funciones de verificación, la organización se compromete a una supervisión interna y externa del sistema documentado, asegurando la conformidad con los requerimientos de seguridad.

¿Pero de qué manera afecta esto el problema de la parte de la organización a la cual tiene que reportar la función de seguridad? La certificación puede agregar otra válvula de seguridad que garantice que las necesidades de seguridad sean atendidas, asegurándose de que se haya establecido políticas y procedimientos claramente definidos como parte de un sistema de calidad documentado y certificado. Bajo tal arreglo, el gerente de planta encontraría muy difícil violarlos, si no quiere poner en riesgo la certificación.

Sin embargo, la organización debe cuidarse de no comprometerse a expectativas irreales de seguridad; si lo hiciera así, podría ocasionar que el sistema fallase. Como gerente de proyecto para lograr la certificación ISO 9002, el autor experimentó varias situaciones en las que fueron establecidos procedimientos altamente detallados, principalmente relativos a las necesidades de producción. Estos estándares de procedimiento demostraron ser inalcanzables dados los recursos disponibles de la organización. La expectativa era que una vez entrenado el operador hasta un cierto nivel de detalle, él o ella siempre seguiría todos los pasos uno por uno.

Pero los pasos no eran a la vez ni prácticos ni necesarios.

Estas fallas se revelaron rápidamente durante las verificaciones de vigilancia realizadas por el registrador y las verificaciones internas realizadas por los auditores entrenados de la compañía. (La certificación dura tres años, pero en el caso de Gemplus, los auditores vienen cada seis meses a probar el sistema para asegurarse de que la compañía aun está siguiendo el sistema documentado.) Como resultado, fue necesario reevaluar y volver a escribir algunos procedimientos para que fueran más realistas y factibles. (Se debe resaltar que la norma ISO 9000 fue corregida en el 2000 y exige una mayor concentración para cumplir con las necesidades y expectativas del cliente en la forma de un producto de calidad y confía mucho menos en una verificación que solamente asegure el cumplimiento de los procedimientos e instrucciones que están documentados.)

Recursos humanos/Asuntos Jurídicos.

Aunque el autor no ha trabajado en una situación en la que la seguridad es parte de los departamentos de recursos humanos o asuntos jurídicos, estos modelos han probado ser factibles en muchas organizaciones. Sin embargo, tienen desventajas.

Una desventaja es que los departamentos de recursos humanos y de asuntos legales tienen poco contacto diario con el cliente y con frecuencia no están en armonía con las expectativas que tiene el cliente por la seguridad. Por ejemplo, en la industria de fabricación de tarjetas, la institución financiera emisora sufrirá una pérdida financiera (en la forma de fraude con tarjetas de crédito) si la existencia de tarjetas es robada. Por tanto, los bancos y cooperativas de crédito que emiten las tarjetas, exigen una estricta seguridad y control contable durante el lapso en el que las tarjetas están siendo confeccionadas y están en poder de la fábrica de tarjetas.

Otra desventaja es que normalmente el personal gerencial de recursos humanos y de asuntos legales tiene poca experiencia o conocimientos especializados en operaciones de seguridad. En consecuencia, estos gerentes están mal equipados para dirigir asuntos de seguridad.

Sin embargo, existen beneficios en esta estructura. Quizás el atractivo más grande en este modelo es la relativa falta de presiones relacionadas a la producción aplicadas a la función de seguridad, ya que cada uno de estos modelos proporciona un elemento de aislamiento entre los objetivos de producción y los deberes de seguridad. Pero este aislamiento puede resultar en una falta no intencional de conciencia o preocupación por los problemas de seguridad, por parte de los departamentos de recursos humanos y asuntos jurídicos, la cual puede estar agravada por la ya mencionada falta de conocimientos de seguridad.

Se puede superar el problema si el gerente de seguridad en el modelo de recursos humanos o de asuntos legales mantiene líneas eficaces de comunicación entre el personal de seguridad y el departamento legal o de recursos humanos.

Adicionalmente, el gerente de seguridad debe conversar con el gerente de recursos humanos o de asuntos jurídicos para asegurarse que él o ella tiene los conocimientos y habilidades necesarias para supervisar los asuntos de seguridad.

Una vez que esta base ha sido establecida en forma efectiva, el gerente de seguridad debe estar preparado para ajustar el nivel y el grado de detalle de la información que será enviada al gerente legal o de recursos humanos. Por ejemplo, el gerente de recursos humanos o asuntos legales que conoce de seguridad puede necesitar sólo ser informado sobre una situación o amenaza para tomar una decisión de seguridad efectiva, mientras que el gerente de recursos humanos o del departamento jurídico que es un neófito en seguridad necesitará que el gerente de seguridad analice el problema con todo detalle, incluyendo cuáles son los riesgos y beneficios.

Seguridad/Tecnología de la Información.

Las nuevas líneas de productos siempre están surgiendo y las líneas ya existentes están siendo ampliadas, lo cual ofrece constantes retos al profesional de seguridad. Por ejemplo, cuando el autor entró en este campo, el producto final para el cliente era típicamente la tarjeta en sí. Como el mundo se ha expandido y las necesidades del cliente se han adaptado de acuerdo a ello, la industria de tarjetas ha progresado desde simplemente fabricar tarjetas hasta proporcionar soluciones de llave en mano con base en las tarjetas.

Hoy, las transacciones en Internet pueden ser protegidas utilizando una tarjeta inteligente que se inserta en una lectora de tarjetas, accionada por un programa desarrollado por el fabricante de tarjetas, la cual se conecta a una computadora personal. La solución completa para brindar seguridad a la información para el comercio electrónico se basa en una tarjeta inteligente pero tiene varios otros componentes. Además, es probable que el fabricante brinde apoyo técnico al usuario final después de la venta, a través de funciones tales como una oficina de ayuda al cliente.

El autor cree que en el futuro un modelo en el que la seguridad esté involucrada en los esfuerzos de tecnología de la información, será clave para unas operaciones de seguridad eficaces. La pregunta ahora es si seguridad debe reportar a TI, si TI debe reportar a seguridad o si ambos deben reportar por igual, de acuerdo a otro modelo.

Gemplus trató el problema buscando a un gerente de seguridad corporativa con la experiencia técnica necesaria para comprender al mundo de TI. El gerente de seguridad corporativa, responsable de la función de seguridad en toda la organización y sus instalaciones, es capaz de controlar la interacción entre las funciones de seguridad y de TI para asegurar que las necesidades de ambas se cumplan. Y en el nivel local, los gerentes de seguridad deben mantener un nivel adecuado de comunicación y cooperación entre las dos entidades y utilizar los recursos del gerente de seguridad corporativa cuando sea necesario.

Como lo ilustra este análisis, hay diversos modelos en los que la función de seguridad puede informar y operar efectivamente y ningún modelo por sí solo es el que mejor se acomoda a todos los escenarios de seguridad. Es obligación del profesional de seguridad trabajar con la alta gerencia para determinar qué modelo o combinación de modelos es el mejor para la protección de la organización y de sus clientes. Pero cualquiera que sea la estructura de la organización, una buena comunicación entre las unidades, conciencia de los problemas de producción y un alto nivel de independencia son claves para un sólido programa de seguridad.

Robert T. Addlesberger es el director de seguridad para las operaciones de Gemplus Corporation en América del Norte. Es miembro de ASIS.


 
 Respond to this message   


Forum Owner
La Politica PerfectaApril 27 2004, 3:03 PM 

La Politica Perfecta

por J.R. Roberts

http://www.securitymanagement.com/

El joven americano africano vagaba por los pasillos de la farmacia, una bolsa plástica vacía dentro de su canasta. Uno de los dependientes blancos de la tienda lo observaba, sospechando que el joven pudiese ser un ladrón de tiendas. El dependiente -- quien medía más de 1.80 m. y pesaba 90 kg. -- empezó a seguir al cliente por toda la tienda. Mientras caminaba hacia la salida de la tienda, el empleado se le acercó y cogió la canasta. Dentro de la bolsa plástica estaba un tubo dentífrico junto con otros objetos de poco valor.

El dependiente acusó al hombre de estar robando y le ordenó ir a la oficina de la tienda. Entrando en pánico, el hombre escapó, saltando por encima de un torniquete en un esfuerzo por fugar de la tienda. El empleado lo siguió, sujetó al sospechoso de robo con un abrazo de oso, y pidió ayuda a sus colegas. Tres dependientes corrieron a ayudarle e inmovilizaron al hombre contra el suelo, sentándose sobre su pecho, estómago y piernas. Aunque él suplicaba a los empleados que lo dejasen levantarse para poder respirar, y a pesar de la creciente belicosidad de la multitud que se había reunido para observar, los dependientes rehusaron retirarse. La policía demoró casi veinte minutos en llegar. Cuando lo hizo, encontraron muerto al sospechoso de robo, cubierto de magulladuras y contusiones.

El valor de los artículos que el hombre había tomado era menos de $19. Los gastos legales y costos judiciales por el caso civil de cuatro años que se arregló extrajudicialmente el año pasado se calcularon en millones de dólares, además de un importante pago para la familia del fallecido y el incalculable daño hecho a la reputación de la tienda.

El incidente nunca debió haber sucedido. Durante el curso del descubrimiento de información para el juicio, miles de documentos revelaron la imagen de una compañía que disponía de buenas políticas escritas para tratar los incidentes de robo de tiendas. Pero la gerencia falló en hacer cumplir adecuadamente esas políticas.

El único entrenamiento que recibieron los dependientes, quienes eran también responsables por la prevención de pérdidas, fue una sola cinta de video que describía las políticas de la tienda. No se llevaban registros de entrenamiento para mostrar cuándo recibían entrenamiento los empleados o en qué consistía dicha capacitación, y no se utilizaba ningún instrumento de comprobación para medir la comprensión del entrenamiento por parte de los empleados.

El juicio también dejó en claro que los administradores no estaban controlando los incidentes o al personal de seguridad; si lo hubieran hecho habrían descubierto que el agresivo dependiente que derribó inicialmente al sospechoso había sido reprendido en varias ocasiones por violencia y por señalar en forma desproporcionada y sin razón a clientes americanos africanos como ladrones de tiendas (aunque permitía que la mayoría de ladrones blancos simplemente pagasen por los artículos robados y se fuesen). Para empeorar las cosas, el dependiente había sido transferido después de que tuviese un altercado con un compañero de trabajo americano africano, pero la transferencia lo llevó a una tienda en un vecindario predominantemente americano africano. Ningún gerente se dió cuenta que el cambio era una receta para problemas.

LAS BUENAS POLITICAS NO SON SUFICIENTES para asegurar que el personal reaccione apropiadamente ante un incidente. Es esencial que haya un continuo entrenamiento del personal minorista para tener la seguridad de que entienden, y actuan de acuerdo con, las políticas de la tienda para tratar con sospechosos de robo. Más aún, los gerentes de tiendas, los profesionales de prevención de pérdidas, y el personal de recursos humanos necesitan estar vigilando los incidentes que se presentan de tal manera que puedan dar una reorientación profesional o aplicar una sanción a los empleados que no actuen conforme a las políticas de la tienda.

También debe hacerse notar que en este caso la tienda tenía un departamento de prevención de pérdidas pero la compañía no colocaba personal de prevención de pérdidas en todas sus tiendas. Por consiguiente, los dependientes comunes, que ganan un salario mínimo, eran a quienes frecuentemente les encargaban las tareas relacionadas con seguridad, una práctica común (aunque desaconsejable) en el comercio minorista. Como lo ilustra este caso, cualquier tienda se expone a una responsabilidad legal si no entrena y controla debidamente a sus empleados.

Entrenamiento.

El entrenamiento apropiado del personal proporciona muchos beneficios. Mejora el desempeño y la moral, reduce la rotación de personal, y reduce la exposición de una compañía a la responsabilidad legal que puede originarse por un desempeño deficiente.
Al preparar un programa de entrenamiento la compañía tiene que abordar tres componentes: quiénes asistirán, cuál será el contenido, y qué modalidad se utilizará.

Para cualquier programa de entrenamiento, el centro de interés será aquellos empleados encargados de cumplir las responsabilidades cubiertas. Pero con respecto al entrenamiento en prevención de pérdidas, no son únicamente los empleados de seguridad y prevención de pérdidas quienes deben asistir a las sesiones de entrenamiento. Los dependientes de las tiendas minoristas, incluso aquellos que no están encargados de la prevención de pérdidas, deben asistir también.

Este entrenamiento se debe ofrecer también a los gerentes de recursos humanos, para ayudarles a entender mejor el rol de la seguridad. (Luego más sobre la relación entre RRHH y seguridad.)

Contenido.

Para determinar el contenido, la persona que establece el plan de estudio debe considerar las políticas y procedimientos que necesitan ser transmitidos a los empleados. Desde luego, la formulación de buenas políticas y procedimientos debe preceder el establecimiento del programa de entrenamiento. Con relación al robo de tiendas, por ejemplo, una política efectiva se concentra en la prevención y en una respuesta mesurada y razonada a los incidentes. Los aspectos específicos sobre cómo llevar a cabo la prevención y una respuesta mesurada a cualquier incidente que llegue a ocurrir, es lo que se debe transmitir en las sesiones de entrenamiento.

Por ejemplo, para prevenir los incidentes se debe entrenar a los empleados para que noten e intervengan cuando vean ciertas conductas reveladoras, y no cuando observen ciertos tipos de personas. Además, el instructor debe explicar por qué no es una buena medida preventiva establecer perfiles de las personas.

Este paso es importante porque los empleados pueden tener conceptos errados sobre lo que en realidad sucede en el robo a las tiendas, lo cual les podría llevar a formarse juicios incorrectos sobre cuán efectivas podrían ser ciertas respuestas, como establecer perfiles. Una vez que se han desvanecido estos mitos y estereotipos, es más probable que los empleados sigan los procedimientos porque comprenderán la lógica tras ellos.

Por ejemplo, el autor ha encontrado que cuando se les pide a los alumnos que nombren al grupo que es más probable que cometa los robos a tiendas, ellos tienden a señalar a los varones americanos africanos. De hecho, la mayoría de los que se hallan culpables de robar en tiendas son mujeres, y muchos de los ladrones que son capturados son gente de edad. Cuando se les da este tipo de información, los empleados pueden ver por sí mismos que establecer perfiles no sólo es ilegal -- es ineficaz.

También se debe enseñar al personal a reaccionar en forma medida ante una conducta sospechosa. Se les podría instruir, por ejemplo, para que mantengan al individuo bajo vigilancia continua, observando en dónde se ha escondido la mercadería, y esperando hasta que la persona haya pasado el último punto posible de venta, antes de tomar alguna acción. Luego, los encargados de seguridad deben acercarse en forma calmada y cortés-– pero no tocar -- al individuo, para preguntarle educadamente sobre la mercadería.

Unos modales amistosos ayudan a disminuir la intensidad de situaciones potencialmente violentas. Por ejemplo, por lo menos en una ocasión, el autor observó una comprador actuando sospechosamente y reaccionó acercándose a la persona de una manera amistosa, presentándose como integrante del departamento de prevención de pérdidas y preguntándole si encontraba todo lo que quería o si necesitaba alguna ayuda. Si bien el tono usado era amigable y no contencioso, la compradora se dio cuenta que estaba bajo observación de prevención de pérdidas y abandonó la tienda sin tener algún enfrentamiento -- y sin llevarse alguna mercadería.

A los empleados se les debe instruir para que nunca persigan si la persona se da a la fuga. Sin embargo, el entrenamiento debe aclarar que la prohibición de salir en persecución no significa que el robo al establecimiento sea tomado a la ligera por la tienda. El instructor debe hacer entender este punto explicando lo que hace la tienda para desalentar a los ladrones reincidentes.

Por ejemplo, muchas tiendas instituyen enfoques alternativos, como son las citaciones por ingreso con fines delictivos, para mantener alejados de la propiedad a los sospechosos de robo de tiendas, y usan procedimientos permitidos bajo las leyes de recuperación civil para hacer que los rateros de tiendas paguen por las pérdidas de propiedad y a veces por los costos judiciales. Ambos métodos hacen que una tienda sea un blanco menos atractivo para los ladrones, sin exponerla a la responsabilidad legal.

En las tiendas en las que se espera que los dependientes actúen como agentes de prevención de pérdidas, el entrenamiento también debe introducir a los miembros del personal a los fundamentos de la prevención del delito a través del diseño ambiental (CPTED, por sus iniciales en inglés). La instrucción debe incluir por qué es necesario mantener las ventanas de la tienda libres de pancartas y letreros, por qué se usa en la ropa ciertos tipos de dispositivos de seguridad, y por qué los artículos caros se colocan cerca de los mostradores.

También se necesita entrenar a los dependientes para que hagan contacto con los clientes y estén constantemente visibles; la visibilidad y el estado de alerta de los dependientes colocarán sobre aviso a los posibles rateros de que están siendo observados, y mejora el servicio al cliente que se da a los compradores legítimos. (La experiencia del autor ha demostrado que un pequeño porcentaje del robo a tiendas es ejecutado por clientes que se cansaron de esperar a los encargados de ventas.)

El entrenamiento también debe cubrir la importancia de documentar lo que ha ocurrido. Se les debe enseñar a los empleados cómo completar un informe de incidente detallado cada vez que se involucren con un sospechoso de robar en la tienda. La política debe estipular que el informe será revisado por el gerente apropiado, y los gerentes deben ser entrenados para efectuar estas revisiones. >Si los informes no son revisados, la responsabilidad legal de la tienda puede aumentar en forma impresionante. (Más sobre esto posteriormente.)

Formato.

Una vez determinado el contenido, la siguiente pregunta es cómo será transmitida la información. Los detalles sobre el tamaño de la clase, la duración del entrenamiento y los métodos utilizados dependerán del tamaño y las necesidades de la empresa y de la experiencia de aquellos que asistirán.

Generalmente, el tamaño de las clases fluctúa entre 20 y 65 estudiantes. Si hay más personas que necesitan el entrenamiento, las sesiones duplicadas se pueden continuar durante dos o tres días (cuando el tiempo sea un factor de importancia, éstas pueden dividirse en sesiones de medio día). Usualmente, la empresa debe esperar que cada empleado necesitará por lo menos ocho horas de entrenamiento para el curso de prevención de pérdidas en comercios minoristas.

El entrenamiento puede ser en un ambiente en donde el entrenador se encuentra dentro del salón o puede ser mediante una videoconferencia, con el instructor que es “proyectado” desde otra ubicación, con un facilitador/supervisor en el lugar. En cualquiera de los casos, para que el entrenamiento sea efectivo, deberá incluir más que conferencias. Debe incluir la interacción y el desempeño de funciones que atraigan a los estudiantes y los ayude a comprender las lecciones. Una manera de lograr este objetivo es que el entrenador separe en grupos a la clase, cada uno con un líder designado.Luego un instructor presenta una serie de estudios de casos basados en incidentes y juicios de la vida real.

Por ejemplo, se les puede decir a los grupos que un hombre fue encontrado robando un objeto y después fugando por la puerta. Cada grupo decide sobre las acciones apropiadas por tomar y el orden de estas acciones. Luego el instructor puede utilizar un proyector de transparencias o una pizarra acrílica para anotar y examinar con la clase los pros y los contras de cada enfoque y para hacer preguntas de seguimiento a los miembros de los equipos.

Algunas empresas utilizan el enfoque de “entrenar al entrenador” en el cual exponen cierto material a un grupo más pequeño de gerentes, con la intención de convertirlos en un conducto que lleve la información hacia los nuevos contratados y otros integrantes del personal. Este enfoque puede ser efectivo pero depende de la habilidad del individuo delegado para absorber nuevo material e igualmente transmitir la información en forma exitosa. Una de las ventajas de hacer que los administradores se conviertan en entrenadores es que refuerza el conjunto de conocimientos de estos y crea seguridad de sí mismos, haciéndoles mejores administradores y mejores profesores.

Tomando pruebas.

Cualquier tipo de entrenamiento debe concluir con un examen para medir la cantidad de material que los asistentes han retenido. Estos exámenes no deben ser simples; más bien, deben incluir preguntas de redacción así como tipo verdadero/ falso, selección múltiple y llenado de espacios en blanco. El autor recomienda una política estricta en donde aquellos que tengan un puntaje por debajo del 80 por ciento deben repetir el entrenamiento, o en ese momento el empleador podría querer reconsiderar la aptitud de ese empleado para el puesto.

Se debe mantener un registro del entrenamiento dentro del archivo personal del empleado que refleje cuándo recibió entrenamiento el empleado, en qué consistió ese entrenamiento y la forma de examen o confirmación utilizada para asegurar la comprensión del empleado.

En el caso de un incidente crítico subsiguiente, esta documentación permite a la empresa demostrar cómo fueron entrenados los empleados para seguir los procedimientos y políticas, lo cual podría limitar la responsabilidad legal de la empresa por cualquier mala conducta de un empleado.

Estos registros pueden ayudar a impedir aun la amenaza de un juicio. Cuando el autor fue director de gestión de riesgos en una firma de seguridad contratada que proveía servicios de seguridad para docenas de centros comerciales, recibió una carta de un abogado reclamando que un comprador había sido detenido y revisado indebidamente por un oficial de prevención de pérdidas. El autor pudo armar un caso sólido entrevistando al director de seguridad y al oficial involucrado (así como a testigos oculares), evaluando las calificaciones de los exámenes del oficial y su conocimiento de las políticas de la empresa, y revisando su legajo personal (el cual podría haber indicado cualquiera de los casos en los que sus acciones no cumplían la política de la empresa).

Una carta dirigida al abogado explicó que la política de la empresa era de que a los oficiales no se les permitía físicamente detener o poner las manos sobre los clientes; podían acercarse al cliente y pedirle que regrese a la tienda para tratar la situación o podían llamar a la policía a nombre del comerciante.

La carta también explicó que todo lo que había hecho el oficial estaba de acuerdo con la política de la tienda. Además, la carta incluía documentación detallada acerca del entrenamiento y evaluación del empleado acusado. El abogado decidió no proceder con el reclamo del cliente contra la tienda.

Seguimiento.

Incluso con buenas políticas y entrenamiento establecidos, si no se controlan los incidentes y los empleados, pueden surgir problemas. En el caso de la farmacia que se mencionó al inicio de este artículo, se habían escrito políticas apropiadas pero nadie hizo un seguimiento de las prácticas de los empleados para asegurar que esas políticas estaban haciéndose cumplir.

Aunque el empleado en cuestión tenía un historial de altercados con clientes africanos americanos, ninguno de sus administradores revisó su legajo, y el departamento de recursos humanos nunca puso estos asuntos en conocimiento del departamento de prevención de pérdidas. Otros informes de incidentes de esta misma tienda demostraron un patrón de abusos, con otros empleados agresivos persiguiendo sospechosos de robo dentro de la tienda así como por calles y aceras públicas. También se documentaron numerosas lesiones a los empleados y sospechosos. En varias ocasiones, dependientes no entrenados usaban esposas para sujetar a sospechosos.

Ni el gerente de la tienda en el lugar en cuestión ni el gerente zonal de prevención de pérdidas revisó estos informes. Si lo hubieran hecho, habrían reconocido que estas prácticas violaban la política de la tienda y que se requerían medidas correctivas inmediatas para aumentar la seguridad y la protección y para proteger a la tienda de la responsabilidad.

Para vigilar y controlar eficazmente el comportamiento de los empleados y para asegurar de que se están siguiendo las políticas y que se están manejando apropiadamente los incidentes, recursos humanos y seguridad deben trabajar juntos para garantizar que ambos departamentos se enteren de cualquier infracción. De esta forma, se puede detectar oportunamente un comportamiento inapropiado y se puede dar los pasos adecuados para mejorar el cumplimiento de las políticas. No hacerlo puede dejar a la tienda susceptible de cargos por negligencia.

Por ejemplo, en un caso en el cual el autor fue convocado como testigo experto, el farmacéutico que trabajaba en una gran cadena de farmacias había disparado y asesinado a un colega. Una revisión de su legajo personal mostraba un historial de quejas por parte de colegas al igual que clientes.

Muchos de estos incidentes fueron tan atroces que parece increíble que pudiese haber estado empleado ocho años en la misma empresa. Por ejemplo, en dos ocasiones tuvo que ser físicamente contenido para que no agrediera a clientes (en un caso, porque no le gustó la forma como le miró un cliente); tiraba las cosas y maldecía en alta voz a varios administradores de la tienda; discutía rutinariamente con colegas de trabajo y después pasaba seis semanas sin decir una palabra a nadie.

Una vez el hombre recibió una llamada de atención por llevar un arma al trabajo. Sin embargo, al no existir un sistema para revisar esta documentación -- la que incluía amenazas específicas contra la víctima -- el farmacéutico pudo mantener su cargo hasta el día del asesinato. Debido a que sus acciones eran tan extravagantes y fuera de la norma, el hecho era claramente previsible y la compañía claramente negligente. Los daños y perjuicios contra la compañía en el juicio resultante fueron considerables.

Otro aspecto crítico del seguimiento es la revisión postincidente. Los administradores de tiendas o los supervisores delegados de prevención de pérdidas necesitan revisar diariamente los reportes relativos a los robos en la tienda y efectuar reuniones rutinarias postincidente con los dependientes y funcionarios involucrados para examinar los pro y contra de cómo se manejó una situación en particular y cómo se podría mejorar las respuestas en el futuro. Si una acción adoptada por un miembro del personal fuese inapropiada, se le debe recordar a ese individuo la política de la empresa y notificarle que la conducta repetida será motivo de separación definitiva.

Verificar, entrenar y controlar a los empleados requiere tiempo y dinero. Pero de lejos es más barato que pagar costosos arreglos en los tribunales y, lo que es más importante, ayuda a prevenir el daño incalculable a la reputación de la compañía que puede resultar de la mala publicidad sobre incidentes mal manejados.

J.R. Roberts es el fundador de Security Strategies, una compañía con base en Savannah, Georgia, que brinda entrenamiento, consultoría y testimonio experto a clientes a nivel nacional.


 
 Respond to this message   


Forum Owner
COMPENSACION DEL RENDIMIENTO: ADMINISTRAR SU EQUIPO DE AGENTES DE SEGURIDADApril 27 2004, 3:05 PM 

COMPENSACION DEL RENDIMIENTO: ADMINISTRAR SU EQUIPO DE AGENTES DE SEGURIDAD

Por: Ron R. Minion, CPP

Las primeras impresiones son las que tienen importancia. Nadie sabe mejor eso que los gerentes de seguridad que tienen a su cargo una fuerza de agentes. Debido a que casi siempre los agentes de seguridad son los primeros representantes que se encuentran en un establecimiento, deben estar lo suficientemente motivados para dar lo mejor de sí en todo momento. Durante mis 33 años de trabajo en el negocio de la seguridad contratada, he visto personalmente cómo los agentes que están motivados hacen una sólida contribución para el resultado final. Para mantenerlos motivados, desarrollé una fórmula sencilla de evaluaciones amplias, establecimiento de metas y recompensas. El proceso ayudó a inculcar un aire de profesionalismo y una ética de trabajo en equipo, esos bienes intangibles que son esenciales para proteger un local.

Evaluaciones. Cuando los agentes se desempeñan bien, es decir, cuando previenen las pérdidas, evitan los delitos y protegen la vida y la propiedad, no hay mucho que informar. Es realmente fácil darse cuenta de su dedicación. Pero los agentes nunca deben tener que adivinar si se desempeñan bien, ni deben ignorar en qué áreas es necesario que mejoren. Un programa de evaluación proporcionará el informe necesario.

Se requiere que cada agente individualmente sea evaluado en forma completa y también en equipo, cuando sea necesario. La evaluación debe basarse en las tareas específicas y no en la “idea” del supervisor de cómo rinde un agente. He encontrado que los siguientes criterios son los mejores indicadores del rendimiento, y los componentes son lo suficientemente generales para aplicarse en todas las disciplinas de seguridad:

Informes. Debido a que los gerentes de seguridad toman decisiones claves para la distribución de los recursos, empleando la información proporcionada en los informes preparados por los agentes de seguridad, la precisión de estos informes es crítica. El agente que es capaz de tomar notas en forma efectiva durante su turno y que también es adepto al traducir estas notas en un informe útil, es un elemento indispensable. Está claro que medir la capacidad que tiene un agente para reunir información y llevar un registro de ellas es esencial. Donde el seguimiento electrónico de incidentes reemplaza el registro manual, será también importante conocer la aptitud informática del agente y su capacidad para mantener un buen nivel de detalle cuando formule sus informes.

Procedimientos operativos del sitio. Todos los locales tienen grupos de procedimientos operativos que deben ser mantenidos, interpretados y aplicados por los agentes de seguridad. El gerente de seguridad debe tener una manera de medir si un agente conoce bien estas pautas, que incluyen las órdenes para el puesto y si es capaz de interpretar y aplicar los procedimientos en diferentes situaciones.

Conocimiento del lugar. El agente debe estar totalmente familiarizado con la distribución física de la propiedad. Una buena forma de determinar su conocimiento del lugar es mediante su capacidad para explicar los planes del local, los procedimientos operativos y las listas de verificación para el servicio, así como para dirigir visitas al local. Por ejemplo, el agente debe saber inmediatamente de dónde sacar el equipo de supresión de incendios, dónde están ubicadas las salidas, dónde están las áreas de alta seguridad y dónde están situados los paneles de alarmas. Se puede evaluar su habilidad en estos aspectos haciendo que el agente guíe al inspector en una visita al lugar o mediante una prueba escrita.

Educación continua. Deben reconocerse los esfuerzos de los agentes que aprovechan las numerosas oportunidades de entrenamiento y educación disponibles y la habilidad con la que aplican sus nuevos conocimientos. Los programas de entrenamiento más importantes directamente ligados al rendimiento del agente son: primeros auxilios, RCP (respiración cardio-pulmonar), intervención en crisis no violentas y lineamientos de la OSHA (Administración para la
Seguridad y Salud Ocupacional). Adicionalmente, numerosas instituciones gubernamentales y privadas ofrecen cursos y programas de seguridad, mediante los cuales los candidatos pueden obtener nombramientos para la certificación.

Vestimenta. Una medida que con frecuencia no es tomada en cuenta respecto a la atención que da el guardia de seguridad a su trabajo consiste en su vestimenta y presentación. Por lo general, son mejores agentes de seguridad aquellos que se esmeran en presentarse en forma impecable y profesional. La vestimenta significa la actitud y el compromiso con la responsabilidad del trabajo, y los uniformes son parte de las herramientas que los agentes necesitan para cumplir su trabajo adecuadamente, ya que deben mostrar autoridad en todo momento.

Arreglo del área de trabajo. Una oficina de seguridad desordenada es un indicador de rendimiento desordenado. En la búsqueda integral de una mejor imagen, los agentes de seguridad deben esforzarse en mantener sus áreas de trabajo limpias y organizadas, de forma que puedan encontrar rápidamente los registros. La apariencia profesional del área de trabajo de un agente se puede juzgar por la accesibilidad y organización lógica de la documentación y del equipo y a su conservación rutinaria.

Actitud. Como se ha indicado, una actitud positiva en general es un elemento indispensable en la conducta del guardia y por tanto es una parte necesaria del proceso de la evaluación. Esta actitud debe aplicarse a todas las facetas del trabajo del agente, incluyendo sus deberes y responsabilidades, el lugar a ser protegido, así como frente a su empleador y la compañía cliente (en situaciones contractuales).

Dicho en forma simple, las malas actitudes se igualan a la mala seguridad. Pero poseer la actitud correcta no es sólo deber del agente. También la gerencia de seguridad debe tener un enfoque mental apropiado. Un gerente debe darse el tiempo adecuado para atender a las necesidades profesionales del agente. Por ejemplo, un agente forzado a asumir apresuradamente un nuevo puesto, como solución rápida a un problema de seguridad, pocas veces tendrá la actitud correcta para ser más efectivo en ese trabajo.

Las buenas actitudes son desarrolladas mediante el respeto y la confianza mutua. Los agentes que tienen voz en el manejo de la seguridad en el sitio de trabajo generalmente son los que poseen las mejores actitudes.

Relaciones públicas. Cada agente de seguridad también sirve como un representante de relaciones públicas para la organización a la que protege. Por ello, se debe juzgar a los agentes por lo bien que promueven la buena voluntad, prestan su colaboración cuando se les solicita, imponen discretamente su autoridad, y demuestran un adecuado control de sí mismos. El agente a menudo debe mostrar una imagen agradable y animosa, mientras mantiene al mismo tiempo una imagen de control.

Confianza. El agente ideal va a trabajar lo suficientemente temprano para tener una buena idea de los hechos sucedidos en el turno anterior. Eventualmente se puede contar con él para contribuir en donde sea necesario.

Permanencia. En general un agente se desempeña mejor mientras más tiempo pasa en un lugar específico. Los agentes que permanecen en el mismo trabajo son también más valiosos para la empresa porque pueden ayudar a nuevos colegas. Por lo tanto, la duración del servicio debe estar entre los criterios que usa la gerencia para evaluar a los agentes. Claro que este factor sólo es relevante en las evaluaciones de los agentes más experimentados y no puede ser aplicado a los agentes de reciente asignación.

Calificaciones. El siguiente paso es que el gerente de seguridad documente la evaluación y asigne una calificación a los agentes en la medida que cumplan estos requisitos de seguridad. Yo desarrollé una guía a través de la cual califiqué a los agentes en cada uno de los puntos anteriores, en una escala del uno a diez. Uno significaba un rendimiento no satisfactorio mientras diez representaba un rendimiento sobresaliente.

En la primera página del paquete de evaluación, cada uno de los 10 atributos es colocado al lado izquierdo de la página, con 10 cuadrados numerados al lado de cada uno. La escala representa los puntos que cada agente recibe durante la evaluación, siendo el máximo posible 100. La hoja también contiene espacio para comentarios adicionales, firmas y otros detalles.

El siguiente formulario del paquete es una guía que explica detalladamente cómo se mide el rendimiento y de dónde provienen los puntos. Por ejemplo, para obtener el máximo de 10 puntos por vestimenta, el gerente de seguridad o el inspector puede asignar dos puntos para el agente que tiene camisa y saco limpios y planchados, pantalones o falda limpios y planchados, calzado adecuado y lustrado, corbata debidamente colocada y cabello cuidadosamente peinado.

Para analizar el arreglo del área de trabajo, el gerente de seguridad debe evaluar y asignar puntos por la facilidad con que se puede disponer de órdenes, útiles de oficina y otros formularios importantes, así como por la apariencia del área de trabajo empleada por los agentes durante sus turnos.

La actitud puede evaluarse considerando la habilidad del agente para solucionar problemas, su iniciativa, personalidad y entusiasmo. Para las relaciones públicas se deben juzgar su cortesía, imparcialidad, solidez en el enfoque y cumplimiento de procedimientos específicos para el contacto con el público. Para evaluar la estabilidad de un agente, se pueden emplear medidas como puntualidad, seguimiento de programas de trabajo y la integridad para completar sus deberes. La permanencia puede ser medida asignando puntos por cada mes en un lugar y puntos adicionales por mayores períodos.

Los gerentes de seguridad deben aplicar su juicio al asignar puntos a cada aspecto medido dentro de una categoría particular. Por ejemplo, al evaluar la vestimenta, a un agente se le puede dar menos puntos si tiene la camisa limpia pero no planchada.

El formulario también debe contener un recuadro que explique lo que significa el total de puntos. Por ejemplo, si se califican diez áreas en una escala del 1 al 10, la calificación máxima es 100. Una calificación menor de 40 significaría que el agente no es satisfactorio para el puesto; de 40 a 70 significaría que tiene necesidad de mejoramiento; de 70 a 90 sería un rendimiento satisfactorio, y más de 90 sería un rendimiento excepcional.

Las conclusiones. Estas evaluaciones producen una información valiosa que no debe ser olvidada. Los gerentes deben tratar las calificaciones de los agentes con los supervisores locales y con los agentes en forma individual.

La evaluación está diseñada para mejorar la motivación e impulsar el rendimiento. Cuando se les comunica a los agentes los defectos que la auditoría ha dejado en claro, también se les debe indicar cómo se pueden efectuar las mejoras antes de la próxima evaluación.

Al llevar sensiblemente este proceso, dando a conocer con habilidad las preocupaciones, la gerencia puede motivar a un empleado malo para convertirse en un mejor agente.

Trabajo en equipo. Las evaluaciones no tienen que ser consideradas sólo como una herramienta para medir a los empleados en forma individual. También se pueden usar para juzgar el trabajo en equipo. Por ejemplo, una compañía podría aplicar un criterio similar para evaluar a un turno o a un grupo de agentes que trabajan en un área en particular. Primero debe calcularse el rendimiento individual del agente. Luego, se podrán determinar los promedios y conversarlos con el equipo.

Determinación de metas. Las evaluaciones ofrecen la oportunidad de establecer metas. Si un agente recibe 70 puntos, el gerente de seguridad y el agente deben establecer la meta de alcanzar 75 u 80 en la próxima evaluación. Lo mismo se aplica a las calificaciones de los equipos.

Las metas establecidas en forma mutua son un método comprobado para mejorar el rendimiento. Les dan a los agentes y a los equipos algo positivo por lo cual esforzarse. De acuerdo a mi experiencia, he visto cómo en esta etapa del proceso, los agentes empiezan a tener como norma un buen rendimiento y a desdeñar el rendimiento deficiente, ya que la reputación del equipo se vuelve cada vez más importante.

Las metas obtenidas en el proceso de evaluación deben ser comunicadas en forma clara a los empleados y a la alta gerencia, ya que la comunicación en ambos sentidos es vital para el éxito del proceso de evaluación. Al enfatizar los resultados de la evaluación, la gerencia promueve la motivación y estimula a cada agente para que rinda mejor.

Recompensas. Los elogios o recompensas de la auditoría inicial deben ser mantenidas al mínimo. Sin embargo, una vez que usted tenga los resultados comparativos de una segunda e incluso tercera evaluación, las recompensas deben ser más fructíferas y abundantes.

Las clases más simples de recompensas son una carta de reconocimiento, un certificado o una placa. Para aumentar el valor de estos gestos simbólicos, la gerencia puede ofrecer algo de valor financiero, como una bonificación o un certificado de regalo. La mayor recompensa por alto rendimiento, por supuesto, es un aumento o una promoción.

Algunas organizaciones han establecidos títulos o sistemas internos para tributar reconocimiento a quienes constantemente obtienen altos resultados. Por ejemplo, mi compañía permitía a los agentes que añadiesen “M. M.” por “Medalla al Mérito”, a continuación de sus nombres en los documentos oficiales. También son buenas recompensas apropiadas las chaquetas de equipo, los certificados o placas para el grupo, las comidas o tragos a la cuenta del jefe.

Con mucha frecuencia los gerentes de seguridad dedican su atención sólo a mantener contentos a los clientes corporativos, pero no tratan adecuadamente las necesidades de sus agentes. Los agentes motivados crean y mantienen clientes satisfechos, así que los gerentes deberían dedicar un esfuerzo considerable para guiarlos y apoyarlos. Al encargarse de las necesidades profesionales de sus agentes y hacerlos sentir parte de un equipo, los gerentes de seguridad pueden crear un ambiente en el cual los agentes permanecen más tiempo y trabajan más duro, beneficiando a todos los involucrados.

Ron R. Minion es el fundador de la Fundación Internacional para Agentes de Protección y de su programa de certificación como agente de protección. Este artículo está adaptado de “Supervisión de Seguridad: Teoría y Práctica de la Protección de Recursos”, editado por Minion y Sandi J. Davies. Minion es miembro de ASIS.


 
 Respond to this message   


Forum Owner
LA VERDAD Y LAS CONSECUENCIASApril 27 2004, 3:05 PM 

LA VERDAD Y LAS CONSECUENCIAS

Por Mary Lynn Garcia, CPP

Controles de acceso, detección de intrusos, CCTV, todas estas herramientas tienen su lugar. Pero a menos que todos los sistemas hayan sido diseñados e instalados a base de un apropiado análisis de riesgos, terminarán siendo poco más que una ilusión de protección. La seguridad real sólo se puede conseguir cuando los recursos de gran valor son cuidadosamente asignados a las necesidades de seguridad más apremiantes. Esa es una afirmación con la que, sin duda, todo profesional de la seguridad estaría inmediatamente de acuerdo, pero hay una dificultad. ¿Cómo puede uno definir “necesidades más apremiantes”?

Un típico departamento de seguridad corporativo probablemente considerará una lista de riesgos que vayan desde el robo interno hasta el terrorismo y los desastres naturales o causados por el hombre y decidirá que la necesidad más urgente es defender la compañía contra el robo, lo que es común, y no de ataques por acción humana, supuestamente improbables pero con efecto devastador. Ese es un error potencialmente fatal, como lo demuestra el ataque con explosivos en Oklahoma City y muchas otros hechos de terrorismo.

En vez de dar poca importancia a los riesgos de baja probabilidad, los profesionales de la seguridad deben considerar las consecuencias de la posible pérdida.

Esto se conoce como “análisis de consecuencias”. Se pregunta: ¿Qué pasaría si pierdo este recurso?. Ya sea una fórmula secreta de combustible para cohetes, las vidas de los niños de una escuela secundaria, la vida de un alto ejecutivo o una planta única de procesamiento químico, si la respuesta es “no podemos permitirnos perder este recurso”, entonces usted no puede permitirse dejar de protegerlo.

Eso quiere decir que la compañía no puede permitirse tener dicho activo sin protección contra cualquier amenaza real, incluso si la probabilidad de que ella suceda sea baja. Los profesionales de la seguridad pueden considerar esto como una meta elevada e impracticable que podría no cumplirse dentro de presupuestos limitados. Pero si el planeamiento de consecuencias es efectuado adecuadamente, no necesita costar más que el tradicional enfoque de seguridad, como será ilustrado en los ejemplos que acompañan el siguiente análisis del proceso.

En el análisis de consecuencias se examina la relación entre amenazas, activos, la probabilidad de pérdida, y los resultados de la pérdida de cierto activo, para determinar qué recursos se deben emplear para protegerlo. Si la pérdida de un activo puede ser tolerada, incluso temporalmente, o si el riesgo puede ser transferido a través del seguro, el activo no requerirá tanta protección. Pero si el seguro o las acciones de recuperación no aseguran continuidad en las operaciones mientras se repara o se reemplaza el activo, se hace necesario considerar cuál es la mejor forma de proteger el activo. Los cuatro elementos de este proceso son: identificar las amenazas, identificar activos críticos, determinar la probabilidad de ataque y determinar las consecuencias de la pérdida.

Identificar las amenazas.

Toda construcción enfrenta algunas amenazas maliciosas de origen humano que deben ser identificadas. Cada amenaza debe ser considerada en términos de clase (interna o externa), táctica (fuerza, acción secreta o engaño), objetivos (robo, sabotaje o extorsión, por ejemplo), motivación (ideología, inestabilidad mental o provecho financiero, por ejemplo), y capacidad del adversario (tal como número de adversarios y acceso a armas).

Un buen análisis de amenazas describe una diversidad de amenazas basadas en los activos a ser protegidos. Las amenazas cambian regularmente, por lo que deben hacerse revisiones periódicas del espectro de amenazas.

Identificar activos.

Otro paso en el análisis de consecuencias es determinar los activos que requieren protección. La mayoría de las grandes instalaciones tienen una variedad de activos físicos que incluyen equipo especial, redes de computadoras y líneas de telecomunicaciones, así como activos de información, como datos de mercadeo, bases de datos de recursos humanos, fórmulas químicas e información para planeamiento estratégico. Por supuesto también hay que proteger al personal, a los clientes y a las visitas.

La clave para decidir qué niveles de protección necesitan los activos es el valor de ellos, el cual debe ser comparado con los de otros activos, siendo el factor básico si la compañía puede continuar operando sin él. Sin embargo, no siempre es obvio cuáles activos son los más críticos. Los profesionales de la seguridad y los ejecutivos corporativos que hacen estos juicios en primer lugar deben establecer claramente las metas y objetivos corporativos, después de lo cual, para cada activo, uno puede preguntarse: ¿se puede alcanzar la meta sin esta función, proceso, material o persona?

Probabilidad de ataque.

La siguiente parte de la ecuación es la probabilidad de ataque. Se pueden usar varios enfoques para determinar la probabilidad de ataque, incluyendo el examen de los registros históricos del lugar y las estadísticas de otros sitios similares. También es aconsejable consultar con otras personas de industrias parecidas, asociaciones profesionales u organizaciones policiales.

Consecuencias de una pérdida.

Luego deben determinarse las consecuencias de una pérdida en términos de dinero, reputación, vidas y otros factores perdidos. Los resultados de la pérdida deben ser expresados en términos de sus efectos para la organización.

Los eventos de elevadas consecuencias, aunque sean relativamente de baja probabilidad, no pueden ser asimilados fácilmente y por tanto deben ser prevenidos. Por ejemplo, este enfoque podría mostrar que es preferible concentrar los recursos disponibles en proteger los secretos comerciales, prevenir sabotajes o detener las acciones de violencia en el lugar de trabajo, en vez de proteger los autos de los empleados contra los vándalos.

Esto, que es una pérdida de baja consecuencia, podría tratarse mejor mediante el seguro, en vez del limitado presupuesto de seguridad. (También es posible, aun probable, que el resultado de atender las pérdidas de elevadas consecuencias, será reducir las ocurrencias de los problemas de baja consecuencia pero alta frecuencia.)

Reuniendo los elementos.

Un análisis de consecuencias es una manera efectiva de mostrar la relación entre amenaza, activo y consecuencia. Las amenazas específicas se pueden marcar en una matriz en la que el eje vertical representa la consecuencia relativa por la pérdida del activo, y el eje horizontal representa la probabilidad del ataque de un adversario. La matriz muestra qué activos enfrentan la mayor probabilidad de ataque y qué ataques tienen el potencial más alto para detener las operaciones. El empleo del análisis de consecuencias puede evitar gastos innecesarios al evaluar las amenazas específicas de cada instalación y aplicar las soluciones necesarias para evitar ese tipo de ataque.

Uno de los aspectos más útiles del análisis de consecuencias es su capacidad de convencer a los altos ejecutivos a proteger las áreas más expuestas. Ayuda a los que toman las decisiones a comprender y reducir el riesgo en la seguridad de la empresa o local y permite a la organización de seguridad demostrar su importancia a la corporación.

Sólo cuando se entiende la relación entre amenazas, activos, probabilidad y consecuencias se puede iniciar el diseño del sistema de seguridad. Para algunas amenazas de menor importancia, puede ser suficiente cambiar procedimientos. Para otros serán necesarios los recursos humanos y la tecnología.

Los dos siguientes ejemplos describen el análisis de consecuencias en el planeamiento como lo ha ejecutado un equipo consultor de especialistas de seguridad de los Laboratorios Nacionales Sandia. Se trata de dos lugares específicos, pero se han modificado algunos detalles para proteger las identidades de esos lugares. Los ejemplos no significan que la solución es la misma en todos los casos. La idea básica es que existe una relación entre amenaza, activo, probabilidad de ataque y la consecuencia de la pérdida. El proceso siempre es el mismo, aun cuando las instalaciones distintas puedan tener diferentes amenazas, activos y otras características. Usar la matriz ayuda a relacionar gráficamente estos aspectos y ayuda a repartir los recursos, después de lo cual se puede determinar el diseño del sistema.

Fabricante de semiconductores.

Este caso involucró a una importante planta de fabricación de semiconductores que tenía por seguridad candados comunes y un limitado sistema electrónico para el control de acceso, que no estaban bien conservados. También había un agente de seguridad sentado en el vestíbulo principal, verificando las fotografías de los documentos de identificación de los empleados que entraban.

Con el deseo de mejorar la seguridad, la compañía contrató a un vendedor/consultor quien recomendó la instalación de cientos de cámaras de CCTV. La compañía también estaba considerando un sistema de cerco perimétrico con detectores de movimiento incorporados.

Sandia tomó contacto con el problema del fabricante sin habérselo propuesto, al trabajar con un consorcio de fabricantes de semiconductores de lo cual dicho fabricante era miembro. En ese momento esa compañía se encontraba en medio de una revisión de seguridad, y uno de sus representantes le pidió a Sandia que ayudase a la compañía.

Cuando el equipo de Sandia ayudó a la planta a efectuar un análisis de consecuencias como componente de una evaluación de seguridad, observó que ni la compañía ni el vendedor habían analizado los riesgos antes de determinar que debía hacerse. La compañía simplemente dijo que quería fortalecer los controles de acceso y la detección de intrusos. El diseño no se hizo en función de objetivos; no se concentró en lo que se necesitaría proteger.

Por lo tanto, Sandia examinó los activos de la compañía y el perfil de amenazas, evaluando las posibilidades y consecuencias de pérdidas para cada tipo de amenaza o activo. También observó la seguridad existente y consideró las cámaras y sistemas contra intrusión propuestos y cómo estos enfrentarían las exposiciones a las amenazas.

Evaluación.

Una de las amenazas más grandes (de elevadas consecuencias) que enfrentaba la compañía era el robo de información de la empresa. Debido a la naturaleza altamente competitiva de la industria de los semiconductores, la pérdida de fórmulas y otra información propia podía ser devastadora. Esta era claramente una amenaza de elevadas consecuencias, aunque vista como de baja probabilidad. Otra amenaza significativa era el comportamiento violento en el lugar de trabajo, una posibilidad que iba en aumento dados los inminentes despidos al momento de efectuar la evaluación.

También se colocó en la categoría de consecuencias elevadas el sabotaje de equipos para la producción. Específicamente, se determinó que el sabotaje del equipo de producción por empleados y contratistas, en especial una actividad que detuviese la planta por más de 48 horas, sería de elevadas consecuencias y mediana probabilidad.

El equipo identificó y evaluó este riesgo al leer informes de incidentes en la fábrica durante varios años, notándose un problema recurrente con ex empleados y contratistas que trataban de sabotear el equipo. Antes del análisis de consecuencias, este riesgo había sido mayormente ignorado.

Además, el análisis de consecuencias identificó diversos blancos potenciales para sabotaje que anteriormente no habían sido considerados. Por ejemplo, una instalación para procesamiento de agua ubicada fuera de la planta principal resultó ser un blanco vulnerable, como también eran un área de almacenamiento de componentes críticos, la sala de control de fabricación y el sistema de comunicación de fibra óptica.

Se consideró que una demostración política de activistas ambientales sería una amenaza de bajas consecuencias y baja probabilidad. Aunque la preocupación por el uso de agua en la planta, en un ambiente donde escaseaba el agua, aumentó la probabilidad de protestas ambientales frente a las entradas de la instalación, la planta tenía en general buenas relaciones en la ciudad en la que estaba ubicada. Las protestas, en caso que llegasen a darse, podrían retardar el movimiento de ingreso y salida de los empleados al edificio y posiblemente impedir la entrega de artículos en el área de recepción, pero era improbable que fueran tan serias como para que pudieran amenazar las operaciones o las ganancias.

El robo de propiedad personal y de equipos y herramientas de la compañía era común, pero con poca pérdida total para las ganancias corporativas, así que fue considerado de baja consecuencia y alta probabilidad. Se determinó que en estos casos de amenaza con bajas consecuencias, los limitados recursos de seguridad de la compañía podrían ser mejor aplicados en otros lugares.

Exposición.

Los elementos de protección del local fueron ingresados a un programa informático de modelación y se efectuó un análisis de las diez vías más vulnerables. El análisis encontró que el fabricante sólo tenía un 19 por ciento de oportunidad para interrumpir un ataque de sabotaje por la vía más vulnerable.

Recomendación.

Para tratar el tema de las amenazas específicas con elevadas consecuencias para la compañía, Sandia hizo una serie de recomendaciones. Incluían medidas elementales para el control del acceso como echar llave a las puertas exteriores, hacer que el personal dejase de poner soportes para mantener las puertas abiertas, limitar a quienes podían ingresar al centro de control y agregar números de identificación personal (PIN) al sistema sencillo de lectoras de tarjetas que había en el lugar, ninguna de las cuales significaba grandes gastos en el presupuesto. Sandia también recomendó un mejor mantenimiento y verificación de los sistemas ya instalados. Por ejemplo, en las cajas de empalme había interruptores contra manipulaciones, pero nunca se habían probado. (Debe anotarse que por lo menos una parte de la solución para cualquier compañía es aplicar buenas políticas y exigir un buen comportamiento a los empleados, sin lo cual el equipo no podrá trabajar.)

Con relación al equipo, Sandia recomendó mejorar el sistema de alarma, ya que la instalación actual era deficiente. Se basaba sólo en los manuales y mezclaba los eventos de seguridad contra accidentes con los de seguridad de vigilancia, haciéndose difícil que los operadores pudieran diferenciar rápidamente entre una alarma de seguridad y un accidente. Junto con mejorar el sistema de alarma, Sandia también recomendó que el sistema de seguridad contra accidentes y el de seguridad para vigilancia trabajasen en forma independiente, lo que permitiría que un operador pudiese detectar más fácilmente los eventos de seguridad importantes.

Respecto a las cámaras, Sandia recomendó menos cámaras, que estarían colocadas más estratégicamente y unidas a sensores, de forma tal que cualquier actividad hiciera actuar una alarma. (El plan original no consideraba cámaras unidas a detectores.) Posteriormente, Sandia recomendó que la compañía no construyese el cerco perimétrico, porque la planta ya poseía una adecuada capacidad para la detección.

Al no invertir en el cercado perimétrico, las cámaras de CTV y otros equipos, la planta ahorró alrededor de US $ 600,000. Un nuevo análisis empleando el modelo por computadora e incorporando los cambios recomendados, mostró que ahora en la misma vía la posibilidad de interrumpir un sabotaje era de 92 por ciento. Así, el análisis de consecuencias produjo una solución más efectiva y menos cara para la compañía.

Escuela secundaria.

Al equipo de Sandia se le solicitó que evaluase la seguridad en una escuela secundaria de 1,200 alumnos, en un vecindario de clase media con diversidad étnica, en una ciudad de mediano tamaño en el oeste medio del país. Tradicionalmente, los administradores han prestado poca atención a la seguridad de las escuelas. Entre los administradores de escuelas lo más cercano a un análisis de amenazas es su conocimiento de los problemas que afectan a otras escuelas, como los tiroteos, robos y grafitos (dibujos e inscripciones) en las paredes. Las únicas medidas aparentes de seguridad que existían eran procedimientos como la vigilancia de los alumnos por los maestros o el personal administrativo en los pasillos u otros medios.

A causa de una serie de tiroteos y otras formas de violencia en escuelas en todas partes del país, que han ocurrido en todo tipo de población y ciudad en distritos escolares con diversos estratos socioeconómicos, la escuela decidió que era momento para mejorar sus medidas de seguridad. Trabajando con un proveedor, la administración decidió instalar gran cantidad de cámaras nuevas en todo el campus, desde corredores hasta pozos para escaleras y zonas de parqueo de vehículos. No era factible la observación directa de las imágenes en video, pero las cámaras iban a ser grabadas en un centro de control seguro.

La idea era que las cámaras fuesen una solución global para prevenir una amplia variedad de delitos.
Antes de proceder con la instalación de las cámaras, la recomendación del proveedor, la escuela le pidió a Sandia que revisase su seguridad. Cuando el equipo de Sandia visitó la escuela, encontró que el plan de agregar cámaras no estaba basado en un análisis coherente de las amenazas, los activos y las posibles consecuencias en dicha escuela. Es más, la escuela no había considerado en absoluto cómo podría cumplir el sistema con los objetivos de seguridad.

Luego Sandia se reunió con el administrador para efectuar una evaluación de riesgos y un análisis de consecuencias. Esto implicó recorrer la propiedad y entrevistar a los administradores acerca de la clase de problemas que habían tenido y las soluciones que habían probado anteriormente. El equipo hizo muchas otras preguntas de respuestas abiertas respecto a las políticas y procedimientos de la institución.
Luego Sandia ayudó a la escuela a clasificar diversas amenazas de acuerdo a su probabilidad y consecuencias. Por ejemplo, las conversaciones con la administración de la escuela mostraron que un incidente de tiroteo ocasionado por un alumno sería un evento de alta consecuencia pero de baja probabilidad. En contraste, el uso de drogas por los estudiantes, lo cual estaba en aumento, fue clasificado como de alta consecuencia y mediana probabilidad. El robo de propiedad valiosa de la escuela, como instrumentos musicales, cometido por alumnos o por gente ajena, fue considerada como de mediana consecuencia, pero de baja probabilidad.

La administración también conocía casos en que, en una forma de rapto, los padres sin custodia legal habían ido a la escuela a recoger a sus hijos sin tener permiso del padre con la custodia. Este riesgo fue clasificado como de mediana consecuencia, baja probabilidad. (Se le consideró sólo de mediana consecuencia porque los padres no tenían la intención de causar daño a su hijo, sino sólo recuperar la custodia.)

En el nivel de consecuencias más bajas estaban el robo de propiedad personal, que era de mediana probabilidad, y los incidentes de grafito y vandalismo, que eran bastante comunes en la escuela y que se clasificaron como de alta probabilidad. Al tener bajas consecuencias, las dos últimas amenazas, aunque probables, recibirían la menor cantidad de recursos importantes de seguridad.

El análisis mostró que las amenazas más significativas, aunque no eran las más probables, eran los tiroteos en la escuela y el uso de drogas por los alumnos, seguidas por el secuestro. Si llegaban a darse este tipo de incidentes, representarían un riesgo para los activos más valiosos de la escuela: sus estudiantes y sus maestros.

Con esta matriz, se desarrolló un plan que reduciría el riesgo de estos eventos de elevadas consecuencias (tiroteos, uso de drogas y secuestros), y al mismo tiempo probablemente se dificultarían las amenazas más comunes pero de menor riesgo, como el vandalismo. El plan incluía la ubicación de cámaras dirigidas, controles de acceso más estrictos e identificación de seguridad. Para uso de drogas, se prefirió emplear la asesoría personal en vez de medidas de seguridad.

Ubicación de cámaras.

Las ubicaciones de las cámaras se volvieron a evaluar. El plan original consistía en colocar quizás 100 cámaras en los ingresos, pasadizos y otras áreas de alto volumen. Se decidió que los objetivos de protección, ahora mejor precisados, se podrían alcanzar en forma más efectiva y a un costo total menor, al colocar menos cámaras pero de manera más estratégica. Las cámaras se colocaron en áreas de “alta expectativa”, como la sala de la banda, en donde se guardaban costosos instrumentos musicales.

Al mismo tiempo, Sandia sugirió menos cobertura en los lugares que tuviesen necesidades menos apremiantes, como en las puertas y el interior del auditorio, en donde el principal riesgo era el vandalismo de bajas consecuencias.

Control de acceso

La probabilidad de un tiroteo se reducía claramente al limitar quién podía ingresar al edificio y qué podían llevar a la institución. Ello también reduciría otras amenazas como el robo. Sandia recomendó medidas como restringir la entrada al edificio por un solo ingreso, colocando allí un detector de metales y asegurando todas las otras puertas y ventanas. El tener fotografías de los tiradores no evitaría las pérdidas de vidas, así que las cámaras sólo podrían jugar un limitado papel.

Identificación.

Como un corolario del control general de acceso y en relación con la preocupación específica por el potencial de raptos de estudiantes por padres sin la custodia legal, Sandia recomendó que la escuela considerase dos tipos de identificación. Para el personal en general, se sugirió que a los alumnos se les exigiese usar una tarjeta con su foto. Si bien las tarjetas pueden ser falsificadas, constituyen una forma que permite que los profesores y el personal administrativo determinen rápidamente si una persona está autorizada a permanecer en la escuela.

Actualmente la escuela está comparando las ventajas y desventajas de esta y otras recomendaciones.

Respecto al riesgo potencial de un secuestro, la solución propuesta a la escuela antes de que llegase el equipo de Sandia, había sido tener un sistema por el cual los padres con custodia entregarían mensajes escritos a la escuela para dar permiso al padre sin custodia o a otra persona para recoger al niño. Debido a que esa solución puede ser fácilmente vulnerada, el equipo de Sandia recomendó un mecanismo de identificación más formal, como el uso de un aparato de identificación biométrica. El padre con custodia haría que las personas seleccionadas para recoger al niño ingresasen información biométrica mediante un lector de geometría de manos. Sólo las personas autorizadas por los padres podrían recoger al niño del interior de la escuela, y la geometría de su mano tendría que coincidir con la de un patrón archivado. (La escuela está considerando esta recomendación.)

Asesoramiento y conocimiento.

El análisis de consecuencias también mostró que la escuela tendría que preocuparse más para evitar el creciente problema del uso de drogas por los alumnos.

Aunque la escuela todavía investiga la manera de hacerlo, la recomendación del equipo de Sandia se concentra más en identificar los alumnos que están en riesgo y darles asesoramiento. La administración también está invocando la atención del estudiante a sus políticas sobre drogas y fomentando la conciencia sobre el problema.

Es frecuente que las organizaciones apliquen medidas de seguridad sin considerar qué es lo más importante por proteger. Como resultado se instalan sistemas de seguridad que son caros y aún así los activos críticos siguen siendo vulnerables. En lugar de ello, los profesionales de seguridad deben empezar a diseñar sistemas de protección que reparten los recursos de acuerdo con la consecuencia de la pérdida, no sólo con la probabilidad de la amenaza. Las consecuencias de hacerlo de otra manera son altas.

Mary Lynn García, CPP, es miembro principal del personal técnico de los Laboratorios Nacionales Sandia, Albuquerque, New Mexico. Es miembro de ASIS.


 
 Respond to this message   


Forum Owner
Seguridad PerimetricaApril 27 2004, 3:06 PM 

Seguridad Perimetrica

Por: Mark Lowers, Tony Raker y Jim Rodgers

“Hola, llamo para solicitar una cotización para mi jefe con relación a una cerca, unos cuantos guardias de seguridad y algo de iluminación. Sólo queremos ajustar un poco las cosas aquí. Usted sabe, con todas las historias de crímenes en el área, en la oficina de los jefes están un poco nerviosos. ¿Me puede dar un cálculo aproximado por teléfono?

De una forma u otra, la mayoría de los profesionales de seguridad han recibido llamadas similares. Y con el incremento de la atención a la seguridad, ahora que el terrorismo se ha convertido en una realidad más urgente, es probable que reciban más de ellas.

Para el profesional de seguridad, la consulta está tan llena de conceptos equivocados respecto al despliegue de medidas de protección perimétrica, que uno puede estar tentado simplemente a darles una referencia en vez de ofrecerles un servicio. Pero el mero hecho de que alguien ha iniciado el contacto muestra que reconoce que hay una amenaza y que reconoce la capacidad del profesional, lo que en consecuencia abre las puertas al diálogo. Un profesional de seguridad capacitado reconocerá estos cimientos y podrá edificar sobre ellos.

El éxito inicial y a largo plazo de cualquier programa de seguridad perimétrica comenzará y concluirá con unos procesos intangibles: definir la misión de protección, efectuar un planeamiento decidido que considere las opciones tecnológicas, fomentar un sólido compromiso por parte de la gerencia, y desarrollar una cultura institucional encaminada hacia la seguridad, independientemente de la naturaleza, tamaño, o ubicación de la entidad en cuestión.

Misión definida.

La primera tarea en definir lo que se va a proteger y qué impondrá ese esfuerzo, es determinar el nivel y la naturaleza de la amenaza. A continuación se dan algunas preguntas de uso corriente que deben plantearse en esta evaluación. Si la amenaza es general, como sucede con el terrorismo, las interrogantes serían amplias: ¿Cómo ingresa cualquier cosa del exterior? ¿Son seguras las áreas de estacionamiento vehicular? ¿Cuál es el sistema de entrega de correspondencia? ¿Cuál es la exposición de su sistema ambiental? ¿Cuáles son sus procedimientos en la plataforma de carga? ¿Cuáles son los controles de acceso en su edificio?

Para amenazas más específicas, las preguntas pueden incluir lo siguiente: ¿Ha habido un incidente específico en el área de estacionamiento o los terrenos, o de ingreso no autorizado a la propiedad o instalación? ¿Estos incidentes implicaron ataque verbal o físico? ¿Existen preocupaciones sobre la vulnerabilidad en general, que pueda incluir ingreso ilegal, ataque, intimidación? ¿Es un problema aislado o parte potencial de una tendencia? ¿Cuándo fue la última ocurrencia y cuáles fueron las circunstancias? ¿Saben las autoridades y están involucradas? ¿Existe documentación disponible para ser revisada?

Las respuestas a estas preguntas determinarán la dirección en la que se dirige el proceso. Obviamente, los incidentes individuales justifican tanta consideración y mitigación como los incidentes múltiples; la única variable es la rapidez y el grado hasta que se aplica la seguridad perimétrica para evitar actividad criminal adicional.

Luego de la evaluación del estado inmediato de la seguridad, debe llevarse a cabo una reunión de información que incluya como mínimo al gerente de riesgos, al director de recursos humanos y al consejero general, para determinar las deficiencias perimétricas del pasado y para hacer una crónica de los incidentes previos y las soluciones que se hayan puesto en práctica anteriormente.

Al rendir cuentas, el objetivo del equipo no es sólo conocer la historia de incidentes, las expectativas gerenciales, y los objetivos de seguridad, sino también la naturaleza y propósito de las actividades de la entidad, las cuales en su vez proporcionan información importante sobre los tipos de medidas que son necesarios. Por ejemplo, una planta de tratamiento de agua, una refinería de petroleo, un centro educativo, un campo de golf, y una residencia privada poseen todas unos puntos de acceso particulares. Si un profesional de seguridad no comprende la naturaleza y el flujo a través de esos accesos, él-o ella--no podrá proporcionar la seguridad perimétrica que se necesita.

Esta parte del proceso de reunión de información debe incluir la revisión de los planos de la instalación, seguida por una inspección a fin de determinar los cambios en la propiedad desde que se hicieron esos planos o desde su última actualización.

Planeamiento decidido.

Armado con los hechos básicos, el equipo puede empezar a planear en serio. La prioridad es realizar una amplia evaluación de riesgos o vulnerabilidades para verificar los hechos presentados en la evaluación y reunión de información anteriores, y para cerciorarse de las condiciones de acceso. La situación puede que no sea como se ha descrito.

Por ejemplo, al efectuar un estudio en una compañía en el norte de Virginia, un equipo proveniente de la compañía donde trabaja el autor, Amsec International, encontró un recepcionista que ignoraba el nombre del vicepresidente de seguridad y que permitió que el equipo ingresase sin ninguna escolta. Después de explorar el edificio, hallaron un cuarto de control maestro equipado de un sistema de ingreso de última tecnología mediante lectura de la palma. Sin embargo, este costoso sistema estaba frustrado: la puerta se mantenía abierta con una silla de oficina barata de plástico de las que se usan en las oficinas, debido a un problema técnico que requería “consulta excesiva entre cuartos”.

Cuando al gerente de riesgos de la instalación se le hizo ver la contradicción, éste culpó al funcionario jefe de información por no seguir el protocolo, mientras que este funcionario acusaba al gerente de riesgos de negligencia en hacer cumplir las disposiciones de acceso. Sin embargo, en medio de sus mutuas acusaciones, ninguno de ellos reconoció que la interrupción de un procedimiento básico de acceso del perímetro al interior pudo haber sido devastador, si, inadvertidamente, se hubiese permitido el acceso a alguien con malas intenciones, en vez de los autores.

En otro caso que ilustra lo que puede revelar una evaluación, las violaciones a las disposiciones de estacionamiento en un área restringida en el garaje de una compañía se habían duplicado durante un período de tres semanas. La idea inicial fue que el problema había sido causado por error humano, pero el guardia ubicado en la puerta levadiza negó que de alguna manera se hubiese omitido el protocolo sobre ingreso no autorizado. Al hacerse el examen, se determinó que el problema no era el agente que permitía que ingresasen personas no autorizadas, sino un error en la digitación de ingreso en el sistema informático. A los empleados de un departamento se les permitía que estacionasen en al área de parqueo asignado a otro departamento al insertar sus tarjetas de identificación como lo hacían normalmente. En este caso, el diagnóstico inicial de error humano resultó ser incorrecto luego de una indagación adicional.

El proceso de planeamiento debe ser expresado dentro de un repaso de la estrategia de cuatro puntos que considere vigilancia, control, mantenimiento y entrenamiento relacionados con dos áreas diferentes de repaso: elementos de acceso perimétrico en general, que son comunes a todas las circunstancias, y medidas que son propias para cada entidad.

Los elementos genéricos de seguridad perimétrica comprenden una iluminación abundante, ingresos y salidas con alta visibilidad, áreas de transición bien mantenidas entre los lugares de destino y las vías públicas, linderos de propiedad definidos, y señalización que detalle los derechos de acceso y la ubicación de los ingresos. Además, los responsables de la seguridad perimétrica deben asegurarse de identificar los puntos ciegos, mantener estándares físicos y ambientales, establecer y ejecutar rutas y horas de patrullaje, colocar dispositivos de comunicación en forma estratégica, poner en práctica un sistema de registros con firmas donde se verifique la identidad, utilizar pases para los visitantes, restringir los puntos de acceso público, y hacer uso de barreras naturales como estanques de retención de agua.

El objetivo de estos esfuerzos comunmente es aumentar la visibilidad general, la que es clave para un perímetro seguro. Algunas veces la visibilidad puede reducirse en forma inadvertida. Por ejemplo, en un intento por agrandar al máximo un espacio limitado, un centro de conferencias había colocado unos grandes recipientes para artículos reciclados cerca de los ascensores del garaje subterráneo de estacionamiento.

Aunque los recipientes se habían colocado con buenas intenciones, proporcionaban una cubierta natural o puntos ciegos desde donde los criminales estaban efectuando atracos fortuitos. Luego de examinar la situación y el presupuesto de seguridad aprobado, los autores concluyeron que a pesar del espacio apretado de la configuración, en última instancia era más seguro y menos costoso mover los recipientes, que colocar personal de seguridad adicional en los múltiples niveles subterráneos las 24 horas del día, la cual era la alternativa necesaria para hacer segura la instalación.

También deben considerarse los elementos propios de la entidad que toman en cuenta la función y el propósito de la instalación. Un ejemplo es una planta de tratamiento de agua que incorpora una red de acueductos de cinco pies (1.50 m.) de diámetro, desde una estación interna de tratamiento a la siguiente, lo cual proporciona múltiples puntos de acceso en el perímetro. Para hacer frente a la amenaza creada, la planta instaló un sistema de rejillas para evitar el ingreso indebido de animales y personas, así como estaciones de CCTV en el ingreso, salida y lugares intermedios del terminal, para visibilidad y rastreo máximos.

Vigilancia.

Esta parte trata los esfuerzos físicos y electrónicos para observar los puntos de acceso designados y los no designados. Aquí están incluidos los puntos estratégicos con campo visual libre y iluminación adecuada de personas, propiedad y actividad en lugares tales como áreas de estacionamiento, entradas designadas (puertas, garajes, e ingresos de servicio), entradas no designadas (ventanas, tubos de desagüe, conductos subterráneos, cercas, pasadizos y acueductos), pasajes, calles, verandas y balcones.

Una de las tecnologías que podrían tener en cuenta los profesionales de seguridad son los sensores perimétricas y los sistemas de vigilancia, que proporcionan una gama de opciones de alto nivel para monitoreo y detección. Dependiendo de la naturaleza de la instalación (privada, industrial, gubernamental, militar), una opción viable puede ser la tecnología infrarroja. Creada para aplicaciones militares, la detección de intrusiones perimétricas con sensores infrarrojos ha sido adoptada con éxito en aplicaciones comerciales e industriales, en particular aquellas que implican desafíos planteados por las condiciones del ambiente como son lluvia, nieve, niebla y arena. Ahora los sistemas presentan sensores autodiagnósticos, que han resultado impenetrables, en un rango máximo promedio de 1000 pies (333.33 m.), a animales pequeños, ramas agitadas por el viento, y otras fuentes de movimiento que anteriormente hubieran originado falsas alarmas. Puesta en acción en un formato modular para conformar un muro infrarrojo de múltiples rayos invisibles, la tecnología brinda una detección superior de penetraciones.

Mientras tanto, los adelantos con la fibra óptica han eliminado la necesidad de electrónica sobre el terreno aplicada a cercas, perímetros protegidos por muros, y sensores subterráneos. Con un alcance de más de 60 km., el procesamiento aplicado de algoritmos en un solo centro de control y las conexiones de fibra óptica con las cámaras permiten a los oficiales de seguridad evaluar a distancia las alarmas audibles, lo cual reduce la detección positiva falsa y posteriormente los despliegues innecesarios.

Pero probablemente los avances más útiles en la vigilancia se han dado en el campo de la detección de movimiento por video. Los programas informáticos pueden adaptar los sistemas según las condiciones ambientales existentes en el local bajo vigilancia al analizar las características de textura así como de movimiento. Y al incorporar una unidad de almacenamiento digital una compañía podrá grabar y repetir escenas antes, durante y después de una alarma, las cuales son vitales para la evaluación de amenazas y la debida diligencia probatoria.

Control.

Las barreras físicas y electrónicas que dirigen y limitan el acceso, las medidas de control pueden incluir elementos que se encuentran en el ambiente, como muros, arbustos, puertas, veredas, y otras técnicas paisajistas, así como medidas tecnológicas como las tarjetas-llave o dispositivos similares que restringen el acceso de personas, departamentos o grupos predeterminados. Otra herramienta para el control es colocar personal de seguridad u otros en ocasiones claves.

Los elementos de control deben estar unidos con artefactos de vigilancia adecuadamente ubicados de tal modo que para cualquier momento se pueda formular un reporte de la cadena de acceso, el cual luego podría usarse como una referencia casual o con relación a una investigación específica.

También se deben tener en cuenta los avances tecnológicos con respecto al control de acceso. Por ejemplo, los sistemas de reconocimiento facial representan un salto significativo en la efectividad de los controles de acceso de personas. Comparar las características faciales de una persona que desea ingresar, con una base de datos de perfiles de análisis de 128 puntos de información previamente barridos, ayuda a obtener en el punto de ingreso una identificación inequívoca.

Un asunto del que se deben cerciorar los profesionales de seguridad, es que cualquier mecanismo de control físico se debe desarrollar teniendo en mente la gente que lo usará. Esto es importante porque la seguridad perimétrica más fuerte puede ser vencida por un simple error humano. Por ejemplo, al conducir últimamente una evaluación para una organización noticiosa “punto com”, un equipo de Amsec encontró dispositivos de acceso a elevadores activados con llave, acceso restringido a los pisos del edificio, y puertas de vidrio de recepción con seguros electrónicos--todos ellos dispositivos superiores de control de acceso.

Desafortunadamente, debido a la ubicación mala del escritorio de recepción, el personal sentado allí no podía identificar visualmente a una persona que solicitase ingresar al complejo. Así que permitían el acceso a las personas sin saber quiénes eran. Desde una perspectiva de seguridad, esto violaba todos los protocolos esenciales de seguridad perimétrica y en última instancia frustraba la intención de los dispositivos desplegados. Y por añadidura, la estación de la recepción no tenía ni un botón de pánico ni CCTV para controlar y registrar el movimiento de acceso, lo que podía significar ningún contacto ni anotación en el caso de una situación grave.

Pero a veces el problema de seguridad no es originado por la organización misma. Al hacer un estudio de un depósito para una operación de transporte de dinero, un equipo de Amsec determinó que el control de acceso había sido comprometido inadvertidamente por una fuente externa. El negocio adyacente había colocado dos recipientes de basura, de siete pies (2.10 m.) de altura, contra la pared posterior del depósito. En menos de 90 segundos los consultores habían utilizado los recipientes para escalar la pared, atravesar el techo, e ingresar sin ser detectados visual o electrónicamente. La compañía atenuó la amenaza identificando claramente los límites de propiedad, colocando una cerca, y modificando las medidas de control del perímetro. Por ejemplo, se agregaron cámaras de CCTV y puntos de alarmas de acceso para hacer frente a la posibilidad de acceso por el techo.

Mantenimiento.

La atención apropiada a las medidas físicas y electrónicas de protección perimétrica y la revisión rutinaria y a largo plazo de esas medidas, son tan importantes para asegurar una protección efectiva como la instalación inicial de los elementos de acceso perimétrico. Por ejemplo, los arbustos muy crecidos obscurecen la visibilidad, y los cables de CCTV corroídos por la intemperie pueden causar problemas en la transmisión de imágenes.

Para asegurar que los gerentes y el personal tengan siempre en mente los asuntos de mantenimiento, debe programarse un régimen de revisión y reemplazo de los componentes de la seguridad perimétrica, y los oficiales de seguridad de cada turno deben completar una lista de verificación estándar mientras hacen su ronda y anotar cualquier problema de mantenimiento.

Además, se debe usar una inspección al paso para buscar los problemas causados por manipulación o desactivación natural, como los que podrían derivar del sobrecalentamiento, exposición a la intemperie, fallas de componentes o una onda eléctrica.

Un ejemplo de la importancia del mantenimiento y las verificaciones adecuadas se puede apreciar en un caso que involucra la construcción de un nuevo edificio. La compañía cliente había ocupado el medio del edificio mientras continuaba el trabajo en los pisos superiores e inferiores. Recientemente se había instalado un sistema perimétrico de alarma por contacto, pero durante una inspección el equipo consultor observó que habían sido retiradas las envolturas diseñadas para evitar los corto circuitos en las alarmas de ingreso de las puertas de acceso al nivel de estacionamiento vehicular. Las puertas habían sido ajustadas por el personal de mantenimiento, quienes no reinstalaron correctamente la alarma por contacto. Pegando un sujetapapeles entre los dos polos magnéticos, el equipo obtuvo acceso sin trabas después del horario normal de trabajo. Esta amenaza a las personas y a la propiedad fue encontrada en un sistema recién instalado: los riesgos aumentan cuando se descuidan los sistemas de acceso que son familiares al personal propio y al adversario.

Entrenamiento.

La evaluación, planeamiento e instalación del perímetro serán poco menos que inútiles a menos que vayan acompañados del entrenamiento en el uso, evaluación y cuidado de los elementos de seguridad del perímetro. Durante las sesiones de entrenamiento también se deberán cubrir los protocolos de reconocimiento, rastreos de seguridad, procedimientos de emergencia, encierres, estrategias para salidas primarias y secundarias, y preparación de informes.

Uno de los clientes de los autores descubrió que el entrenamiento apropiado del personal evitó una violación de seguridad que probablemente habría conducido al robo y otras pérdidas. En medio del trabajo de remodelación de un edificio, una compañía constructora había solicitado acceso al piso y al cielo raso de la instalación del cliente, para que pudiesen colocar los cables para las líneas de comunicación. Antes de otorgar el acceso, el gerente de seguridad se reunió con el personal de mantenimiento del edificio y los funcionarios del contratista para preparar los protocolos de acceso y las notificaciones diarias de asignación de trabajos.

Se estableció el sistema de modo tal que el personal de seguridad del cliente pudiese tener acceso a las notificaciones de asignación en cualquier momento.

Tal previsión resultó ser fundamental cuando un ladrón que se hacía pasar como obrero de construcción, aun provista de un camión con una plataforma vacía, intentó ingresar a la sección de equipo de computadoras de la compañía. Fue detectado cuando el oficial de seguridad de turno le preguntó el motivo de su visita y comparó la respuesta con las asignaciones de trabajo para ese día. Si no hubiese sido por su respuesta equivocada, el timador pudo haberse escapado con miles de dólares de equipo. En lugar de ello, fue arrestado y declarado culpable de intento de robo.

Para cerciorarse que el entrenamiento se aproveche al máximo dentro de una organización, muchas compañías progresistas usan el entrenamiento y los exámenes subsiguientes (de preferencia a cargo de un facilitador objetivo, ajeno a la compañía), como condiciones para el empleo continuado, criterios para las promociones y consideraciones para los niveles de méritos.

Compromiso de la administración.

Después de cerciorarse que se ha desarrollado un plan en el cual los esfuerzos de mitigación guardan proporción con los riesgos descubiertos en la evaluación, depende de la gerencia ponderar los costos y el rendimiento de la inversión, encargarse de las aplicaciones, y determinar un programa cronológico para la ejecución de las medidas adoptadas. Sea que se adopten las recomendaciones o no, se debe guardar la documentación del proceso y conclusiones de la planificación en caso que se necesite validar los resultados en algún momento.

Los autores han descubierto que los razonamientos que se basan en las causas y efectos de escenarios verosímiles, son las herramientas más poderosas para animar a la administración a que apruebe un proyecto.

En el caso de Amsec, el gerente de seguridad del cliente trabaja con el equipo de consultores para justificar los escenarios así como para proporcionar a la gerencia una estimación de los costos de las acciones de mejoramiento. Este arreglo presupuestado se compara luego con las pérdidas posibles, lo cual permite que el equipo administrativo desarrolle las prioridades así como el consenso.

Al desarrollarse una relación vigorosa entre el departamento de seguridad y la alta gerencia se ha preparado la escena para evitar mensajes confusos y retrasos burocráticos, para poner énfasis en el mensaje interno de cuidado y responsabilidad, y enviar un mensaje al exterior para no dejar dudas respecto a la seriedad con la que la compañía mira y ejecuta la seguridad.

Cultura institucional.

Finalmente, se necesita comunicar que todas las medidas de seguridad están diseñadas para evitar el crimen y promover la seguridad y la productividad y que todos dentro de la organización tienen un papel por cumplir.

Los profesionales de seguridad astutos utilizan estos ojos y oídos extras para aumentar sus propios conocimientos y vigilancia. Utilizando buzones de sugerencias, avisos electrónicos, encuestas formales o simplemente conversación alrededor del surtidor de agua, un profesional entrenado escuchará la retroinformación, la evaluará en relación con el tema de seguridad y aplicará las ideas si procede.

Hasta algo tan simple como el lenguaje corporal de un empleado puede ser un indicador crítico de que algo está mal. Un ejemplo es un guardia de seguridad que regularmente revisaba las insignias de identidad en la entrada principal de una compañía y que estaba familiarizado con los estados de ánimo y las actitudes del personal regular. Entonces, cuando una mujer joven que por lo general era muy conversadora y cortés, pasó lentamente el puesto de control con un comportamiento adusto, el guardia evaluó la situación y observó a dos individuos en la vereda parados con otro empleado visiblemente incómodo. El guardia activó una alarma silenciosa y personal encubierto rápidamente dominó a los dos individuos. Los instintos del oficial probablemente evitaron una tragedia: Resultó ser una situación de rehenes en desarrollo, con el propósito de robar información, en la que la joven mujer había logrado escaparse de sus secuestradores. Los dos hombres fueron arrestados y cada uno acusado de un cargo de rapto, uso de un arma de fuego para cometer un crimen e intento de robo.

Como lo ilustran estos casos, la seguridad perimétrica es más que cercas, iluminación y personal. Una compañía puede alcanzar su objetivo de brindar un ambiente seguro de trabajo, sólo al desarrollar una estrategia general de seguridad cuidadosamente trabajada.

Mark Lowers es presidente y jefe ejecutivo de Amsec Internacional. Es miembro de ASIS. Tony Raker es vicepresidente de comunicaciones/relaciones corporativas. Jim Rodgers es director de desarrollo y miembro de ASIS.

Perspectivas en el estacionamiento de vehículos
Sean pequeñas o grandes, todas las entidades tienen instalaciones de estacionamiento vehicular que pueden estar vacías la mayor parte del tiempo. Virtualmente abandonadas, estas áreas se vuelven puntos principales de delitos en los perímetros. Agréguese a esto el posible aislamiento de un negocio que incorpora plataformas de carga, entradas de servicio, callejones sin salida y contenedores de basura: es un ambiente potencialmente inseguro en extremo.

En una zona de estacionamiento el delito contra la propiedad más común es el robo, seguido por lesiones físicas. En consecuencia, es vital revisar la documentación histórica referida a delitos contra las personas y la propiedad, como parte del proceso de auditoría de riesgos en el área de estacionamiento, además de considerar el índice histórico de crímenes en el área inmediata. Por añadidura, el informe debe incluir la situación actual de la instalación con relación al cumplimiento pertinente de la Administración de Seguridad y Salud Ocupacional y del Acta de Americanos Incapacitados, considerando temas tales como rampas de acceso adecuadas para personas incapacitadas, comunicaciones de emergencia, seguridad física en una crisis y áreas de salida de emergencia.

Si esta información no está facilmente disponible, la primera recomendación del departamento de seguridad debe tratar la documentación de incidentes y la revisión del cumplimiento del reglamento.

Entre los elementos de seguridad física que se deben tomar en consideración:
· Iluminación de emergencia
· Barreras para las entradas
· Lugares de estacionamiento designados
· Acceso de peatones
· Puntos de entrega
· Flujo y control del tráfico
· Visibilidad entre los vehículos
· Escaleras y ascensores

Puede que otros problemas no se traten necesariamente mediante el uso del fortalecimiento del blanco y de las medidas físicas de seguridad. Por ejemplo, las investigaciones de los autores sobre las instalaciones para estacionamiento han descubierto un significativo fraude interno, que va desde faltas de dinero en efectivo hasta robos de propiedad en áreas protegidas.

Un factor importante en estos casos fue la falta de verificación de antecedentes antes del empleo de aquellos contratados como ayudantes o como personal de seguridad. Esta falta de investigación de antecedentes se vuelve especialmente grave en los casos que involucran daños corporales, en los que las cortes critican la falta de verificación a fondo de empleados y con frecuencia encuentran responsable a la compañía.

Finalmente, no se puede exagerar el asunto de respuestas a los incidentes. El entrenamiento adecuado--en el aula y en el campo--para el personal encargado de la seguridad perimétrica y de las instalaciones de estacionamiento, debe incluir cómo responder ante un intento de atraco, pedir ayuda policial o médica, manejar los reclamos de los clientes y utilizar el equipo de emergencia. El personal también debe ser entrenado en primeros auxilios, incluyendo RCP, y el continuo del uso de fuerza. Deben comprender los límites de su autoridad para detener o arrestar a las personas; los procedimientos de manejo de dinero en efectivo, referidos tanto a la protección como a la responsabilidad; los estándares y protocolos de identificación; y el sistema interno de reporte, como los registros de ocurrencias y informes de incidentes.

Lo que es más importante, deben entender que las zonas de estacionamiento vehicular son la primera línea de la defensa perimétrica.


 
 Respond to this message   


Forum Owner
PLANIFICACION PARA SITUACIONES IMPREVISTASApril 27 2004, 3:07 PM 

PLANIFICACION PARA SITUACIONES IMPREVISTAS

Por Roger E. Nicklin

Los alimentos genéticamente modificados, la encefalopatía espongiforme bovina (BSE también llamada la enfermedad de la vaca loca), y la Escheria coli se encuentran entre los numerosos asuntos que han creado controversias públicas en los últimos años.

Como resultado de la atención dada por los medios de información a estos problemas, los consumidores se han hecho muy conscientes de los peligros percibidos y potenciales que provienen de las violaciones a la seguridad y protección de los alimentos. Los mismos consumidores dudan mucho de los fabricantes y los comerciantes minoristas cuando afirman que todo está bien y que se han tomado las medidas de seguridad apropiadas.

En una situación como ésta, cualquier asunto que lleva a los consumidores a dudar la confiabilidad de un producto podría infligir grandes perdidas financieras a los fabricantes y a los minoristas. La planificación para situaciones imprevistas y la gestión de crisis se ha convertido por lo tanto, en un aspecto de seguridad cada vez más importante para estas compañías.

Este artículo trata sobre cuatro aspectos específicos de los planes para situaciones imprevistas: gestión de problemas, aprendizaje isomórfico, rol de los departamentos de servicio al cliente, y selección y entrenamiento de un equipo de gestión de crisis.

Gestión de problemas.

Es frecuente que las compañías enfoquen la planificación para situaciones imprevistas como si las crisis fueran inevitables. Ese no es el caso. Si bien algunos incidentes ocurrirán – y aunque toda compañía debería planear y practicar para enfrentar tales incidentes – es igualmente importante que la gerencia desarrolle un proceso para prever los aspectos que podrían convertirse en crisis, de tal forma que la compañía pueda tomar acciones para solucionar esos aspectos antes de que se produzca el daño. A este proceso se le llama gestión de los problemas. Esta intervención anticipada produce grandes beneficios.

Dentro de la industria de alimentos, la mayoría de las crisis caen dentro de dos categorías generales. Primero están las crisis repentinas relacionadas a incidentes (o basadas en eventos) consecuencia de situaciones tales como fallas en las plantas, incendios y la contaminación accidental o deliberada del producto. Segundo están las crisis relacionadas con problemas, también denominadas crisis de lento inicio o de baja intensidad. Estas son las que han provocado muchos de los problemas de la industria alimenticia en los años recientes, incluyendo las controversias alrededor de la BSE y de los alimentos modificados genéticamente. Las crisis relacionadas con problemas pueden ser más difíciles de solucionar, en parte porque generalmente no hay un evento identificable que lo inicia. Ellas se van formando poco a poco debido a una serie de ocurrencias.

Con la gestión de problemas, la compañía está en constante exploración de un mundo cambiante para identificar lo más anteladamente posible todos los problemas que probablemente afecten las actividades de las compañías. Algunas serán oportunidades, pero otras representarán amenazas. Una herramienta útil para identificar los problemas que pueden surgir es el análisis PEST (político, económico, social y técnico), en el cual la compañía considera los eventos en términos de lo que implican en cada uno de los cuatro campos.

Un ejemplo de la gestión de problemas dentro de la industria alimenticia se puede encontrar en los alimentos modificados genéticamente, en donde los científicos introducen o retiran artificialmente material genético para, por ejemplo, incrementar el rendimiento de los cultivos, mejorar el sabor y la apariencia, o fortalecer la resistencia contra las pestes. Esto ha resultado ser un tema polémico debido a las preocupaciones de los consumidores y de grupos ambientalistas. A continuación, damos una ojeada a los problemas que un análisis PEST podría haber originado en los inicios del debate.

Político.

En el lado positivo, la ingeniería genética podría haber aparecido como una opción atractiva si mejorase la calidad y la cantidad de los alimentos y si mantuviera sus precios a un costo bajo. En algunos casos hubiera sido beneficioso para los países del Tercer Mundo. En el lado negativo, un análisis podría haber revelado el potencial para una fuerte resistencia proveniente de grupos ambientalistas y un resultante impacto financiero sobre la compañía.

Económico.

La compañía podría haber descubierto que los productores se beneficiaban por los bajos costos de producción y los mayores rendimientos de los cultivos y los consumidores por los bajos precios. También podría haber determinado que estos productos ayudarían a garantizar suficiente provisión de alimentos. En el lado negativo se escondía la posibilidad de que los consumidores pudieran resistir estos productos, o incluso organizar un boicot, y que las tiendas minoristas ubicadas en áreas con fuerte oposición de los consumidores, pudieran no almacenarlos.

Social.

En el lado positivo, los productores de alimentos podrían haber considerado a la ingeniería genética como una fuente de alimentos atractivos y económicos, con el potencial de proporcionar alimentos de la estación durante todo el año. Sin embargo, podría haberse originado temores de una “intromisión no natural contra la naturaleza” y de problemas de seguridad, porque la duda sobre la seguridad de los alimentos genéticamente modificados no fue resuelta completamente para satisfacción del público. Podrían haber surgido otras posibles preocupaciones, como limitar las selecciones para los consumidores de los alimentos naturales y los efectos adversos sobre la vida animal y vegetal

Técnico.

Las investigaciones de la compañía podrían haber indicado que estas avanzadas técnicas científicas aumentaban la producción de los cultivos y mejoraban la apariencia y el sabor de los alimentos. También podrían haber ampliado las áreas geográficas en las que pudiera crecer un tipo particular de cultivo. Por el lado negativo, los métodos usados para limitar el daño de las pestes a los cultivos podrían haber tenido finalmente un efecto inverso, llevando a una existencia incontrolable de plantas e insectos, lo cual podría poner en peligro los abastecimientos de alimentos y a los humanos.

Después que se identifica un problema, debe ser analizado, ordenado por prioridad y asignado a un ejecutivo de alto nivel para su posterior estudio y manejo. El análisis PEST debe presentar claramente las ventajas y desventajas del problema, ya que estas últimas inevitablemente tendrán consecuencias para las finanzas de la empresa. Esta “búsqueda anticipada” debe descubrir los riesgos potenciales contra las actividades actuales e identificar las acciones que podrían minimizar cualquier efecto adverso. En algunos casos, el potencial impacto podría ser tan serio que todo el proyecto será cancelado.

En el ejemplo de los alimentos modificados genéticamente, la alta gerencia debió haber balanceado las oportunidades de negocio derivadas de estos cultivos y los peligros y efectos conocidos al interferir con la naturaleza. En vez de ello, los encargados de tomar las decisiones se concentraron en los beneficios financieros de estos productos y subestimaron las preocupaciones y la resistencia de los consumidores, mientras que los grupos ambientales y de consumidores parecen haber identificado y manejado los temas en debate para su beneficio. El resultado fue una situación que, junto a otras preocupaciones sobre la seguridad de los alimentos, fomentó un ambiente de sospecha y preocupación. Si se hubiera iniciado desde el comienzo un dialogo creíble con los consumidores y otras partes interesadas, algunos de los problemas posteriores, incluyendo las protestas y los boicots, podrían haber sido evitados.

Para cambiar el enfoque respecto la gestión de problemas, una empresa debe tener el apoyo de sus lideres, desde el jefe ejecutivo hacia abajo. El éxito depende de que la empresa sea lo suficientemente flexible para ajustarse a los cambios en el ambiente de los negocios y en las necesidades de los consumidores. Por ejemplo en el caso de la BSE, la industria de producción de carne de res en el Reino Unido y otros países europeos ha sufrido enormemente. Las compañías que se dedican solamente a la producción de carne de res podrían no sobrevivir, mientras que aquellas con la habilidad y flexibilidad para diversificarse tienen una mejor oportunidad de sobrevivir.

No es costoso aplicar un enfoque de gestión de problemas. Por ejemplo, la Internet brinda un procedimiento de bajo costo para reunir información, lo cual hace posible establecer un sistema interno de supervisión a un costo mínimo. A los gerentes se les puede encargar que controlen la información pertinente a sus propias áreas de responsabilidad. Si bien el costo es bajo, las potenciales recompensas son considerables, porque la gestión de los problemas de una compañía puede ayudarla a evitar totalmente una crisis o por lo menos a mitigar los efectos.

Aprendizaje Isomórfico.

Se define como aprendizaje isomórfico a la facilidad de aprender de las experiencias similares de otros. Ello puede ser particularmente importante en el contexto de gestión de crisis y desastres, en lo cual las compañías pueden beneficiarse de las experiencias de cada una de ellas frente a diversos incidentes. Por ejemplo, a nivel de gerente individual puede ser raro un problema particular, como la contaminación de los alimentos en una línea de producción o un incendio en una fábrica, pero en la industria en conjunto puede que no sea tan inusual. Si se comparte la información entre los departamentos de una empresa y entre profesionales de la industria en diferentes organizaciones, la base colectiva de conocimientos que se desarrolla ayudará a todos a enfrentar un evento inusual con pericia.

Brian Toft sugirió en 1992, en un artículo en el diario Prevención y Gestión de Desastres (Disaster Prevention and Management), que hay por lo menos cuatro formas separadas a través de las cuales las organizaciones pueden aprender a emplear el estudio isomórfico: incidentes basados en eventos, incidentes cruzados entre organizaciones, incidentes con una modalidad común y sucesos internos.

Incidentes basados en eventos. Diferentes incidentes ocurren, sea en la misma compañía o en diferentes firmas, pero producen consecuencias similares. Un ejemplo serían las circunstancias que rodean, y los efectos de, la introducción accidental versus la deliberada de algunas substancias dañinas al proceso de preparación de los alimentos. Aunque las circunstancias y las implicaciones son muy diferentes, las consecuencias para los consumidores serían esencialmente las mismas, y una compañía podría aprender al saber que hizo otra empresa frente al problema.

Incidentes cruzados entre organizaciones. En este caso, los hechos ocurren en diferentes compañías que emplean el mismo proceso para fabricar básicamente los mismos productos. Un ejemplo sería dos fábricas envasadoras de alimentos, de propiedad de diferentes compañías y ubicadas en diferentes ciudades, pero que usan esencialmente el mismo equipo para las mismas tareas.

Incidentes con un medio común. Estos incidentes involucran a diferentes industrias que comparten los mismos o similares componentes, herramientas, técnicas o procesos en sus operaciones. Un ejemplo en la industria alimenticia sería la molienda de harina y arroz.

Eventos internos. Estos son eventos que se dan en grandes compañías que poseen varios locales, con varias unidades operacionales que producen o proporcionan los mismos o similares productos. Un ejemplo sería una cadena de pastelerías de producción masiva.

Además, un evento podría cruzar más de una categoría. Por ejemplo podría ser un evento interno y un incidente basado en un evento.

Las medidas que se requieren para aprovechar el aprendizaje isomórfico son relativamente simples. El primer paso es básicamente una inteligencia corporativa, similar a la involucrada en la gestión de problemas. Ello supone reunir sistemáticamente información respecto a accidentes, incidentes y sucesos provenientes del mundo entero, una tarea que ha sido simplificada por la Internet. En efecto, existen numerosos sitios Web sobre la gestión de crisis y continuidad de negocios que proporcionan dicha información en forma diaria.

Enlazarse a través de la red informática es otro importante método de recolectar información. Puede ser de valor incalculable inscribirse en organizaciones comerciales, las que brindan un foro altamente confidencial y especializado para intercambiar información vital al mismo tiempo que protegen los intereses comerciales. (No obstante, algunos asuntos son tan delicados en sentido comercial que se quedan inevitablemente dentro de la organización.)

Las agencias del gobierno también pueden ser una fuente de información. Sin embargo, la compañía tendrá que hacer un seguimiento de varias agencias diferentes para tener el cuadro completo. El tipo de problema (enfermedades transmitidas por alimentos, contaminación deliberada), el tipo de producto alimenticio, el lugar de compra (una tienda de comestibles para consumo en casa o un restaurante), y otros factores establecen específicamente que agencia del gobierno es la que recibe un reporte de incidente o un reclamo.

Deben considerarse cuidadosamente todos los hechos que se relacionen, aun si a primera vista no parecen ser pertinentes. Por ejemplo, hace poco tiempo, en el Reino Unido, las entidades profesionales responsables de la conducta de los practicantes de medicina han estado estudiando los sistemas que emplean las tripulaciones de las líneas aéreas para comunicar sus preocupaciones sobre la competencia profesional de sus supervisores, para determinar si cualquiera de los procedimientos básicos son aplicables a su campo.

Los incidentes en las plantas de elaboración de alimentos - y, por cierto, en casi cualquier otro tipo de planta de fabricación - pueden ser de interés para otros, aparentemente no relacionados, sectores de la industria alimenticia. Un ejemplo es la explosión e incendio producidos en 1988 en la plataforma petrolera Piper Alpha frente a la costa de Escocia, que provocó 167 muertes. La causa del desastre fue una falla en el sistema de “permiso-para-trabajar” -por el cual un gerente autorizado da permiso escrito para que se ejecute cierto trabajo de mantenimiento.

El incidente implicaba el retiro de una válvula vital. La válvula fue retirada por uno de los turnos de trabajo, el cual no informó a los ingenieros de mantenimiento del siguiente turno ni registró el retiro en el sistema de permiso-para-trabajar. La operación de la planta se reinició sin la válvula, ocasionándose la explosión y el incendio.

Los problemas observados en este incidente son aplicables a las grandes fábricas procesadoras de alimentos, que trabajan sobre la base de turnos rotatorios continuos, con ingenieros y personal de mantenimiento trabajando en todos los turnos. Si los gerentes pueden comprender donde y cómo falló el sistema de informes en la plataforma petrolera y cómo prevenir una falla similar en el futuro, pueden adaptar esa solución a sus propias circunstancias.

Como lo ilustran estos ejemplos, toda la información reunida debe ser analizada para determinar si se puede aplicarla a las actividades de la compañía, luego de lo cual se pueden identificar las lecciones y se puede efectuar cualquier corrección a los procedimientos de la compañía. Idealmente, el equipo de gestión de crisis (u otro departamento que reúna y analice la información) revisaría sistemáticamente toda la información para difundir el material importante a los gerentes apropiados.

Servicio al cliente.

Una fuente de información infrecuentemente usada que podría proporcionar una advertencia anticipada sobre una crisis en desarrollo, es el departamento de servicio al cliente de una compañía. Las grandes empresas pueden recibir varios miles de quejas por año, cada una de las cuales tiene el potencial para provocar una demanda legal contra la compañía. Pero posiblemente no es obvio para la persona inexperta si un reclamo es un simple incidente aislado o la primera señal de un problema substancial.

Para aprovechar este recurso al máximo, el personal del departamento debe ser adecuadamente entrenado para poder analizar cantidades considerables de información en forma precisa y rápida. Deben saber distinguir, entre la cacofonía de quejas, las pistas indispensables que revelan cuál de las llamadas merece una atención especial. Por ejemplo, el personal debe ser capaz de identificar rápidamente la planta de fabricación específica o la línea particular dentro de una planta en donde se elaboró un producto, la procedencia de los ingredientes y el marco de tiempo dentro del que fue fabricado, incluyendo el turno en que fue producido. Esta información revelará patrones, como puede ser una serie de llamadas que reflejen problemas con el producto de una planta.

Además, los sistemas de reporte deben ser capaces de identificar contaminantes particulares (por ejemplo, alfileres, agujas y vidrio) para poder dar una advertencia rápida a los gerentes de operaciones. Esta información detallada es particularmente esencial para los gerentes responsables de tomar decisiones respecto a retirar algún producto. Ellos deben tener toda la información disponible para decidir si es necesario retirar el producto y si fuese así, la magnitud de lo que hay que retirar.

Las compañías deben, por consiguiente, establecer procedimientos definitivos para reportar los incidentes a la alta gerencia. Los nuevos empleados deben pasar por un programa inicial de educación, debiéndose dar una sesión anual de repaso del entrenamiento. Gran parte del entrenamiento puede basarse en el estudio de casos que resalten tendencias previas y ejemplos de reclamos, así como tácticas exitosas e infructuosas empleadas para atenderlos.

La tecnología puede también tener un papel en el análisis de información. Por ejemplo, un fabricante de alimentos ha identificado varios factores relacionados con quejas de clientes que podrían indicar un problema importante. Estos factores incluyen cualquier reclamo de vidrio dentro del producto así como reclamos repetidos contra un local industrial o a un producto en particular. Cuando se presentan estos factores, la base de datos computarizada automáticamente genera una alarma que se traslada inmediatamente al gerente correspondiente. En un caso, el sistema identificó un número creciente de quejas por la presencia de vidrio en un producto. Se tomaron las acciones necesarias durante el proceso de fabricación y se evitó una crisis.

Personal para la gestión de crisis.

Tan importante como es reunir y analizar la información, el éxito con que una compañía maneje los hechos dependerá en última instancia de la calidad de su equipo de gestión de crisis. Algunas organizaciones, como el ejército, reclutan activamente a personal que demuestra sólidas habilidades para el liderazgo y la capacidad para manejar una crisis.

Estas cualidades no son necesariamente requisitos para ingresar a la industria privada en general o a la industria alimenticia en particular. En el mundo de los negocios en general, el personal para la gestión de crisis es seleccionado comúnmente para sus habilidades funcionales y por el conocimiento de las materias y no por sus cualidades o destrezas personales, lo que no permite conocer su habilidad para reaccionar ante una situación de crisis.
¿Que habilidades son críticas para la gestión de crisis? Según una investigación realizada por Rhona Flin, una profesora de sicología en la Universidad de Aberdeen en Escocia, para manejar una crisis se necesitan habilidades de liderazgo, una personalidad estable y el poder para tomar decisiones. El primero requiere que un gerente de gestión de crisis inspire confianza, consiga respeto, actúe con autoridad e imparcialidad, que se comunique bien y sea capaz de minimizar un potencial conflicto a través de un equipo multidisciplinario. Las características distintivas de una personalidad estable incluyen confiabilidad, buen sentido y la habilidad de permanecer tranquilo bajo presión. El poder para tomar decisiones es el resultado de las otras dos y exige que los gerentes estén preparados para formular y poner en práctica las decisiones cuando están bajo presión, que empleen un juicio equilibrado, analítico y sólido, y sepan si usar un estilo autoritario o consultivo para la toma de decisiones.

Las herramientas usadas para seleccionar individuos para un equipo de gestión de crisis incluyen los informes de evaluación y desempeño, entrevistas, referencias profesionales, exámenes psicométricos y ejercicios de simulación. Idealmente, todos los miembros potenciales del equipo deben ser probados y examinados en una situación ficticia de crisis para medir cómo reaccionarían ante una emergencia.

Pero escoger a personas con grandes cualidades para la gestión de crisis no es suficiente para garantizar el éxito. La capacitación es esencial. En la mayoría de los casos, la preparación debe ser efectuada a base de equipos porque la interacción entre los miembros del equipo es un componente vital para la gestión de crisis. El contenido del entrenamiento también debe incluir algún trabajo teórico, por ejemplo sobre tipos de crisis y estructuras para la gestión, el análisis de información y los estudios de casos, particularmente ejemplos de buenas prácticas.

Cambiar la forma cómo una compañía enfoca la gestión de crisis requiere un compromiso continuo de la gerencia. Pero la alternativa es aceptar un nivel desconocido de exposición a riesgos. Y esa es una alternativa que ninguna compañía puede aceptar.


Roger E. Nicklin es Jefe de Seguridad de Associated British Foods en Londres. Es miembro de ASIS


 
 Respond to this message   


Forum Owner
SEGURIDAD EN LOS VIAJESApril 27 2004, 3:08 PM 

SEGURIDAD EN LOS VIAJES

Por Charles S. Chamberlin

Las grandes corporaciones como Motorola Asia-Pacífico (de la que soy el director de seguridad), tienen el beneficio característico de contar con departamentos de seguridad propios o con consultores, quienes pueden asesorarlas sobre el rango de los riesgos de seguridad que enfrentan. Aunque las empresas de menor tamaño pueden carecer de estos recursos, sus empleados no necesitan estar menos seguros cuando van por negocios a lugares desconocidos. Esto es así porque cuando se trata de viajar, la seguridad es más una cuestión de sentido común que de dinero.

Consideremos, por ejemplo, el caso de un profesional de seguridad de otra compañía multinacional, que tenía la autoridad para impedir los viajes de empleados a áreas inseguras. El recibió la llamada de una agencia de viajes que la empresa empleaba regularmente. La agencia le pidió que autorizase un viaje a Jakarta, Indonesia. Este había sido solicitado por un empleado que quería visitar unos sitios de perforación de petróleo en zonas alejadas y reunirse con funcionarios del gobierno.

Pero el año era 1998 y Jakarta estaba en medio de desórdenes. La realidad en el terreno era que el gobierno no realizaba reuniones, no había viajes al interior del país y los norteamericanos y personal de otras nacionalidades estaban siendo evacuados del área a donde el empleado planeaba viajar. Naturalmente, el viaje no se aprobó. La historia es casi divertida, excepto que pudo haber concluído trágicamente.

Al empleado no le hubiese costado nada verificar simplemente el sitio Web del Departamento de Estado de los EEUU o verificar las últimas noticias sobre el país de destino. Si hubiera hecho esto, no habría estado tan ansioso de hacer el viaje. Felizmente un agente de viajes estaba suficientemente alerto para hacer una llamada telefónica. Pero la suerte no es un compañero de viaje con quien siempre se puede contar.

Existen varios pasos económicos que pueden dar las compañías para proteger su seguridad. Aquí están algunos métodos que puede emplear cualquier empresa.

Viajar por la Web

Numeroso sitios en la Web ofrecen información de seguridad para los viajeros locales e internacionales. Algunos cobran por ello, como lo hacen Kroll Travel Watch, City Briefs de Control Risks Group y las encuestas de Air Security International. Sin embargo, algunos consultores sí ofrecen información gratis en sus sitios, incluyendo a Pinkerton Global Intelligence Services y Air Security International.

También existen numerosos sitios que mantienen los gobiernos. El mejor para viajes al extranjero es la página de la Oficina de Asuntos Consulares del Departamento de Estado de EEUU (Bureau of Consular Affairs of the Department of State). No obstante, diversos gobiernos ofrecen diferentes evaluaciones de la situación internacional. Así es una buena idea revisar los sitios de consejo para viajeros preparados por diversas naciones. El Ministerio de Relaciones Exteriores (Foreign Office) del Reino Unido es una excelente fuente, mientras que el Canadá, Nueva Zelandia y Australia también poseen sitios dedicados a la seguridad para viajes que actualizan frecuentemente.

Los gobiernos también ofrecen en la Web información sanitaria que puede ayudar a los viajeros a adoptar medidas para evitar enfermedades. El Centro de Control y Prevención de Enfermedades (CDC) de los EEUU posee información sobre las enfermedades que suelen presentarse durante los viajes, así como alertas sobre brotes de enfermedades peligrosas en todo el mundo.Lo que quizás sea más importante aún, el sitio Web del CDC brinda consejos para evitar esos contagios.

Los sitios Web de noticias son otra manera rápida y económica de mantenerse al tanto de los lugares con dificultades. Los medios conocidos, como CNN y MSNBC, ofrecen cobertura virtualmente en tiempo real. Luego existen pequeños sitios, como Kevin Coffey´s Corporate Travel Safety, que presentan consejos para los viajeros, y AirSafe.com, que da una historia general de la seguridad de las aerolíneas internacionales y consejos para evitar las trampas, incomodidades y peligros de los viajes aéreos.

Crear una página de viajes

Las compañías que tienen una red y el software necesario para instalar un sitio Web, pueden fácilmente crear una página de seguridad para viajes que sus empleados puedan usar para conseguir información. En Motorola hemos creado un sitio interno que es administrado por la función de control de riesgos y evaluación de amenazas mundiales, que pertenece a Motorola Global Security (Seguridad Mundial de Motorola). La página presenta varios recursos de los sectores gubernamental y privado.

Estos incluyen los avisos de Motorola Global Security, los que normalmente reunen datos respecto a los viajes a ciertos países o regiones, recibidos de nuestras diversas oficinas y del Departamento de Estado de los EEUU.

La página también incluye resúmenes sobre las ciudades más importantes del mundo. Estos proporcionan a los empleados una manera conveniente de familiarizarse con sus lugares de destino antes de llegar; de ese modo, no vagan por las calles mirando el mapa que tienen en las manos (lo que equivale a pintarse el centro de un blanco en la espalda). También existen enlaces con varios sitios de información, como el Departamento de Estado de EEUU, oficinas de relaciones exteriores de la Comunidad Británica, y varios sitios de viajes comerciales.

Adicionalmente, los empleados pueden navegar por una variedad de materiales diseñados para brindar advertencias de seguridad producto del sentido común. Hay una relación de los miembros del cuerpo directivo mundial de Motorola Global Security, así como sus números de teléfono, fax y buscapersonas y sus direcciones e-mail. No pedimos que todos lo viajeros se pongan en contacto con seguridad antes de salir, pero sugerimos que estudien el material de la página Web y se comuniquen con nosotros si se dirigen a zonas conflictivas.

Unirse a un grupo de seguridad

La seguridad en Motorola se ha beneficiado enormemente de nuestra relación con el Overseas Security Advisory Council (OSAC, Consejo Asesor sobre Seguridad en el Extranjero) del Departamento de Estado de EEUU. El OSAC nos proporciona información actualizada sobre tendencias en la seguridad, condiciones en varios países y contactos de emergencia en las embajadas de EEUU en todo el mundo. Sus representaciones están ubicadas en distintos países, de forma que la información que ofrecen se basa en un sólido conocimiento de lo que sucede en el lugar.

Además de información útil, OSAC también brinda un foro en donde las empresas pueden intercambiar información respecto a la seguridad y el delito.

Algunas historias resultan ser rumores, pero otras se vuelven legítimas preocupaciones. El personal diplomático americano local suele participar activamente en los capítulos de OSAC, lo que ayuda a que todos comprendan lo que el Departamento de Estado puede o no puede hacer por ellos. Por otro lado, sus miembros comparten informes sobre vendedores y proveedores de servicios, lo que les ayuda a escoger a los mejores proveedores de seguridad.

Pueden ser miembros de los OSAC todas las compañías americanas en cualquier lugar del mundo o empresarios americanos que trabajan en compañías multinacionales en otros países. Mayor información sobre ellos puede obtenerse en su sitio Web (accesible vía www.securitymanagement.com).

Planear para las emergencias

Las compañías que tienen empleados que viajen deben también desarrollar un planes de crisis y estar preparadas para reaccionar con rapidez ante los eventos. Cuando las condiciones en un país justifican una atención especial, Motorola usa equipos de crisis que incluyen a gerentes de negocios, personal de seguridad, representantes de recursos humanos y otros especialistas. Estos equipos, que trabajan a nivel corporativo o regional, preparan planes específicos para lugares de los países considerados en las alertas del Departamento de Estado, con información actual sobre la situación política y el delito dada por los empleados de la representación local de Motorola.

También tienen en cuenta el potencial para desastres naturales, como terremotos e inundaciones.

Los equipos se reunen trimestralmente para desarrollar soluciones antes de que los problemas se conviertan realmente en desastres. Entre las contingencias contempladas está la evacuación parcial o total empleando transportadoras comerciales, vuelos contratados y en ciertas circunstancias, transporte proporcionado por el gobierno. Además, analizamos las estrategias para las reacciones que se den en el país, de forma tal de asegurar la mayor protección para los empleados de Motorola.

Desarrollar seminarios de seguridad

Nuestro departamento de seguridad efectúa en forma rutinaria lo que la compañía llama sus "Seminarios para viajes seguros" para grupos de empleados. Estas sesiones dan una oportunidad para que los empleados compartan historias de sus viajes, así como para intercambiar ideas sobre la seguridad personal.

Algunas historias pueden ser divertidas, alguna serias, pero este intercambio ayuda a que todos se den cuenta de que los peligros en un viaje son reales y no solamente leyendas urbanas. Cuando alguien explica que le costó una semana conseguir un pasaporte de reemplazo porque no llevó una copia del original y que su esposa estaba fuera de la ciudad y que su secretaria estaba de vacaciones cuando lo perdió, eso hace que el grupo aprecie verdaderamente nuestro consejo de "lleve consigo copias de todos sus documentos ".

Entre los consejos que se deben ser enseñar en los seminarios figuran los siguientes:

Conservar los documentos.

A los empleados que viajan se les debe enseñar a conservar copias de los documentos importantes, así como listas de números telefónicos claves. Motorola recomienda a sus empleados que incluyan en sus listas el número de la embajada de los EEUU en su lugar de destino, así como contactos locales de negocios y los números del personal de seguridad regional.

Adicionalmente, el viajero debe llevar varias copias de su pasaporte en caso de que el original se rompa o se pierda.

Tener en cuenta la apariencia.

Un empleado de una empresa multinacional caminaba por las calles de Manila recientemente cuando otro extranjero le hizo notar que estaba usando el logotipo de su compañía en la parte delantera de su camisa. Este tipo de vestimenta es una invitación a los potenciales secuestradores.

Es mejor si el personal que viaje viste en forma casual y evita el uso de joyas finas. Los criminales frecuentemente escogen a sus víctimas debido a su apariencia personal y riqueza aparente. Por eso, al personal se le debe entrenar, por ejemplo, en no llamar la atención usando un Rolex. Y a los viajeros se les debe recordar que también es peligroso usar joyas de fantasía. Aun si son falsas, el ladrón no lo sabrá hasta después de cometer el delito.

No ser vulnerable.

Es frecuente que los delincuentes elijan como víctimas a los viajeros que muestran una obvia incapacidad de resistir a un asalto físico, como los incapacitados o los ancianos o aquellos con los brazos llenos de equipaje. Para su protección, los vulnerables deben viajar en grupo.

Darse tiempo.

Siempre haga temprano su control en el aeropuerto y cuide su equipaje. Marque bien sus maletas pero sin usar identificación de la empresa.

Coordinar el transporte.

Los viajeros de negocios siempre deben usar vehículos previamente coordinados para viajar del aeropuerto al hotel. Los empleados nunca deben tomar taxis "gitanos" porque podrían estar aliados con ladrones (por lo menos tres extranjeros han sido asesinados en Jakarta con esta estratagema). También es prudente negociar la tarifa antes de subir al carro o taxi. Me gusta referir la historia de un amigo mío que estaba en un lugar turístico cuando un empresario local le pidió que subiese a un camello para tomarle una fotografía. Le aseguraron que no debía pagar por subirse al animal o por tomarse la foto. Después de que se la tomaron y quería desmontar, le dijeron que costaba cien dólares bajarse del camello.

Registrarse con el servicio.

Los viajeros deben siempre emplear el servicio de botones para llevar el equipaje a la habitación, luego de registrarse en el hotel. Esto lo protegerá contra una emboscada de ladrones esperando en una habitación vacía. También deben siempre reservar una habitación que esté entre el tercer y el séptimo piso del hotel, para que los ladrones escaladores de paredes no puedan alcanzar la habitación, pero sí las escaleras de los bomberos. Otro consejo para los viajeros es hacer que sus habitaciones parezcan ocupadas, colgando los letreros de “No molestar” (“Do not disturb”) en las puertas, cuando salen y dejando la TV y luces encendidas. También es mejor no dejar la llave en el mostrador de recepción cuando salen.

Tomar preocupaciones para la salud.

A los empleados se les debe aconsejar que antes de viajar tengan todas las vacunas sugeridas. Se debe recordar que más viajeros sufren daño por los mosquitos que por los estragos combinados de todos los otros animales. Estadísticamente son más peligrosos que los leones, tigres, osos y cocodrilos juntos. Los viajeros también pueden usar repelentes de insectos cuando están afuera, para evitar los peligros de las enfermedades transmitidas a través de insectos.

También deben saber evitar los alimentos no cocidos y las verduras sin pelar. También se debe evitar el agua corriente a menos que haya sido purificada. Los viajeros deben asegurarse que las tapas selladas de las botellas de agua estén intactas. Uno de mis colegas de seguridad refería como las botellas de agua mineral en su habitación del hotel de Moscú tenían sus tapas enroscadas en vez de estar selladas. Bien se podría sospechar que el agua no provenía de la “fuente artesiana” como lo decía la etiqueta.

En una época de globalización, las empresas enfrentan muchas incertidumbres. Pero una cosa cierta es que algunos empleados tendrán que viajar. Las empresas precavidas los prepararán para lo que les aguarde en adelante. Ese es un trabajo para el que los profesionales de seguridad están capacitados y que pueden proveer de una manera beneficiosa. Como lo ilustran estos consejos, proteger el cuerpo y el alma no tiene que costar un brazo y una pierna.

Charles Chamberlin, M.A., es director de seguridad para la Región Asia Pacífico de Motorola, con base en Hong Kong. Chamberlin tiene casi treinta años de experiencia en organizaciones policiales y de seguridad privada. Actualmente brinda sus servicios en el Comité Permanente de Seguridad de Telecomunicaciones de ASIS. (@ Todas las páginas Web a las que se hacen referencia en este artículo, están disponibles vía www.securitymanagement.com. Sólo vaya a la página principal, presione sobre “Beyond Print” y vaya a la sección sobre enlaces de Travel Security).

TENDENCIAS EN LA SEGURIDAD DE VIAJES

El secuestro de viajeros corporativos parece ser un negocio que va en aumento. Kroll Associates, una firma conocida de seguridad, ha trabajado en media docena de casos de secuestro en el primer semestre de este año, dice el director general William Daley. “Hace un par de años, habría sido media docena en todo el año”, agregó Daley.

Para empeorar las cosas, se mantienen cautivas a las víctimas por mayores períodos. Incluso si el rescate es pagado, algunos secuestradores conservan a sus víctimas a cambio de un rescate adicional. “Están tomando esto como una pequeña industria”, dice Daley, quien trabaja en la oficina de Kroll en la ciudad de Nueva York.

El secuestro sólo es uno de un creciente conjunto de amenazas a las que tienen que hacer frente los viajeros de una corporación. Los expertos señalan varias tendencias que los directores de seguridad tendrán que enfrentar en los años venideros.

Por ejemplo, algunos analistas habían confiado que el espectro de los secuestros de aviones se fuera desvaneciendo. “Yo habría dicho que era una forma de actuar que estaba extinguiéndose”, dice Andreas Carleton-Smith, director de operaciones en Norte América del Central Risk Group de McLean, Virginia.

Sin embargo, el secuestro de una aeronave de la India hacia Afganistán el año pasado y de una aeronave colombiana a manos de rebeldes izquierdistas, muestran que la piratería aérea sigue siendo una amenaza, por lo menos en el Sur de Asia y en América del Sur.

En el terreno, la creciente marea de violencia étnica a través del mundo ahora inunda regiones una vez consideradas tranquilas. Particularmente, el suavizante Pacífico Sur se ha vuelto un paraíso perdido. Un golpe de estado en Fiji y sangrientos combates armados en las Islas Salomón este año, muestran que la región esta experimentando un renacimiento étnico, dice Kent Brown, director gerente de Pinkerton Global lntelligence Services, en Arlington, Virginia. Aunque los hombres de negocios del extranjero hasta ahora no han sido los blancos, los conflictos demuestran que los viajeros deben tener siempre presente la seguridad, incluso cuando viajan por áreas que normalmente son tranquilas.

La fragmentaciónétnica ha sido igualada por una inquietante fragmentación del delito en paísescomo Colombia y Filipinas. Por ejemplo, en Colombia, los secuestros cometidospor los rebeldes de izquierda han sido aumentados por raptos efectuados por unavariedad de pandillas de secuestradores, que incluyen a antiguos policías ysoldados. “Hace cinco o seis años, usted sólo tenía que tratar con ungrupo”, dice Daniel Daly, presidente de Global Security Consultants, una firmadedicada a la seguridad de ejecutivos, con base en la ciudad de Nueva York.“Usted sabía con quien tenía que hablar. Ahora tiene que tratar con muchosgrupos”.

Además de las preocupaciones sobre la seguridad personal, los ejecutivos que viajan también deben estar informados de lanecesidad de proteger la información propia de la corporación. Las compañíasestán descubriendo que las computadoras portátiles que son robadas en losaeropuertos u hoteles ya no son casos de simple robo. Contrariamente, sonrobadas únicamente por la información de negocios que contiene su hardware, diceDaly, de Kroll.

Para combatir a estas nuevas amenazas, los encargados de la seguridad corporativa están desarrollando mejores políticas de seguridadpara viajes. Por ejemplo, más departamentos de seguridad corporativa trabajancon las oficinas de viajes de la organización para formular "políticascorporativas seguras para viajes", dice Brett Laquercia, director de desarrollode negocios para servicios de seguridad en Kroll Associates. Estas políticasestablecen que los empleados que vayan a viajar hacia áreas de alto riesgo,deben primero conseguir la autorización del personal de seguridad. Kroll también está recibiendo más pedidos para revisar, desde el punto de vista de seguridad, el itinerario de los viajes que las corporaciones ofrecen comoincentivos.

Los directores de seguridad están encontrando que laInternet es un gran aliado para recibir y divulgar información de seguridad(como se nota en el artículo adjunto). La Web permite que los empleadosestudien en línea el material de seguridad sobre su punto de destino, liberandoal personal de seguridad de efectuar charlas personales que consumen tiempo.La Internet también facilita que las compañías tengan acceso a bases de datos enlínea, que muestran el record de seguridad de aerolíneas extranjeras ydomésticas, permitiendo de este modo que los empleados eviten compañías aéreaspeligrosas, dice Charlie LeBlanc, director general de Air SecurityInternational, una firma de seguridad de aviación que tiene sus oficinas enHouston, Texas.

Respecto a la seguridad personal, Laquercia afirmaque cada vez más los empleados usan el transporte aéreo para sus viajes dentrode un país, en lugar de arriesgar viajes en carro o autobús en países comoMéxico y Colombia. Además, más empresas contratan a conductores entrenados enseguridad para recoger a empleados del aeropuerto. Tales servicios cuestantípicamente de $1,000 a $2,000 por día, según Laquercia.

"Mientras la vida corre, el camino se hace más extraño" escribió el poeta y diplomático James Russell Lowell en 1,889. Más deun siglo después, muchos viajeros de negocios agregarían “peligroso” a esa descripción, pero las empresas están resueltas a aventurarse por estas sendasmenos utilizadas en busca de nuevos mercados, y la seguridad debe ayudar a quelos empleados viajen por ellas en forma segura sin importar cuan largo y extraño el viaje.

Michael David Peck es un escritor independiente.


 
 Respond to this message   


Forum Owner
Viajes segurosApril 27 2004, 3:08 PM 

Viajes seguros

By Brian Cremin

Quizás no sea sorprendente que la palabra “travel” (viaje) derive de la misma raíz que la palabra “travail”, que originalmente significaba un viaje penoso. Un viaje puede convertirse rápidamente en un “travail” (penalidad) para un viajero de negocios no preparado. Las estrategias de seguridad corporativa que están diseñadas para proteger al personal que viaja pueden tomar muchas formas. Pero son cuatro los factores críticos. Primero, seguridad debe conseguir la cooperación de las otras funciones corporativas. Segundo, seguridad debe reconocer que pueden surgir riesgos atípicos cuando un viaje al extranjero involucre a grupos de personal en vez de ejecutivos individuales. Tercero, seguridad debe prepararse para cualquier incidente que involucre a la familia de un ejecutivo que podría estar sincronizada para coincidir con su ausencia. Cuarto, la corporación debe desarrollar un plan de respuesta para ayudar a los empleados que tengan problemas cuando viajen.

Cooperación.

Para desarrollar un programa de seguridad de viajes exitoso, el departamento de seguridad debe conseguir la ayuda de otros departamentos dentro de la corporación. Los socios más importantes en esta tarea son el personal de recursos humanos y el departamento de mercadeo.

Recursos humanos. Aunque los mejores consejos disponibles se pueden dar a los viajeros durante las reuniones de información previas al viaje o por correo electrónico conforme se va acercando su fecha de partida, el viajero típico de negocios sólo puede evitar problemas desarrollando un sentido propio de conciencia sobre los peligros que existen y recordando la mejor manera de evitar estos peligros.

Al igual que en cualquier otra estrategia de seguridad corporativa, los empleados deben tener una actitud positiva hacia el concepto y estar de acuerdo con sus metas y objetivos. En donde se requiera que el personal contribuya verdaderamente a la aplicación y mantenimiento de la estrategia--por ejemplo, llevar a cabo un procedimiento, evitar ciertas formas de comportamiento, o hasta simplemente mostrar un elevado sentido de toma de conciencia--una aplicación exitosa depende aún más de su completa cooperación.

Involucrar al departamento de recursos humanos a lo largo de este proceso puede contribuir considerablemente al éxito de la estrategia.

Por ejemplo, como el personal de recursos humanos muchas veces es responsable del entrenamiento y desarrollo, ellos pueden asegurar que el tema de seguridad de viajes sea tocado con frecuencia y que las sesiones de orientación se presenten de la manera más interesante e informativa.

El departamento de recursos humanos también mantiene la información personal de los empleados en relación con sus otras funciones. Puede, por tanto, ayudar al personal de seguridad al ser la fuente de esa información personal cuando sea necesario. Por ejemplo, RH puede asegurar que los detalles sobre los familiares estén disponibles para el departamento de seguridad las 24 horas del día por si ocurriera algún incidente de seguridad mientras un ejecutivo esté de viaje.

Mercadeo. Otra función corporativa que puede contribuir a los planes de seguridad de viajes es el departamento de mercadeo. Como puede ser difícil vender seguridad a los trabajadores en general de la corporación, el departamento de mercadeo puede ayudar a seguridad a lanzar el mensaje y evaluar si el mensaje ha sido recibido.

Por ejemplo, el conocimiento especializado de comercialización puede ayudar a desarrollar campañas de toma de conciencia y encuestas para medir la utilidad de un programa de seguridad específico desde la perspectiva del empleado. Este enfoque fue utilizado por el departamento de seguridad en una compañía multinacional con la que trabajó el autor. La compañía pidió que la compañía del autor concibiese un programa progresivo de conciencia de seguridad para su personal. El departamento de mercadeo del cliente fue incluido para ayudar en la creación de una nueva iniciativa de mercadeo de seguridad cada tres meses. Los resultados de esta operación conjunta fueron impresionantes.

La información difundida a través de la iniciativa, que incluía seguridad en los viajes así como otros temas de seguridad como seguridad física y protección de datos privados, no cambiaba drásticamente cada trimestre. Sin embargo, el departamento de mercadeo se aseguró de que las modalidades y los vehículos utilizados variasen bastante. Por ejemplo, una modalidad consistía en formar grupos de discusión de empleados sobre temas de seguridad tales como las percepciones comunes de la seguridad versus la realidad de la seguridad.

Otras modalidades incluían el entrenamiento tradicional en el salón de clases y las sesiones de desempeño de funciones. Por ejemplo, en un ejercicio se entrenó a los empleados cómo actuar cuando son abordados por desconocidos en escenarios sociales, como por ejemplo un bar. En esta situación, el empleado en entrenamiento bebe alcohol verdadero con sus colegas mientras un entrenador intenta extraerle información sensible de la corporación.

Mercadeo también ayudó a concebir concursos de concientización de seguridad y verificaciones por grupos de compañeros sobre asuntos como políticas de escritorios limpios y accesos no autorizados aprovechando los ingresos de los empleados. Además, el departamento de mercadeo pudo ayudar a desarrollar un entrenamiento dirigido a la toma de conciencia de seguridad utilizando las sesiones de lanzamiento de un nuevo producto como catalizador para las discusiones sobre la protección de información referida a productos en desarrollo.

Al final de cada trimestre se efectuaron encuestas sobre la comprensión de la seguridad por parte de los empleados. Los resultados revelaron que el personal estaba tomando más conciencia. Aumentaron los niveles de reporte de comportamiento sospechoso y disminuyeron los niveles de delitos menores que afectaban las pertenencias personales de los empleados, como sucedió con los incidentes adversos que involucraban a personal de la compañía en viajes de negocios.

Protección de grupos.

Cuando se requiere que un grupo de empleados de la empresa viaje al extranjero, en lugar de ejecutivos individuales, se pueden reducir ciertas clases de riesgos, como los asaltos y violaciones. Sin embargo, el riesgo de otros delitos, como robos, hurto de computadoras portátiles y robo de información de propiedad de la empresa, podría aumentar cuando los empleados viajan juntos. Por tanto, los viajes en grupo requieren estrategias diferentes. Una manera de reducir estos riesgos es contratar o asignar a un asesor de seguridad para que viaje con el equipo.

Uno de los riesgos más comunes relacionados con los viajes en grupo es el robo de información propia de la empresa, sobre todo en casos donde un gran número de empleados de una organización están concurriendo al mismo evento. En una misión reciente emprendida por la empresa del autor, una compañía envió 60 empleados a una exposición en una ciudad del oeste de Europa. El cliente admitía que el viaje daba muchas oportunidades para que los competidores y los corredores de información robasen información de la empresa.

La compañía estaba en un campo en donde era probable el espionaje industrial,.y la experiencia previa con la compañía sugería que simplemente efectuar una reunión de información antes del viaje no era probable que los preparase para los sutiles métodos de ingeniería social de recopilación de información que podrían encontrarse. Como consecuencia, la compañía decidió enviar a dos consultores de seguridad experimentados como asesores en el terreno.

Esta táctica dio a los empleados una oportunidad para analizar sus preocupaciones y recibir consejos inmediatos sobre el manejo de las situaciones conforme se presentasen. Era frecuente que se les pidiese a los asesores que verificasen que los acercamientos de clientes potenciales fuesen verdaderamente de corporaciones legítimas y no de entidades ficticias inventadas para obtener acceso a información sensible.

En otro caso, el equipo administrativo de alto nivel de una corporación NASDAQ basada en Europa viajó a Nueva York para anunciar los resultados trimestrales de la corporación. Los resultados mostraron ser considerablemente más positivos que lo había sido predicho, lo que aumentó la atención de los medios de prensa hacia el gerente general y gerente financiero principal. La corporación quería maximizar la publicidad positiva que había conseguido y los pedidos de varios elementos de los medios para conseguir entrevistas provocaron que los itinerarios del equipo administrativo de alto nivel fuesen cambiados casi a cada hora.

Para asegurar que cualquier riesgo relacionado con esos cambios pudiera ser identificado y mitigado y para asegurar que los planes de respuesta fueron mantenidos al día, se envió un asesor de seguridad. Consecuentemente, el equipo administrativo de alto nivel pudo realizar las entrevistas consideradas como las de mayor beneficio sin estar sujeto a los incrementados riesgos que se asocian a un horario en un permanente estado de flujo.

Debido a que el asesor de seguridad estaba cerca, por ejemplo, pudo dar instrucciones a los conductores de vehículos para asegurar que no se perdiesen o tomasen atajos a través de áreas de alta criminalidad. De igual manera, los ejecutivos no estuvieron tentados a caminar las tres cuadras desde un lugar de entrevistas a otro sin considerar primero si esas tres cuadras podrían pasar por un vecindario peligroso. El asesor también estuvo allí para mitigar otros riesgos que se presentaron, como cuando los ejecutivos llegaron a cansarse; el asesor se aseguró de que no bajasen la guardia o que no dejasen información sensible en un sitio mientras se apresuraban por llegar a otro.

Asuntos familiares.

Los gerentes de seguridad deben considerar los posibles riesgos contra la familia de un ejecutivo de alto nivel que surgen cuando éste o ésta se encuentra fuera en un viaje de negocios. Por tanto, para desarrollar un exitoso plan de seguridad de viajes, la seguridad corporativa debe proporcionar una seguridad incrementada para proteger a las esposas, parejas o hijos de un ejecutivo que pudieran atraer la atención de criminales o terroristas mientras el ejecutivo(a) se encuentra de viaje.

Desde la perspectiva de un criminal, un secuestro u otra amenaza de extorsión contra algún miembro de la familia de un ejecutivo podría ser mucho más efectivo si ocurriese cuando el ejecutivo se encuentra geográficamente separado de su familia, del equipo de administración de incidentes de la compañía, y de la policía que investiga el incidente. Esta separación podría originar que el ejecutivo ceda rápidamente a las demandas de los secuestradores y omita los procedimientos establecidos en la compañía para responder ante una crisis.

Los efectos prácticos de esta situación quizás se demuestran mejor haciendo referencia a cierta clase de incidente conocido en Europa Occidental como “secuestro del tigre”, como “rapisecuestro” en Guatemala o como “secuestro al paso”en el Perú. Estos términos describen una forma de actividad criminal en donde una persona es retenida por un corto periodo de tiempo, con frecuencia sólo unas cuantas horas, para así obligar a otra persona a que cumpla las demandas del criminal. Las demandas pueden incluir el pago de un rescate o el acceso a alguna instalación donde se guarde dinero en efectivo u otros bienes deseables.

Incluso cuando los empleados están en un viaje de negocios podría ser aún aplicable su capacidad de ceder a tales demandas porque simplemente dar a conocer información como números de identificación personal, palabras en código o información acerca de ciertos procedimientos podría facilitar el robo de una gran cantidad de dinero en efectivo o de bienes por parte de los criminales.

En estos casos, el departamento de seguridad debe mantener abiertas las líneas de comunicación de forma que el ejecutivo sea informado de las demandas del rescate, de que las preguntas que prueban que la persona está viva han sido satisfechas, y de otros detalles del incidente. Los buenos procedimientos de comunicación pueden darle al ejecutivo la confianza de que la situación se está manejando apropiadamente.

Asimismo, cuando las demandas sean hechas directamente al ejecutivo, él o ella debe saber que los planes de la corporación incluyan específicamente esas situaciones y que no se espera que el ejecutivo se encargue del asunto por su cuenta.

Respuesta.

A pesar de los mejores esfuerzos de los profesionales de seguridad y de los mismos viajeros, algunos empleados enfrentarán algún tipo de actividad criminal. En consecuencia, un programa de acción es crucial para asegurar que el personal siga recibiendo alguna forma de protección en caso de que ocurriera algún incidente adverso.

Es frecuente el caso en que el personal detecta una actividad sospechosa, pero como no está inmediatamente seguido por un incidente real, el empleado no hace un informe. La compañía debe hacer a sus empleados saber lo importante que es reportar cualquier tipo de actividad sospechosa, y el departamento de seguridad debe establecer un mecanismo para que el personal informe dicha actividad y reciba un asesoramiento inmediato.

Responder de esta manera a las primeras señales de alarma puede prevenir un incidente. Tomemos el caso de los empleados de un banco que detectan cierta actividad sospechosa durante varios días, antes y durante las entregas de dinero en efectivo a cargo de una empresa de carros blindados. Estos empleados están típicamente entrenados para informar esta actividad, hablar con la policía local, pedir que se aumente la presencia policial y cambiar las horas en las que se presente la compañía de carros blindados. El plan en general es frustrar cualquier actividad que esté planeada por los criminales.

La misma estrategia ha sido usada de manera efectiva en el contexto de seguridad de viajes. Por ejemplo, en un caso, una ejecutiva estaba asistiendo a una serie de reuniones en una ciudad en el extranjero. Durante sus viajes alrededor de esta ciudad, la ejecutiva divisó a los mismos dos hombres varias veces. La ejecutiva empezó a preocuparse de que los hombres la estuvieran siguiendo. Consciente de que su empleador tenía un considerable perfil internacional y que en el pasado habían ocurrido incidentes adversos involucrando al personal de la organización, inmediatamente llamó por teléfono al número que le fue proporcionado por seguridad corporativa. La ejecutiva describió lo que había visto y dio una idea de sus preocupaciones. El asesor de seguridad utilizó los contactos existentes para comunicarse con la estación de policía más cercana a la ubicación de la ejecutiva e hizo los arreglos para que un oficial de la policía hiciese contacto con la empleada.

El asesor de seguridad también hizo contacto con el jefe de seguridad del hotel de la empleada y solicitó apoyo para que la trasladasen a otro hotel revisado y autorizado por la seguridad corporativa. La respuesta policial facilitó el arresto de los dos hombres–ambos miembros de una banda criminal organizada que en los últimos meses había estado buscando blancos entre extranjeros para secuestrarlos.

En otro ejemplo, un ejecutivo decidió salir a caminar luego de haber cenado mientras se encontraba de viaje de negocios en el extranjero. Luego de unos 30 minutos, se percató de que ya no reconocía el ambiente y no estaba seguro de cómo regresar a su hotel.

Además, se dio cuenta que los alrededores cada vez se volvían menos y menos recomendables. Se fijó que había más paredes con inscripciones, más vehículos abandonados y más ventanas rotas. Había muy poca gente en la calle y no se sentía confiado para pedir ayuda a ninguno de ellos.

El ejecutivo utilizó su teléfono celular para llamar al número proporcionado por su empleador y explicó su situación. El asesor de seguridad pudo determinar su ubicación exacta comparando los nombres de las calles que el ejecutivo había visto con los de un mapa detallado de la ciudad. El asesor dirigió al ejecutivo a una estación de policía que estaba ubicada a menos de 400 metros. Cuando llegó allí, el ejecutivo pudo llamar a un taxi y fue llevado en forma segura a su hotel.

Para que este tipo de programa de respuesta sea efectivo, el departamento de seguridad debe estar bien preparado. Así como saber que ciertos empleados en particular se encuentran en el extranjero en un momento dado y que se puede esperar algún contacto de parte de ellos, seguridad también debe tener acceso inmediato a cualquier información detallada sobre la ciudad o país que se está visitando. Esto normalmente significa tener más que el tipo de información que está disponible en los boletines de asesoría de viajes.

El personal de seguridad debe estar preparado para proporcionar alternativas de alojamiento, transporte, servicios bancarios y otros servicios a los empleados que estén de viaje. El personal de seguridad también debe tener al alcance información relativamente detallada sobre refugios seguros, junto con una serie de contactos confiables en diversas agencias oficiales, como son la policía, aduana e inmigración.

Para tener éxito, este programa debe recurrir a las habilidades de un asesor de seguridad experimentado que esté familiarizado con la organización a la que pertenece el ejecutivo, con sus actividades de trabajo y con el país o región que está siendo visitado. De manera similar, la oficina a donde se informa debe estar disponible las 24 horas del día ya que una emergencia puede ocurrir en cualquier momento. Si el departamento de seguridad no cuenta con suficiente personal para asegurar una cobertura continua, la compañía puede obtener dichos servicios mediante acuerdos contratados. Sin embargo, la seguridad corporativa debe ser cautelosa. Únicamente personal experimentado debe proporcionar el servicio de respuesta.

Una exitosa estrategia de seguridad para los viajes implica más que enviar a los ejecutivos por correo electrónico los últimos boletines de viajes del gobierno antes de que salgan de viaje. Pero con el planeamiento y procedimiento adecuados, el departamento de seguridad puede ayudar a asegurar que los empleados eviten las “travails” (penalidades) de viajar.

Brian Cremin es director gerente del Crime Management Group (CMG, Grupo de Gestión de Crímenes), cuya oficina central se encuentra en Dublín, Irlanda. CMG es una consultora administrativa internacional especializada en el crimen organizado y en riesgos terroristas. La compañía, a través de su compañía subsidiaria, 365assist, también proporciona servicios de asesoría de seguridad durante crisis, a pedido. El es un miembro de ASIS.


 
 Respond to this message   


Forum Owner
Preocupaciones en los viajes de negocios en America LatinaApril 27 2004, 3:09 PM 

Preocupaciones en los viajes de negocios en America Latina

por John A. Briley

Un ejecutivo estaba viajando del aeropuerto de Bogotá, Colombia, por una avenida principal cuando de improviso un taxi le cerró el paso a su carro y dió un frenazo, obligándolo a detenerse. Una camioneta apareció inmediatamente detrás del auto del ejecutivo, y cinco hombres, todos con uniforme de policía y luciendo armas, saltaron y rodearon el vehículo. Exigieron al conductor que abriese las puertas.

Afortunadamente para el ejecutivo, su compañía había tomado las precauciones apropiadas. Estaba siendo transportado por un conductor entrenado en seguridad en un vehículo blindado de nivel tres (el cual es capaz de resistir el fuego de una Magnum 44 o Uzi 9 mm. hasta ciertas velocidades). El conductor se negó a la exigencia de los pistoleros de abrir las puertas, y rápidamente llamó por radio a su base. Aunque uno de los bandidos trató de romper las ventanas del auto con la culata de su rifle, no pudo romper el vidrio reforzado. Al advertir la llamada por radio, los asaltantes se pusieron nerviosos y huyeron.

Este incidente de la vida real, ilustra vívidamente los riesgos de hacer negocios en algunas ciudades latinoamericanas con una alta tasa de criminalidad, como Bogotá, la Ciudad de México, Sao Paulo (el Brasil), y Caracas (Venezuela). Las compañías que necesitan operar en o enviar empleados a estos lugares de alto riesgo enfrentan desafíos especiales que van más allá de las presiones competitivas normales de los negocios a nivel mundial.

Las empresas deben cerciorarse de que sus empleados conozcan las amenazas específicas que hay en sus puntos de destino y que estén preparados para abordarlas. Los expertos concuerdan en que es esencial una preparación antelada para aquellos que viajen a una ciudad peligrosa. Respecto al nivel de medidas de protección que pudieran ser las óptimas, las recomendaciones varían.

Que los empleados que viajan a o trabajan temporalmente en un local de alto riesgo puedan mantener cierta apariencia de una vida normal, puede depender en parte del tipo de trabajo que efectúa el empleado. Cualquiera que transporte joyas, grandes sumas de dinero en efectivo, o cualquier otra cosa de alto valor “debe tener un guardaespaldas, un conductor de confianza, e, idealmente un carro de seguimiento con contacto radial”, dice Greg Rodriguez, un consultor internacional de seguridad que trabaja en México, y ex oficial federal de EEUU para la aplicación de la ley.

Los viajeros más típicos deben saber en todo momento por lo menos dónde están y a dónde van, y no deben dejar su conciencia de seguridad ni siquiera por un momento, dice Rodriguez. “Por supuesto que usted no se va a encerrar en la habitación de su hotel en la Ciudad de México durante una semana. Pero sería mejor que supiera qué se enfrenta” en términos de amenazas, dice. Salir de noche en la Ciudad de México está bien, agrega, pero nunca salga solo y siempre use un conductor confiable (la mayoría de los hoteles de alta categoría brindan servicios seguros de conductores).
Katrin Forster, funcionaria jefa de finanzas de FTAA Consulting, un consultorio de negocios latinoamericanos, coincide en que a pesar de la necesidad de ser precavido, las actividades normales se pueden continuar si uno posee el conocimiento específico y actualizado de las áreas que son seguras. Por ejemplo, Forster observa que los viajeros de negocios en busca de una vida nocturna animada y de hacer compras en Bogotá “deben limitarse a las áreas de moda alrededor de las carreras 82 y 83”.

Forster también dice que los viajeros pueden tomar en forma segura los taxis del aeropuerto, siempre y cuando se pidan los taxis directamente de una caseta oficial de taxis dentro del terminal. Sin embargo, otros directores de seguridad están en desacuerdo, recomendando contra del uso de cualquier transporte público en tales locales.

Forster, quien ha vivido en Bogotá por 25 años, advierte que los viajeros solitarios, especialmente mujeres, deben “vigilar siempre sus bebidas porque ha habido casos de personas a quienes se les ha dado a escondidas la droga escopolamina”, la cual básicamente hace que la gente pierda el conocimiento. Y aconseja en contra de salir después de las 5 p.m. en el centro de Bogotá. “Solía haber bares seguros en la 5a. (carrera 5), pero muchas personas fueron secuestradas”, explica.

Rodriguez también advierte los riesgos especiales contra las mujeres en México. Las estadísticas criminales muestran que las mujeres son elegidas con más frecuencia como blancos de secuestros en ese país, bajo la teoría que sus esposos o hermanos (léase: el varón que es sostén de la familia), pueden encontrar rápidamente la forma de pagar los rescates. Además, dice, el delito común es un problema.“Muchas mujeres estacionan frente a una tienda y empiezan a buscar sus chequeras en sus carteras. Eso no es inteligente. Eso la convierte a usted en blanco instantáneo del delito”, dice.

Muchos profesionales de la seguridad aconsejan tener niveles aún mayores de seguridad como norma. Un director de seguridad que pidió mantener el anonimato, opina que en Bogotá todo restaurante, edificio de oficinas, club privado, u otro establecimiento que visitan los viajeros de su compañía, debe tener una fuerza de seguridad armada en el local.

Este profesional de la seguridad, que trabaja para una corporación multinacional, también advierte a los empleados contra el uso informal de taxis de la calle para desplazarse por la ciudad. “Todo viaje de negocios implica el uso constante de un asociado de negocios de confianza o un conductor profesional de seguridad para moverse de cita en cita”, dice.

Otra preocupación es que el grupo guerrillero Fuerzas Armadas Revolucionarias de Colombia (FARC) ha penetrado casi todos los aspectos del poder en Bogotá, incluyendo las fuerzas de seguridad y los bancos, y fácilmente puede enterarse de los nombres y perfiles de víctimas potenciales, sus organizaciones, itinerarios (de negocios y sociales), arreglos de alojamiento, y actividades en sus tiempo libre. Por lo tanto, recomienda “una cierta cantidad de reserva respecto a las reuniones –-quiénes asistirán y el local”. Asimismo, advierte que el uso habitual de tarjetas de visita casi ha desaparecido en Bogotá debido a que las bandas criminales usan las tarjetas como una fuente de inteligencia para identificar y seguir a las potenciales víctimas de un secuestro.

A veces la mejor estrategia es no enviar viajeros de negocios a las ciudades de mayor riesgo. Si el trabajo se tiene que hacer allí, la compañía puede emplear a profesionales locales y puede realizar las reuniones en lugares más seguros. Ana María Uribe, una abogada del estudio jurídico Prieto & Carrizosa en Bogotá, dice, “Nuestros clientes de otros países ya no vienen aquí”, debido a la situación de seguridad. “Solíamos tener muchos clientes que venían acá para cerrar negocios y hacer tratos, pero ahora tenemos que ir a otros lugares, como Miami, para llevar a cabo el negocio”.

Si bien puede variar la opinión respecto a proporcionar protección en Bogotá y otras ciudades, el consenso sobre la zona rural de Colombia es más rotundo: los rebeldes dominan el campo; no viaje allí sin la protección del más alto nivel de que pueda disponer.

Cuando la compañía canadiense de gestión de construcción y de ingeniería Hatch entró en una operación minera conjunta con Bechtel (un homólogo americano) en Cerro Matoso, Colombia, el primer paso que dió Hatch fue retener a un asesor sobre seguridad mundial que se especializaba en lugares con altos niveles de amenaza. “Se aseguraron que todo empleado de Hatch (que fuese a Cerro Matoso) lo hiciese con un guardaespaldas y con un conductor”, dice Tom Reid, director mundial de comunicaciones de Hatch.

Hatch asignó un empleado a tiempo completo para mantenerse en contacto constante con el personal en Colombia y actuar como un enlace con los familiares de esos empleados.Esto se hizo porque “es difícil asegurarse una línea telefónica segura en Colombia, así que es mejor efectuar esas comunicaciones en dos pasos”, explica Reid. El hombre de enlace pudo mantener informados a los familiares de los empleados sobre las fechas específicas de viaje y otros detalles clave. Gracias a estas medidas, la compañía no experimentó ningunos intentos de violaciones de la seguridad a lo largo de la operación 1998-2001, informa Reid.

A veces los delitos específicos o las maneras de llevar a cabo un delito se vuelven populares entre los criminales en ciertos lugares. Por ejemplo, en Sao Paulo, en mayor medida que en otras ciudades, las intersecciones son un punto favorito de espera para los ladrones, asaltantes armados, y secuestradores de autos (esto es especialmente cierto en las intersecciones con densa congestión de tráfico). Los asaltantes armados frecuentemente trabajan en equipo, disfrazados como mendigos o vendedores que seleccionan como blancos a ocupantes distraídos y desprevenidos.

“Estos tipos se acercan fingiendo que están pidiendo limosna o vendiendo flores o goma de mascar.Después extraen una .38 de la camisa. Los otros conductores ni siquiera se enterarán”, dice Robert Creswell, CPP, presidente del consultorio Creswelll y Asociados con sede en Sao Paulo. Su consejo:Mantenga sus puertas con seguro y las ventanas levantadas cuando esté detenido o moviéndose lentamente.

En contraste, Bogotá y la Ciudad de México tienen un alto índice de secuestros a cambio de rescate. Aunque se ha tenido estos delitos por varios años, la capital mexicana ultimamente ha visto índices que se disparan de “secuestros expresos” y “rapisecuestros” en los cajeros automáticos. Los secuestros expresos hacen blanco principalmente a los de clase media y a los moderadamente ricos (versus los muy ricos) para raptos de corta duración, mediante los cuales los secuestradores esperan conseguir un rescate de unos cuantos miles de dólares, aunque a veces la puja comienza por mucho más que eso.

Los autores de los rapisecuestros en los cajeros automáticos se orientan contra cualquiera que parezca tener una billetera o cartera. Las víctimas son llevadas de cajero en cajero, frecuentemente en el baúl de un auto, mientras sus cuentas bancarias son vaciadas por los raptores.

Los joyeros, que son conocidos por llevar grandes cantidades de dinero en efectivo, “han sido secuestrados en partes muy exclusivas de la ciudad”, dice Rodriguez. El les aconseja que realicen la mayor cantidad posible de negocios mediante teléfono, correo, o Internet, y luego hacer sus transacciones de contacto directo en edificios altos de oficinas en donde no van a llamar la atención tanto como sucedería en una joyería o en un negocio más visible de la planta baja..

Rodriguez también trabaja con banqueros, los cuales, hace notar, tienden a tener horarios establecidos, visitando las mismas sucursales todos los días a las mismas horas. Esos hábitos los hacen blancos más fáciles de delitos que las personas que son menos predecibles, dice. “Les digo, ´Tienen que modificar sus rutinas. La gente los está observando´”.

Un profesional de seguridad de una importante compañía internacional de servicios financieros hace eco del consejo de Rodriguez. “No se levante todos los días a las 5 a.m., vaya al gimnasio, regrese, tome desayuno en su habitación, salga por la puerta principal y tome un taxi en la esquina”, dice. “Vaya a la esquina sin los acaudalados americanos. Algunos días haga su gimnasia por la tarde. En ocasiones utilice otra puerta para salir del hotel, si es seguro”.

Aunque algunos crímenes son planeados, muchos son acciones del momento. Los criminales son oportunistas que simplemente están atentos a los turistas vulnerables. En Sao Paulo, en donde la mayor parte de los actos ilícitos son delitos de oportunidad, la mejor herramienta para reducir el riesgo es conciencia de y familiaridad con el medio local, dice Creswell.

Si son blancos de criminales, los viajeros de negocios deben comprender cuál es la mejor manera de responder en cada situación. Por ejemplo, muchos de los criminales brasileños son matones callejeros que tienen muy poco miedo a las fuerzas de la ley. Por lo tanto, dice Creswell, si se le enfrenta un asaltante armado, manténgase calmado y no haga movimientos inesperados. “Mantenga las manos claramente a la vista. Haga lo que le piden. Responda sólo a sus preguntas y no discuta. No intente entablar una conversación. Facilite la partida del asaltante”.

Debido a la mezcla de riqueza y pobreza en Sao Paulo, ninguno de los vecindarios es totalmente seguro. “Usted tiene residencias de un millón de dólares al costado de casuchas”, puntualiza Creswell. “Así que es crucial que se familiarice con el lugar en donde se aloja”. Tome nota de las condiciones de las calles, densidad del tráfico, áreas de estacionamiento, iluminación, tráfico de un sentido o de doble sentido, y acceso hacia y desde el edificio. “Al conocer lo que es normal, notará cuando algo no lo es”.

Asimismo, si va a tener un carro, sugiere que conduzca un vehículo que tenga por lo menos dos años, en vez de uno nuevo. Y, afirma, nunca deje los documentos del vehículo en su carro. Lléveselos después que estacione. También es importante que tenga un buen mapa de la ciudad de modo que no tenga que detenerse para pedir indicaciones.

Además, dice Creswell, los trabajadores que están en una ciudad extranjera deben aprenderse sus rutas hacia y desde su trabajo, clubes, centros comerciales, y otras paradas rutinarias. (Pero como se ha mencionado anteriormente, deben evitar tener una rutina; por lo tanto, deben aprenderse múltiples rutas hacia cada punto de destino y deben alternar entre ellas.) Antes de ir a cualquier lado, Creswell aconseja a los viajeros:“Haga copias de sus rutas y llévelas consigo. Esto es útil, por ejemplo, al tomar taxis, para evitar los problemas de comunicación y las demoras”.

Creswell insta a los viajeros a que sepan la ubicación de las estaciones de policía, hospitales, edificios gubernamentales y otras instalaciones a lo largo de sus rutas comunes que puedan brindarles un refugio seguro o ayuda en caso de una emergencia. También advierte en contra de deambular sin una agenda definida. “Planee por adelantado las actividades para su tiempo libre. Conozca cuáles son los establecimientos seguros para frecuentar antes de ir. Tome las rutas directas a los restaurantes y clubes nocturnos”.

Creswell también aconseja que los viajeros que tengan un accidente de tráfico deben, cuando sea posible, conducir a un área segura y bien iluminada antes de bajar del vehículo. El viajero no debe discutir con el otro conductor. También es importante mantener el control de todos los documentos personales.

Si hay una víctima en un accidente de tráfico, la ley exige que se le preste ayuda.El viajero debe tomar contacto con las autoridades locales, así como con el representante o abogado de su compañía.Si es posible, haga que le acompañen, dice Creswell.

Creswell ofrece estos consejos para los empleados con nombramientos por períodos prolongados: estudiar la cultura y costumbres locales, tratar de aprender por lo menos los fundamentos del idioma local. En cuanto a las viviendas para alojamiento, dice, en el Brasil los departamentos ofrecen mejor seguridad que las viviendas unifamiliares, siempre que el acceso a los ingresos, salidas y áreas comunes sea controlado estrictamente por porteros adecuadamente entrenados y sistemas electrónicos de seguridad.

Otro asunto que se presenta para los trabajadores con nombramientos de largo plazo es el empleo de personal doméstico. Creswell hace ver que en algunos países, incluyendo Brasil, los empleados domésticos como criados, jardineros y conductores son la norma para la gente que vive allí. Pero advierte que aunque no sean cómplices intencionales, a menudo son los medios a través de los cuales un asaltante consigue acceso u obtiene información crítica respecto a la residencia elegida.

Y la seguridad personal no es el único problema. El robo de información patentada es otra importante preocupación para los viajeros. “Si usted deja una computadora en su habitación, puede esperar que alguien revisará sus archivos”, dice el profesional de seguridad de los servicios financieros. ¿Su consejo? “Haga su trabajo en un disco y métalo en el bolsillo de su chaqueta cuando salga a cenar. Y no lleve más materiales de trabajo en su viaje que los que le sean absolutamente necesarios. ”Es más probable que los empleados de las compañías importantes sean blancos del robo de propiedad intelectual.

Para preparar a sus viajeros para la gama de amenazas que pueden encontrar, él se cerciora que todo empleado que viaja al extranjero antes del viaje reciba una cuidadosa orientación de seguridad específica de la ciudad. Su principal advertencia para los empleados que estarán circulando en forma independiente en ciudades de alto riesgo: “Actue como si supiese adónde se dirige, incluso cuando no lo sepa. No camine por ahí mirando las partes altas de los edificios como un turista. Y confíe en sus instintos. Si voltea una esquina y el cabello de su nuca se eriza, salga de allí”.

En resumidas cuentas, concuerdan todos los expertos: haga su tarea. Entienda las amenazas de cada ciudad que va a visitar antes de que salga de casa, y sepa exactamente cómo comportarse para minimizar su riesgo y cómo reaccionar en una situación de naturaleza criminal. Al prepararse adecuadamente los viajeros pueden obtener beneficios de la experiencia de negocios que buscan, sin experimentar de primera mano cualquiera de los problemas que plagan algunos de los puntos de destino.

John Briley es redactor gerente principal de iJet Travel Intelligence. Carl Provencher, quien es director de inteligencia de seguridad de iJet, colaboró en el artículo.


 
 Respond to this message   


Forum Owner
Protección de la Información en las Conferencias de NegociosApril 27 2004, 3:10 PM 

Protección de la Información en las Conferencias de Negocios

Por John A. Nolan, III

Michael, un recopilador de información para un cliente muy activo en la industria de las telecomunicaciones, estaba en el baño de hombres en una gran exposición comercial. Al lavarse las manos salpicó de agua todo el lavatorio y la repisa. Mientras estaba secando la repisa, el presidente de una de las compañías de las cuales debía conseguir información, entró acompañado de otro hombre. Inmediatamente dejaron de conversar y miraron por debajo de los compartimientos. Convencidos de que no serían escuchados por alguien sentado en uno de los compartimientos y descartando a Michael como un ayudante de limpieza ya que él seguía limpiando la repisa, reanudaron su conversación sobre la manera de que podrian trabajar juntos en un proyecto, uniendo las mejores tecnologías de sus compañías. Siguieron conversando incluso cuando aceptaron las toallas de papel ofrecidas por el supuesto “ayudante”. Cuando salieron y se separaron, Michael siguió al hombre desconocido hasta su puesto en la exposición. El informe de inteligencia que preparó el “ayudante” le permitió a la compañía de telecomunicaciones anticiparse en seis semanas al lanzamiento del producto de la nueva empresa conjunta de sus competidores, algo que nunca podrían haber anticipado sin esta inesperada oportunidad de recolección.

Como lo demuestra este caso ficticio, la información puede escapar de modos sorprendentes. Aun así, muchas compañías siguen concentrando sus esfuerzos para proteger su información propia en medidas internas.

Instalan programas de muros cortafuegos y autenticación biométrica en la red informática, establecen una política de escritorios limpios, y ponen en práctica procedimientos correctos para la destrucción de documentos. Pueden hasta asegurar las computadoras portátiles con cables de acero inoxidables y alarmas. Pero no consideran cómo los empleados pueden simplemente regalar información gratis en las exposiciones comerciales.

Por su misma naturaleza, una exposición comercial existe para facilitar el intercambio de información. Y una enorme cantidad de información es compartida de manera legítima y apropiada en las conferencias por fuentes muy variadas. Los profesionales intercambian puntos de vista en las reuniones científicas y técnicas. Los vendedores en sus puestos dialogan sobre sus productos con cualquier persona que se detenga allí. Los editores buscan nuevos anunciantes para los diarios de la industria, los consultores tratan de mantenerse al día con los cambios en la industria y en las compañías individuales y los reporteros consiguen las noticias. Pero no toda la interacción profesional es lo aparenta ser.

Los profesionales de inteligencia competitiva (IC) dedicados a proyectos de recopilación y protección, consideran tales eventos como ambientes básicamente sin protección porque quienes tienen la responsabilidad profesional de los programas de protección de la información muy pocas veces toman parte o siquiera están presentes. Algunas compañías sabidas han desarrollado enfoques rigurosos, completos e integrales para la recopilación de datos y así aprovechan la abundancia de información de valor competitivo que puede descubrirse en estos ambientes.

Las compañías necesitan aceptar que se crea una vulnerabilidad considerable cuando sus empleados viajan a las exposiciones comerciales y otras reuniones de profesionales y entender que para los profesionales de inteligencia competitiva esos lugares son unas minas de oro para recolectar información.

Para poder cerrar esta vía de pérdida de información, los profesionales de seguridad deben entender los métodos que usan estos recopiladores para reunir información corporativa sensible de empleados inadvertidos que no están conscientes de lo que sucede. El siguiente resumen resalta las técnicas contra las que una compañía debe preparar a sus empleados a reconocer y defenderse.

Niveles de complejidad.

Los esfuerzos de recolección pueden ser clasificados de acuerdo a su nivel de complejidad. Primero debe notarse que reunir inteligencia en una exposición comercial no significa merodear por el pabellón de exhibiciones con una bolsa grande, acumulando folletos, tarjetas de negocios y muestras de productos. Pero incluso los intentos menos elegantes tendrán éxito si el personal ignora que está siendo manipulado.

Consideremos el caso clásico del miembro más joven de un equipo corporativo que asiste a una conferencia de negocios (Lo llamaremos Chad). El es quien debe quedarse para las últimas horas de la exhibición, con la esperanza de poder convertir en cliente a un visitante casual. Chad por lo general es una de esas personas que sabe que su posición no vale mucho, no ha sido muy apreciado últimamente y sin embargo sabe casi todo lo que los demás saben -- excepto que debería evitar hablar demasiado a un oyente paciente y compasivo.

A Chad siempre lo dejan solo en el puesto de exhibición, excepto los astutos recopiladores de inteligencia. El no solamente sabe todo de su compañía -- los precios, los productos y otras cosas más -- sino que también está ansioso a conversar sobre lo que sus compañeros han estado aprendiendo de los otros asistentes e informando en las sesiones de rendir cuentas a lo largo de la reunión. Los recolectores de inteligencia comercial que lo han visitado tienen en mente más que simpatía en las pocas horas que quedan antes de que Chad empiece a cerrar su puesto.

Los siguientes resúmenes de los cinco niveles de sofisticación en la recolección de información son generalizaciones. Sin embargo, resultan instructivos para poder enmarcar el análisis.

Nivel Uno. En este nivel, los empleados de la compañía viajan a las reuniones y para que se reembolsen sus cuentas, deben presentar informes de las actividades efectuadas durante los viajes. Como los reportes que se necesitan para el reembolso pueden ser cortos y simples, cualquier información, mucho menos inteligencia, que se pueda recoger es simplemente un hecho fortuito. A estos empleados no se les ha dicho que recolecten información, así que a lo más representan una amenaza menor.

Nivel Dos. Luego están las compañías en donde los profesionales de inteligencia competitiva en realidad dan instrucciones y sensibilizan a los viajeros de la corporación respecto a los objetivos específicos de recolección de información que siguen insatisfechos y qué es lo podría obtenerse --y de quién--en la conferencia. Por ejemplo, a los viajeros se les podría orientar sobre los nuevos productos de un competidor y pedirles que averiguen todo lo que puedan sobre sus precios, distribución o ciclo vital. Otros datos comunes que pueden interesar a la compañía incluyen cuánto están gastando los competidores en investigación y desarrollo (I&D), cuantos ingenieros están siendo contratados y en que áreas y qué resultado se intenta obtener de cualquier re-ingeniería o cambio en la organización interna que pudiera suceder (por ejemplo, menores cantidades de rechazo, mayores cifras de producción). El grupo dedicado a la inteligencia de negocios también programará una sesión de reporte después de que regrese el viajero. Estos esfuerzos para reunir información se dirigen a blancos especifícos y representan una amenaza seria.

Nivel Tres. En el siguiente nivel se encuentra el gerente de inteligencia competitiva quien identifica las conferencias, viajeros y objetivos con meses de anticipación, lo que permite un considerable nivel de planeamiento. Los gerentes de IC en este nivel conocen las necesidades permanentes de inteligencia de la compañía y tratan de que el personal que enviarán a la exposición tengan relación con los asistentes de otras organizaciones en la conferencia. Por ejemplo, se tratará que los ingenieros encajen con sus colegas de las otras organizaciones con quienes tengan una relación previa, quizás porque pertenecen a los mismos grupos profesionales, son antiguos colegas o asistieron juntos a la universidad.

Los expertos en un área en particular pueden ser emparejados con alguien que esté presentando un trabajo sobre ese tema en lo cual pueda haber algo de valor competitivo que puede satisfacer las exigencias actuales o continuas de inteligencia. Los profesionales de I&D buscarán a otras personas de I&D para poder averiguar qué porcentaje de los ingresos de la otra compañía se asigna a I&D o qué tipos de nuevos laboratorios se están construyendo. Estos esfuerzos para reunir información representan una de las amenazas más serias porque una cuidadosa concordancia entre agentes y blancos aumentará la probabilidad del éxito.

Nivel Cuatro. En este nivel están aquellas compañías donde el personal de inteligencia competitiva es aun más activo y organizado. Ellos preparan a sus corresponsales en toda la compañía para entender los distintos medios de recopilación de información y les pueden dar entrenamiento especializado. El entrenamiento puede incluir métodos específicos de inteligencia como la forma de extraer información, identificar y evaluar potenciales fuentes, desarrollar fuentes de información y mantener relaciones con dichas fuentes mientras siguen explotándoles por el valor de su información. Si los empleados a quienes se acercan en tales circunstancias no han sido entrenados para que se pongan sospechosos, miedosos o renuentes a cooperar, es probable que estos esfuerzos tengan mucho éxito.

Algunas veces, esta preparación antelada se amplia hasta arreglar que los empleados sirvan en organizaciones profesionales como miembros de comités que solicitan y seleccionan ponencias para la conferencia. Esta táctica les permite animar a quienes trabajan para competidores en los que la compañía tiene interés, para que presenten trabajos e incluso ayudarles a preparar las ponencias.

En otras situaciones, una compañía puede dotar a los agentes de recolección de información que estén en el auditorio, de preguntas específicas y directas que pueden hacerse a un conferenciante. Tales preguntas tienden a ser respondidas, incluso si pertenecen a un nivel mas alto de sensibilidad del que el conferenciante debería estar abordando, ya que son planteadas en una atmósfera de cordialidad profesional, realzada por el deseo del expositor de dar una buena impresión a sus colegas.

Miembros "impresionados" del público pueden entonces hacer preguntas adicionales (y más sensibles) después de la conferencia e incluso invitar al conferenciante a tomar café o un trago para hacer que hable con más libertad.

Nivel Cinco. El nivel más alto de complejidad es donde encontramos la participación activa de los profesionales de la seguridad. Las operaciones de inteligencia en este nivel son muy parecidas a un juego de fútbol americano. La parte del proyecto dedicada a recolectar información se llama "atacante"; el lado defensivo se denomina "defensor". Este grado de participación en las reuniones requiere que profesionales del equipo de seguridad asistan a las reuniones o a las exposiciones comerciales y que preparen lugares para los informes, en donde los empleados entrenados para reunir información llegan en momentos programados para reunirse con los “atacantes” y los “defensores”, para presentar evaluaciones actualizadas de lo que está sucediendo realmente.

Tales operaciones ofrecen una variedad de beneficios para la compañía que trata de recopilar información (o evitar su difusión). Los empleados pueden recordar inmediatamente los eventos que de otra manera se deterioran con el transcurso del tiempo. Los “atacantes” pueden reunir información en tiempo real y dedicarse a análisis de primera mano que puede brindar oportunidades para imponer requerimientos adicionales a los empleados asistentes, cuando los eventos y los informes exigen ampliar la cobertura--algo que obviamente no podría suceder si la compañía se hubiera limitado a reunir información de los reportes posteriores a las conferencias.

Adicionalmente, los “atacantes” pueden enseñar rápidamente al personal de ventas los productos o servicios del competidor que se presentaron en la exposición, de los cuales necesitan información adicional. Sin duda, estas técnicas altamente organizadas para la recolección de información representan la mayor amenaza.

Operaciones defensivas.

En una exposición comercial, la preparación de los empleados es quizás el arma mas importante del arsenal defensivo de la compañía. Consideremos, por ejemplo, el caso de una compañía que tiene dos mujeres embarazadas que conforman el grupo que recolecta información. Su forma de enfocar el asunto es sencillo. Se notan visiblemente incómodas cuando visitan los puestos de exhibición de sus competidores, y aunque llevan las insignias de identificación de su compañía, son tratadas en forma bastante cortes por sus competidores, quienes inevitablemente preguntan “¿Les gustaría descansar unos momentos?”.

Las futuras madres aceptan y se sientan por una hora o más, escuchando mientras tanto las interacciones entre sus competidores y sus clientes, visitantes, vendedores u otras personas que hablan de una amplia variedad de temas--muchos de los cuales resultan ser de gran significación para el equipo de recolección.

Protegerse contra estos esfuerzos es crítico. Ahí es donde entra el grupo de defensores. Las operaciones defensivas se concentran en preparar a los asistentes antes de que salgan de la oficina. Les hacen saber a los asistentes las preguntas e intereses de las personas que trabajan, o razonablemente se supone, que trabajan para la competencia (incluyendo consultores y académicos cuya investigación es financiada discretamente por un competidor). Una vez en la exposición, también alertan oportunamente a los asistentes sobre las preguntas que se están haciendo en otras sesiones o alrededor del área de exhibición y en reuniones sociales, que son obvios intentos para reunir información. Esta advertencia incluirá detalles de las personas que están haciendo las preguntas y su niveles de competencia.

Los defensores también ayudan al personal a preparar respuestas profesionales y corteses a estas preguntas, que evitarán la difusión de información propia de la empresa. Los defensores además se aseguran de que exista un nivel consistente de entendimiento por parte de los empleados respecto a lo que deben y no deben decir. Por otro lado, verifican que los puestos de exhibición, sitios de orientación, ambientes de recepción y otros lugares estén organizados de tal modo que sus charlas de ventas no comprometan información sensible.

Las exhibiciones comerciales y otras reuniones de profesionales forman una parte inevitable de los negocios. Representan grandes oportunidades para el mercadeo y establecimiento de enlaces que las compañías no pueden dejar pasar. Pero también ofrecen a los buscadores de información un acceso fácil a los secretos celosamente guardados por una compañía. Los profesionales de seguridad deben asegurarse que los empleados conozcan los riesgos y sepan jugar mientras conservan cuidadosamente sus propias cartas.

John A. Nolan III, CPP, Profesional Certificado de OPSEC (OCP), es presidente del Phoenix Consulting Group, en Huntsville, Alabama. Su último libro es “CONFIDENCIAL: Descubrir legal y éticamente los secretos de negocios de sus competidores--y proteger los suyos” (CONFIDENTIAL: Uncover Your Competitors' Top Business Secrets Legally and Ethically--and Protect Your Own (HarperCollins, 1999). Es miembro de ASIS.

¿Cuál es su cociente de contrainteligencia?

Las siguientes preguntas le ayudarán a preparar a sus empleados para el ambiente de búsqueda de información que penetra toda reunión de carácter profesional.

1. ¿Sabe quién en su empresa va a viajar a conferencias, exposiciones comerciales o a reuniones de profesionales el próximo año?

2. ¿Les ha dado orientación sobre el comportamiento en un ambiente de amenazas contra la información?

3. ¿Se les ha indicado cómo actuar en los lugares en donde se obtiene la mayor cantidad de información (salones de los hoteles en donde se dan las conferencias, autobuses que llevan a las funciones nocturnas, áreas de descanso, y las conversaciones en las salas de conferencias, antes y después de las exposiciones)?

4. ¿Forma usted parte del proceso de revisión antes de la publicación o una conferencia en la que los empleados van a presentar ponencias?

5. ¿Si es así, lo hace desde el punto de vista de otra compañía? ¿Se ha preguntado qué dice el documento a la competencia de lo que hace su compañía y qué revela cuando se compara con los trabajos que otros en su compañía van a presentar en la misma reunión?

6. ¿Conoce lo suficiente sobre los métodos de recolección de inteligencia de sus competidores, para preparar adecuadamente a sus empleados para el viaje?

7. ¿Dispone de un proceso establecido que indica a los empleados a quién llamar y qué informar cuando suceden hechos específicos?

8. ¿Alguna vez ha acompañado a cualquiera de sus equipos de productos, grupos de investigación u otros, a cualquier tipo de reunión profesional para así poder comprender el ambiente en el cual trabajan?

9. ¿Conocen sus empleados las clases de enfoques que se emplean para reunir información y en qué lugares se pueden usar?

10. ¿Se les ha enseñado a sus empleados a reconocer las técnicas que son usadas por los que reúnen información, y se les ha proporcionado las técnicas defensivas apropiadas?


 
 Respond to this message   


Forum Owner
PROTECCION DE PRODUCTOS EN EL MUNDOApril 27 2004, 3:11 PM 

PROTECCION DE PRODUCTOS EN EL MUNDO

Por: Jeffrey A. Williams, CPP

Si bien la mayoría de directores de seguridad corporativa pueden proteger eficazmente el producto en sus propias instalaciones de fabricación o de almacenaje, ellos ejercen mucho menor control en los lugares ubicados en el extranjero o bajo contrato y cuando el producto viaja desde los centros de producción hasta el cliente. Para desarrollar un eficaz programa de seguridad del producto, tanto durante la producción como durante el tránsito, el profesional de seguridad debe comprender la amenaza y las técnicas fundamentales usadas por los ladrones, las debilidades inherentes a ciertas estrategias de fabricación o de embarque y las herramientas y soluciones que pueden mitigar el riesgo.

A medida que más compañíías fabrican, distribuyen y venden productos en todo el mundo, se ha hecho cada vez más difícil proteger las existencias en la planta y en tránsito. Las fronteras internacionales esconden a expertos ladrones que han creado un nivel inestable de riesgo que hace sólo unos pocos años era difícilmente imaginable.

En el mundo de los negocios de hoy, por ejemplo, los procesos de fabricación son contratados completa o parcialmente a compañías en todo el mundo, muchas de las cuales no poseen controles adecuados en el sitio de trabajo. Del mismo modo, cuando los fabricantes transportan el producto a través de fronteras internacionales, deben confiar el embarque a diversos contratistas , volviendo estos recursos vulnerables al hurto a lo largo de la ruta de tránsito, lo que hace más difícil determinar donde ocurrió un delito. Para combatir estas amenazas, el personal de seguridad debe aplicar estrictas medidas de seguridad en la planta y durante el desplazamiento.

EN LA PLANTA

Cada planta debe por supuesto tener seguridad física básica y controles de acceso. Pero los gerentes de seguridad también necesitan desarrollar políticas y procedimientos especiales destacando las amenazas más comunes contra la rentabilidad industrial: el robo, el desvío del producto y la falsificación.

Robo. El robo de recursos de las instalaciones industriales es a menudo el trabajo de una persona perteneciente a la organización, que trabaja con vendedores u otros empleados. Recientemente por ejemplo, unos empleados deshonestos de un productor taiwanés de microchips, fueron sobornados para que reuniesen los microprocesadores que habían sido rechazados durante las pruebas y los enviasen a delincuentes fuera de la planta. Luego los procesadores fueron marcados falsamente como si hubiesen sido certificados y vendidos a confiados vendedores de PC y a otras personas. Los microchips rechazados no sólo recortaron las ventas del producto legítimo, sino que también empañaron la reputación del fabricante, cuando los consumidores descubrieron que sus componentes eran defectuosos.

Los problemas no se detenían allí. Otros empleados estaban sacando de la planta microprocesadores operativos de contrabando y los vendían a los distribuidores, aumentando más aœn las pérdidas de la compañía. Debido a que carecía de controles de inventario y no efectuaba ninguna auditoría del proceso de elaboración, el fabricante ignoraba la magnitud de los robos de procesadores defectuosos y legítimos, hasta que la gerencia fue alertada por un empleado que se había enterado sobre esta actividad.

Soluciones. Deben ejecutarse controles de existencias para verificar el producto durante todo el ciclo de producción y embarque. Deben enviarse auditores internos a las áreas de producción para inventariar todos los productos y materiales mientras son preparados para ser embarcados o cuando son registrados como una entrega. Los auditores también deben registrar el movimiento del producto dentro de la instalación, como cuando el producto es llevado de un área de retención a otra de almacenamiento.

Los agentes de seguridad deben ser entrenados para que reconozcan la diferencia entre los productos buenos y los rechazados y deben efectuar inspecciones del producto y materiales que están siendo embarcados o recepcionados en las instalaciones. Durante estas verificaciones, los agentes deben comparar al azar el inventario de algunas cajas contra las facturas del contenido.

También deben inspeccionarse periódicamente los depósitos de basura, que a menudo se usan para esconder productos que después serán robados. Para asegurar que los agentes están cumpliendo sus tareas, los supervisores de seguridad deben probar periódicamente los procedimientos de seguridad. Por ejemplo, el gerente de seguridad puede preparar una caja de prueba (dirigida a un cliente que no existe), que contiene productos perdidos, para determinar si los agentes descubrirían la pérdida. (La caja sería interceptada por el supervisor de seguridad antes de que deje la instalación).

Los materiales usados en la producción de artículos de alto valor no deben ser dejados en almacenes convencionales ni sobre el piso de la planta, sino dentro de envases de almacenamiento seguros, con estrechos controles de acceso. Cuando se necesiten los materiales, se les exigirá a los gerentes de producción que firmen por una cantidad específica del material, el cual luego se les entregará bajo la observación de un agente de seguridad.

Estas medidas ayudaron a un fabricante norteamericano multinacional de computadoras, cuando se dio cuenta que estaba perdiendo microprocesadores (chips) de RAM de computadora en una de sus plantas de ensamblaje en Alemania. Bajo los nuevos procedimientos de seguridad, los chips se guardan en un estante de almacenamiento seguro, al cual sólo tiene acceso el personal de seguridad de mayor nivel. Cuando se necesitan chips adicionales para el ensamblaje, un gerente de producción debe firmar por una cantidad cuidadosamente inventariada y debe demostrar con documentos, que cada chip es usado en la producción. Los estrictos controles de inventario han reducido el robo de chips casi a cero.

Al emplear una empresa de seguridad contratada, el fabricante debe pedir que el personal de la fuerza de seguridad sea rotado por lo menos una vez cada 12 meses. Esto rompe cualquier relación que pudiera desarrollarse entre los empleados de la compañía y los agentes de seguridad, la que podría llevar a la corrupción. Cuando los agentes salen por rotación o porque dejan sus trabajos, un gerente senior ajeno al departamento de seguridad debe efectuar una "entrevista de salidaÓ, en la cual se les debe preguntar a los agentes acerca de sus impresiones del trabajo de seguridad, incluyendo las debilidades potenciales, fortalezas y mejoras que puedan sugerir.

Muchos empleados se sienten más cómodos hablando de estos problemas cuando están dejando una compañía.

Incluso si una compañía contrata el proceso de fabricación a una empresa extranjera, debe solicitar que sus plantas apliquen las medidas de seguridad mencionadas. Para asegurar su cumplimiento, a la empresa fabricante se le debe exigir que reciba auditorías de sorpresa o permitir que la compañía asigne uno de sus gerentes de seguridad para que observe la planta. En el œltimo caso, el gerente de seguridad debe ser cambiado cada seis a doce meses.

La disposición interna de la instalación puede desempeñar un papel importante para reducir el robo cometido por los empleados. Por ejemplo, el área de fabricación no debe estar cercana a los cuartos donde los empleados se cambian de ropa, en donde se pueden esconder productos robados. Si los cuartos de cambio de ropa son ubicados lejos del área de fabricación, los empleados se verán forzados a llevar los artículos robados a una mayor distancia, aumentando así las oportunidades de ser descubierto.

También es importante tener áreas separadas para el embarque y la recepción, porque la mezcla de materiales que llegan y productos que salen, crea confusión y oportunidad para el robo. Seguridad debe limitar los privilegios de acceso de los contratistas, como personal de entrega, obreros de reparación y conserjes, hacia las áreas de trabajo y almacenamiento.

La tecnología se puede usar para verificar el flujo de materiales. Por ejemplo, muchas compañías usan programas informáticos para analizar las proporciones y patrones del material rechazado, para determinar si existen problemas de fabricación. Esta información, usada principalmente con fines de control de calidad y evaluación de productividad, generalmente no es compartida con el personal de seguridad e investigadores. Sin embargo, si el gerente de seguridad pudiese revisar este datos, podría
descubrirse un patrón de robos.

Desvío. Uno de los problemas más grandes para las compañías que venden internacionalmente, es el desvío del producto: consiste en intencional o accidental mente desviar el producto a destinos no previstos, donde luego el producto es vendido sin la autorización del fabricante. Este es típicamente un truco para evitar restricciones regionales de importación o impuestos que aumentan el precio de la mercancía legítima. También puede ser una manera de comprar bienes a bajo precio, porque los fabricantes a veces harán descuentos a los bienes para irrumpir en un nuevo mercado.

Entre los productos que normalmente son los más desviados a Europa están los pantalones vaqueros, anteojos para sol, ropa deportiva y cigarrillos, mientras que la ropa costosa, cosméticos, perfumes y electrónicos son desviados a Asia. Debido a que estos productos desviados generalmente se venden por debajo del precio del mercado, socavan la venta del producto legítimo.

Segœn cálculos del FBI (oficina federal de investigaciones), aproximadamente 80 por ciento de toda la mercancía robada o desviada reingresa a los cauces del comercio legítimo al menudeo. En muchos casos, los bienes desviados y los legítimos se venden lado a lado en los anaqueles de la tienda y a menudo los minoristas ignoran que han comprado bienes de dudosa procedencia.

El desvío puede tomar muchas formas. Una implica el desvío de excedentes de producción. Este esquema es comœn en China y Tailandia dónde faltan controles. En el caso de un contratista fabricante de ropa en Hong Kong, por ejemplo, el superintendente de la planta estaba operando un segundo turno, desconocido para la empresa que había contratado esta unidad de producción para armar una cantidad específica de pantalones por día. Después de que el primer cambio se retiraba, otro grupo de obreros entraba secretamente a la planta.

Ellos producían aproximadamente 10,000 unidades adicionales por mes. Este era un producto legítimo en el sentido que la ropa tenía todas las características físicas del producto verdadero, pero eran vendidos a través de canales ilícitos. Esta práctica afectó la rentabilidad y la participación de la compañía en el mercado.

Otro tipo de desvío es el envío equivocado del producto que ha sido marcado para ser destruido. Por ejemplo, el productor taiwanés de semiconductores (chips) mencionado anteriormente, también fue víctima del desvío. En este caso, la compañía había contratado una empresa externa para reunir chips desechados directamente dentro de la fábrica y luego acarrear el material a otro lugar para su destrucción. El problema fue que los chips realmente no fueron destruidos. En lugar de ello, fueron vendidos.

Soluciones. El problema en la planta de semi-conductores se podría haber prevenido si el fabricante hubiese destruido los chips defectuosos en el mismo sitio, bajo condiciones estrechamente controladas.

Incluso cuando se contrate una empresa externa para destruir productos obsoletos, el fabricante debe insistir que el proceso sea efectuado en su local, antes de que el material sea acarreado al exterior.

Esto es especialmente importante cuando los artículos programados para destrucción todavía pueden ser utilizables. Por ejemplo, algunas compañías detendrán la fabricación de un componente electrónico cuando una nueva tecnología sea desarrollada. Estos componentes viejos pueden contener tecnología antigua que está siendo dejada de lado, pero todavía están en condiciones operativas y podrían ser usados por falsificadores o por los que desvían el producto, para dañar la participación en el mercado que tiene el fabricante.

Cuando los productos están programados para ser destruidos, los auditores internos deben contabilizar todos los artículos que están siendo demolidos y observar mientras se mueven a través del proceso de destrucción. Un segundo auditor, normalmente un supervisor, debe luego inspeccionar el producto para asegurarse que en efecto ha sido destruido completamente, antes de sacarlos al exterior.

Al igual que con el robo, la mejor protección contra el desvío es una sucesión de verificaciones y auditorías a lo largo del proceso de fabricación y distribución. Antes de contratar a una compañía para que destruya productos que han sido rechazados o para fabricar ropa, el gerente de seguridad debe conducir una investigación exhaustiva utilizando lo que se conoce como "diligencia debida". Debe cubrir la historia comercial de la firma contratista y a sus dueños y funcionarios. La verificación de antecedentes debe incluir un análisis financiero de la compañía y de sus socios principales. El gerente de seguridad debe hacer una investigacion que cubra las areas civiles, delictivas, de bancarrota y verificar referencias.

Las verificaciones de antecedentes no siempre son fáciles en los países extranjeros. El gerente de seguridad debe empezar con el departamento de comercio o industria del país o la comisión nacional de valores y bolsa. En Asia también existen empresas investigadoras que tienen archivos de compañías en la región, que incluyen información detallada sobre conducta delictiva pasada.

Para prevenir excedentes intencionales de producción, la compañía principal debe asignar un representante en la firma contratada para que supervise y documente todas las jornadas de producción. El gerente de seguridad debe rotar este puesto en forma regular para asegurarse que el individuo no está siendo sobornado o se haga de la vista larga. Otra opción es contratar una compañía investigadora de la propiedad intelectual, para que efectœe operaciones encubiertas en las instalaciones del contratista y determine si el producto está siendo fabricado en demasía. Los investigadores deben visitar la fábrica por la noche, los fines de semana y durante los feriados, para asegurarse que las máquinas no están trabajando.

Además, la compañía matriz puede trabajar estrechamente con la agencia de aduanas de un país, para determinar si los embarques de la compañía al extranjero son mayores a lo que se supone sean.

Falsificación. El desarrollo de productos falsos que son difíciles de distinguir de los reales, es un problema creciente que hace daño a los fabricantes de una amplia gama de productos, incluyendo ropa, maletines, joyería, relojes, vestimenta deportiva, jabón, programas informáticos, discos compactos, cosméticos, bebidas y productos farmacéuticos. En algunos casos, como con las medicinas y los repuestos para autos, la mercancía falsa puede ser peligrosa.

Las estrictas leyes en América del Norte y Europa han desanimado fuertemente a los falsificadores, pero América Central y del Sur, Asia, Rusia e India mantienen una robusta industria de productos descontinuados.

Un esquema comœn incluye a falsificadores expertos que invierten la ingeniería de un producto para determinar y duplicar el proceso de fabricación para crear una copia que es difícilmente distinguible del original.

Para empeorar las cosas, se ha sabido que fabricantes de impresoras y envases legítimos que están bajo contrato con los principales fabricantes, están deliberadamente produciendo excedentes de material de embalaje, los cuales son vendidos a los falsificadores para que los llenen con productos falsos.

Por ejemplo, en 1998 una compañía en Pakistán empezó a comprarle botellas plásticas desechadas a un importante fabricante de jabón. Se suponía que los recipientes iban a ser reciclados, pero en cambio encontraron la forma de hacerlas llegar a un mercado lleno de jabón falso. Fraudes similares han involucrado a auténticos envases de caramelos, cajas con programas informáticos y otros embalajes.
Solución. Seguridad tiene varias opciones. Primero, debe realizarse una investigación de los aspectos organizacionales, operativos, financieros y de competitividad de las firmas que se contratan para fabricar envases y cajas para el producto. Antes de que los envases desechados sean retirados para ser reciclados, cada paquete debe ser contabilizado y malogrado para evitar que se use nuevamente. En el caso del fabricante de jabón, las botellas plásticas debieron haber sido aplastadas y agujereadas.

En los envases se pueden colocar hologramas difíciles de duplicar, para ayudar a disuadir la falsificación. Los hologramas vienen en muchas formas, pero principalmente son etiquetas que se adhieren a un producto. Después se les pide a los minoristas que verifiquen que todo el producto tenga los hologramas antes de ponerlo en los estantes de venta.

Para un falsificador es difícil reproducir un holograma debido al grado alto de información confidencial que se usa en su fabricación. Sin embargo, los hologramas pueden ser robados por los empleados y ser vendidos a piratas para ser usados en los productos falsificados. Por consiguiente, el fabricante debe especificar que se haga sólo un cierto nœmero de hologramas; luego deben ser inventariados y guardados en una lugar segura.

Otra técnica usada por algunos fabricantes, es grabar una pequeña marca en la parte interior o inferior del producto. En algunos casos, las marcas son sólo visibles bajo luz UV (ultravioleta) o con un láser.

Estos métodos trabajan bien, pero los fabricantes de vez en cuando deben cambiar la ubicación y diseño de las marcas para desorientar a los falsificadores.

EN EL CAMINO

Uno de los desafíos de seguridad más difíciles es la protección de los componentes y productos durante su tránsito entre las plantas o países, en diversos puntos del proceso de fabricación, ensamblaje y distribución. La oportunidad para el robo se ve incrementada debido a la estructura descentralizada de la mayoría de los programas de seguridad de las compañías. Por lo general existe un gerente de seguridad diferente a cargo de cada instalación, país o región. Aunque cada uno le brinda estrecha atención a los asuntos dentro de su área de responsabilidad, a menudo la colaboración es limitada entre las regiones.

Por ejemplo, un gerente de seguridad en Europa es improbable que vuele a Asia o América Latina para ayudar a un colega a investigar una pérdida producida como resultado de fallas en alguna parte de la cadena de suministro entre los dos continentes. Los ladrones conocen y aprovechan estas interrupciones en la comunicación.

Si falta cooperación incluso entre profesionales de seguridad, Àcuán probable es que la seguridad sea una prioridad para gerentes que no trabajan en seguridad?

Por ejemplo, existe poco incentivo para que un gerente de logística aplique controles más estrechos. Los gerentes de logística y de transporte son frecuentemente evaluados (y compensados), sobre la base de la rapidez y eficacia con que pueden mover el producto entre fabricantes, distribuidores y minoristas. Aun cuando se descubra que existen bienes faltantes en la cadena de abastecimiento, la persona responsable de supervisar el movimiento generalmente no recibe amonestación o cuestionamientos, con tal de que los procedimientos elementales de seguridad de la compañía hayan sido seguidos.

Además, a veces las compañías se fijan en el costo de un contrato sin tener en cuenta los riesgos potenciales de un arreglo. Esta actitud puede ser costosa para una compañía. Un fabricante de disqueteras (disk drives) en Malasia, por ejemplo, animó al expedidor de la carga para que encontrase la ruta más barata posible para transportar los artículos a California. Para reducir los costos de transporte, la empresa envió las disqueteras destinadas para Los Angeles, a través de Australia. Mientras el embarque pasaba por las manos de varias compañías, incluso una aerolínea, desaparecieron dos plataformas que contenían producto por valor de U.S. $400,000 . Debido a que habían participado tantos manipuladores de la carga, y que la documentación no era conforme a lo largo de la cadena de suministro, no había manera de saber donde fue robada la carga. Para empeorar las cosas, las agencias que controlan el cumplimiento de la ley en Malasia, Australia y los Estados Unidos, se negaron a investigar porque no estaba claro dónde ocurrió el delito y qué agencia podría asumir la jurisdicción.

Soluciones. Como se hace con cualquier relación comercial, las compañías deben verificar las credenciales de los embarcadores. También es esencial comprobar que esas compañías efectœen verificaciones de los antecedentes delictivos y de las referencias de sus empleados.

Cuando se efectœen las verificaciones de antecedentes de las compañías de transporte, el investigador debe determinar si cada compañía transportadora está asegurada adecuadamente contra pérdidas que sean documentadas. Esta cobertura le permite al fabricante recibir el pago de la compañía aseguradora, en caso de que cualquier producto fuera robado o se perdiera durante el tránsito. A la compañía transportadora también se le debe solicitar que revele el nivel de deducibles y que demuestre cómo cubriría esos costos.

Además, deben examinarse sus procedimientos de control y auditoría, para asegurarse que los centros de distribución, donde el producto normalmente se guarda durante un tiempo breve, están apropiadamente asegurados. Se deben verificar los procedimientos de inventario para asegurar que la compañía transportadora registra todo el producto conforme llega y sale de la instalación. Seguridad también debe asegurarse que dichos centros tengan un sólido control de acceso, sistemas de vigilancia y agentes para patrullas.

Deben usarse jaulas de alta seguridad para producto de alto valor, como las computadoras. Deben estar instaladas alarmas audibles para alertar de cualquier intrusión a los agentes de seguridad de la instalación.

Incluso después de contratar a una compañía transportadora, es aconsejable verificar los centros de distribución periódicamente. Por ejemplo, algunos fabricantes contratan a investigadores para realizar estudios de seguridad trimestrales de los centros de distribución a lo largo de la red nacional de una compañía transportadora, para asegurarse que las medidas de seguridad y controles de inventario se llevan a cabo en forma consistente.

El gerente de seguridad de la compañía fabricante debe revisar otras medidas de seguridad usadas por la compañía de transporte. Por ejemplo, la compañía fabricante debe comprobar que el contratista de transporte emplee detectores de códigos de barras para poder rastrear el producto mientras se mueve a través del tránsito. Esta tecnología permite a la compañía verificar las condiciones de un embarque, mientras va del punto A al punto B y verificar que todas las cajas contenidas en el embarque están presentes y contabilizadas para cuando lleguen a su destino final.

Bajo estos sistemas, a las cajas se les coloca el código de barras y son examinadas cuando salen de la planta de fabricación. Después las cajas son examinadas en cada parada a lo largo del camino, incluyendo en la llegada y salida de todos los centros de distribución y en el destino final. El sistema registra la hora, día y la ubicación de un producto cuando se registra sus ingresos y salidas.

Seguridad debe verificar si la compañía transportadora usa sellos resistentes a la manipulación y cerraduras en los camiones de carga. Sin embargo, aun cuando los sellos pueden ser œtiles para disuadir el robo de las cargas, no lo son en una investigación a menos que se hayan llevado registros cuidadosos que le permitan al investigador localizar con precisión dónde o cuándo ocurrió una brecha. Por consiguiente, Seguridad también debe examinar los procedimientos del embarcador.

La compañía transportadora debe hacer que un supervisor coloque el sello después de que el camión ha sido cargado y el nœmero de seguridad del sello debe anotarse en un libro de registro. Luego, el nœmero de seguridad debe enviarse a un supervisor que esté en el destino final, por correo electrónico, facsímil, o teléfono. Cuando el embarque llega, el supervisor del destino final debe verificar y anotar el nœmero de seguridad del sello, el cual no habrá cambiado si es que el camión no ha sido abierto mientras transitaba.

Para los artículos de alto valor, Seguridad debe usar una compañía de transporte que provea de rastreo electrónico a todos los camiones en tránsito. Al usar un transmisor del Sistema de Posicionamiento Global (GPS) u otra tecnología similar, el personal de seguridad puede rastrear un camión, un contenedor de embarque o un paquete individual a lo largo de todo su viaje. Un programa informático en la estación central de control de la compañía transportadora puede alertar al personal de seguridad, cuando los productos o vehículos estén siendo desviados de su ruta prevista.

Si la compañía de transporte no proporciona este servicio, el gerente de seguridad puede pedirlo como una condición para hacer negocio. Por otro lado, la compañía fabricante puede comprar un dispositivo rastreador para su propio producto (a un costo de entre U.S. $500 y U.S. $1,500) y colocarlo directamente a su embarque. Luego tendría que contratar a una compañía de terceros especializada en seguimiento, para que rastree el producto en tránsito, normalmente a un costo de aproximadamente U.S. $30 por mes. En el œltimo caso, a la compañía transportadora se le debe indicar que el producto del fabricante será rastreado.

Los fabricantes también deben pensar en habilitar una línea telefónica especial (usualmente un nœmero de llamada gratuita), que pueda ser usada en caso de que un embarque se vea demorado durante el desplazamiento.

Por ejemplo, el conductor de un camión podría llamar a la línea especial para informar que su vehículo ha sufrido desperfectos. El embarcador puede después enviar agentes de seguridad al área para cuidar el producto, hasta que el camión sea reparado.

Adicionalmente, algunos establecimientos de comercio al por menor sólo aceptan embarques con previa cita. Si el conductor del camión llega demasiado tarde, el minorista no aceptará el embarque hasta que sea hecha una nueva cita. En el pasado, el despachador de la compañía transportadora sería notificado y se definiría una nueva cita, normalmente para el día siguiente. El camionero llevaría entonces el embarque a un área de descanso para pasar la noche, en dónde sería vulnerable al robo. Con una línea telefónica especial puede informarse directamente al fabricante, quien puede hacer los arreglos para que el embarque tenga seguridad en el área de descanso.

Los fabricantes también deben considerar la nueva tecnología para sellar cajas, como la cinta resistente a la manipulación. Por ejemplo, la cinta normal para embalar puede ser sacada o cortada por ladrones y luego reemplazada, dejando poca evidencia de se manipuló indebidamente la caja; las cajas que han sido robadas no podrían descubrirse hasta que lleguen a su destino final y sean abiertas. La cinta resistente a la manipulación, que es sólo un poco más cara que la cinta de embalaje regular, cuando ha sido cortada por ladrones cambiará de colores o mostrará palabras como "Abierto". (Esto se hace a través de químicos contenidos en la cinta que reaccionan ante cualquier rotura en ella). Con este producto, los conductores de camión, agentes de seguridad y otros trabajadores de los centros de distribución pueden ser rápidamente alertados de que ha ocurrido un delito, dándole una mejor oportunidad a los investigadores para encontrar evidencia para resolver el delito.

Los fabricantes también necesitan ejecutar controles y procedimientos internos de seguimiento. Los documentos sensibles deben ser protegidos y sólo el personal que es responsable de registrar la salida de embarques y la recepción de entregas debe tener acceso a las facturas, manifiestos, cartas de embarque y comprobantes de entrega. Cuando las facturas y otros documentos están viajando con el embarque, deben estar asegurados dentro de un bolsillo o sobre resistente a violaciones, que sólo es abierto cuando el embarque llega a su destino final. Este procedimiento ayuda a evitar que los conductores de camión y otros empleados cambien los formatos para esconder un robo; también previene que los conductores y empleados puedan determinar el tipo y valor de las mercancías contenidas en el embarque.

El fabricante debe restringir el acceso a las facturas y documentos que estén en blanco, los cuales podrían ser robados y falsificados para esconder un delito.

Del mismo modo, es importante usar procedimientos seguros de acceso inicial, así como protección contra el ingreso a ciertos archivos, para evitar el acceso no autorizado a inventarios y registros de embarque computarizados.

Cuando los robos ocurren, debe conducirse una investigación completa.Por ejemplo, Whirlpool descubrió el año pasado que sus máquinas lavadoras, refrigeradoras y componentes estaban desapareciendo al ser transportadas en camión, desde sus plantas en México hacia los comerciantes minoristas americanos.

Un investigador siguió un embarque cualquiera en su automóvil y encontró que uno de los camiones conteniendo aparatos salió del camino cerca de Laredo, Texas, al parecer a un punto de caída bastante usado. Los ladrones sacaron cuidadosamente las bisagras de las puertas del remolque para no afectar los sellos de la puerta, descargaron los aparatos y después reemplazaron las puertas para esconder el delito.

Después de entrevistar al conductor, los investigadores confirmaron que había sido sobornado para ayudar varias veces a los ladrones, saliendo fuera del camino y permitiendo el acceso a su camión.

Cuando se dio esta información, la Policía Estatal de Laredo pudo rastrear a los ladrones y quebrar una bien organizada operación que se estima que ha sido responsable por más de 1.5 millones de dollares en mercancía perdida.

Una manera de detener este tipo de crimen es que Seguridad ejecute periódicas investigaciones al azar de los camiones en tránsito. Bajo este sistema, un investigador seguiría un camión al salir del área de fabricación, asegurando que sigue la ruta previamente designada. El investigador también notaría si el conductor sigue los procedimientos de seguridad apropiados durante el tránsito, como cerrar con llave el camión al detenerse en las áreas de descanso.

Otra estrategia que está ganando el favor de los gigantes de los productos de consumo como Panasonic, es enviar los productos en cajas simples, sin etiquetas que tengan la marca de fábrica. (Las cajas interiores que contienen el producto destinado a los estantes de las tiendas conservan los logotipos y la descripción del contenido). Intel y Dell pudieron reducir sus pérdidas de embarque en casi 80 por ciento al usar "la envoltura simple" en sus embarques y embalando estrechamente plataformas enteras de producto.

Las compañías trabajan duro para desarrollar productos valiosos y forjar el reconocimiento a los nombres de las marcas, que aumentará la lealtad del cliente y las ganancias. Los gerentes están aprendiendo que deben igualmente trabajar duro para evitar que esos recursos sean robados o falsificados, para que el buen nombre de la compañía no sea empañado y las ganancias pierdan su brillo.

Jeffrey A. Williams, CPP, es vicepresidente de Pinkerton Asia Ltd. y supervisa las actividades de desarrollo comercial y de servicio al cliente a lo largo de Asia y Australia. El radica en Sydney. Antes de llegar a Pinkerton en 1992, Williams cumplió una carrera de 23 años en el Departamento de Defensa de los EEUU como agente especial en la Oficina de Investigaciones Especiales de la Fuerza Aérea. Su œltima asignación fue como oficial de contrainteligencia y seguridad del segundo comandante en jefe, Comando de Transportes de los EEUU.


 
 Respond to this message   


Forum Owner
CÓMO ASEGURARON LOS INVESTIGADORES LAS EXISTENCIASApril 27 2004, 3:12 PM 

CÓMO ASEGURARON LOS INVESTIGADORES LAS EXISTENCIAS

por Craig T. Frank, CPP

http://www.securitymanagement.com/

El tráiler entregado por la compañía distribuidora-–un gran centro de distribución de varios locales con sede en Nueva Jersey--estaba lleno de un surtido de alimentos perecederos y no perecederos, productos de tabaco, productos de belleza y de atención de salud, y mercancía en general. Como muchas de las entregas de la compañía, que se programan 24 horas al día, seis días a la semana, el tráiler había sido dejado durante la noche; el conductor simplemente había dejado el tráiler cargado allí y vuelto al centro de distribución. El personal de recepción de la tienda descargaría los artículos cuando llegasen por la mañana. El siguiente conductor que dejase un tráiler cargado en la tienda llevaría el vacío de regreso al centro de distribución.

Para proteger la mercancía luego de que se había dejado el tráiler, las puertas del tráiler fueron aseguradas con sellos con cerradura de varilla. La única manera de quitar la cerradura era utilizar un cortador de pernos de 36 pulgadas, el cual poseían todas las tiendas. Miles de entregas se habían realizado de esta manera por años sin incidentes. Esa situación iba a terminar en las primeras horas de una mañana de enero a finales de los años 90, con el primero de una serie de robos y escalos de tráileres.

Al comienzo, se pensó que alguien que pertenecía a la organización estaba cometiendo los delitos, como es el caso frecuente en los robos de carga. Pero la evidencia llevaba a otro lugar. Al final, lo que ayudó a resolver el caso fue la combinación de unos cuantos golpes de suerte, personal con inteligencia práctica, un fuerte trabajo detectivesco y un fiscal colaborador. La experiencia ofrece lecciones para cualquier empresa. /p>

Respecto a los delitos. Alrededor de las 8:10 a.m. de ese día de enero, el gerente de una de las tiendas que recibía las entregas llamó al autor para informar que su tráiler de entregas, que había sido dejado a la 1:00 a.m., había sido forzado cierto tiempo después de haber llegado. El sello con cerradura de varilla había sido cortado y había desaparecido más de $4,000 en cigarrillos y otra mercancía. Una investigación preliminar dio como resultado una lista de posibles sospechosos que incluía a unos socios empleados en la tienda, empleados recientemente cancelados, y el mismo conductor del tráiler de entregas.

Doce días después, mientras este incidente todavía estaba bajo investigación, el autor-–en ese tiempo director de seguridad de la compañía distribuidora-–recibió una llamada similar de otra tienda, a primeras horas de la mañana, informando que habían forzado su tráiler de entregas entre la hora en que había sido dejado en la tienda (aproximadamente a las 11:30 p.m. la noche anterior) y la hora en que se inició la descarga (alrededor de las 6:30 a.m. de ese día).

Nuevamente los cigarrillos habían desaparecido, así como una variedad de otros artículos considerados fáciles de vender a compradores de materiales robados, como fórmula para bebes, pañales y café. Este caso involucraba a un conductor distinto al del primer caso, pero ambos robos seguían el mismo patrón.

Nueve días después se reportó otro hurto nocturno de un tráiler. Una vez más robaron cigarrillos y otras mercaderías por valor de varios miles de dólares y una vez más, un conductor diferente hizo la entrega.

Los robos de tráileres continuaron por más de cinco meses. A veces pasaban dos semanas sin un incidente; otras veces sucedían dos robos en la misma semana. Las pérdidas de mercadería al por mayor variaban de $3,000 a $6,000 por incidente. Además de la pérdida en dinero estaba el costo agregado de las nuevas entregas y los problemas operativos.

Ideas preliminares.

El departamento de prevención de pérdidas de la compañía distribuidora documentó en detalle cada incidente y buscó cuidadosamente patrones o denominadores comunes que pudieran proporcionar pistas sobre los responsables de los robos o en dónde darían su siguiente golpe los ladrones. Pero el análisis de los incidentes no reveló nada de utilidad. Por ejemplo, sólo en unos cuantos de los robos entregó el conductor más de uno de los traileres forzados. A menos que hubiese una súbita conspiración que implicase a muchos conductores, parecía improbable que los conductores estuviesen involucrados en estos robos.

Además, geográficamente no existía ningún patrón. Un incidente en el norte de Nueva Jersey era seguido por un incidente en el sur de Nueva Jersey, luego otra vez en la parte norte del estado, después en Nueva York, luego en el centro de Nueva Jersey, y así sucesivamente. Y con 205 tiendas recibiendo tráileres, muchos de los cuales eran entregados de noche, efectuar una vigilancia sobre todos ellos, o siquiera sobre una porcentaje significativo, no era factible.

Para frustrar intentos adicionales de escalo, el departamento de prevención de pérdidas consideró una variedad de medidas, incluyendo instalar alarmas en los tráileres. Sin embargo, esta opción requeriría colocar alarmas en casi 400 tráileres. La idea fue descartada como una posible medida preventiva porque el costo era prohibitivo y no había seguridad de que una alarma audible originaría que los ladrones abortasen un robo.

La opción de instalar seguros especiales también fue rechazada por ser demasiado costosa. Igualmente, la eliminación de las entregas nocturnas no era una opción ya que crearía una pesadilla logística: la capacidad de funcionamiento del centro de distribución dependía de que un gran porcentaje de las entregas se realizase por la noche. Además, un turno entero que involucraba a docenas de camioneros del sindicato Teamsters no se podría trasladar a los turnos de día y tarde.

Otro problema era la atención de la policía. Los robos ocurrían en varios pueblos por toda Nueva Jersey y Nueva York, rara vez en la misma jurisdicción más de una vez. El centro de distribución podría haber estado experimentando una ola de delitos, pero la policía de las municipalidades individuales veía cada incidente como un hecho ocurrido una o máximo dos veces, así que pocos recursos y tiempo de la policía fueron dedicados a los ingresos forzados.

Aunque estaba claro para el departamento de prevención de pérdidas que se necesitaba atrapar a los ladrones, el personal también se dio cuenta que básicamente dependían de ellos mismos para que esto sucediera. El obstáculo más grande en su camino era la incapacidad de predecir dónde-–entre las 205 tiendas que recibían entregas del centro de distribución-–golpearían los ladrones la próxima vez.

Pista crítica.

Para suerte del centro de distribución, el siguiente hurto proporcionó una valiosa pista para predecir las acciones de los ladrones. En ese caso, el tráiler en cuestión había sido dejado a las 6:55 a.m., y el personal de la tienda descubrió el robo a las 7:30 a.m., dando a los investigadores el período de tiempo más estrecho de todos los robos hasta esa fecha; el escalo, evidentemente, había ocurrido poco después de que el tráiler fuera dejado.

Esta información era importante puesto que el departamento de prevención de pérdidas había teorizado previamente que los ladrones sabían cual era la noche en que cada tienda estaba programada para recibir una entrega y entonces simplemente esperaban la llegada del tráiler a la tienda. Pero en este último incidente, la ubicación de la tienda en un área altamente residencial hacía improbable que los ladrones hubiesen esperado en o cerca de la tienda toda la noche para forzar su ingreso al tráiler poco después de su llegada.

Esta información adicional produjo una nueva teoría. El personal de prevención de pérdidas sospechaba ahora que los ladrones estuviesen siguiendo los tráileres desde que salían del centro de distribución. Dicha situación podría explicar lo aleatorio de los incidentes, ya que ni siquiera los ladrones sabrían a dónde iban hasta que el tráiler llegase a su destino.

Luego, los ladrones podrían decidir, basándose en los alrededores, si forzar el trailer o regresar al centro de distribución y esperar la partida de otro trailer.

Quizás en el último incidente los ladrones se habian sentido incómodos con el destino del tráiler que habían seguido más temprano esa noche y habían regresado al centro de distribución para seguir a otro tráiler, lo cual explicaría por qué el robo no ocurrió hasta después de las 6:55 a.m. Además, la ubicación del centro de distribución era tal que alguien podía sentarse brevemente en un vehículo estacionado cerca sin atraer mucha atención.

Vigilando a los sospechosos. Trabajando con la nueva teoría de la selección de sus blancos por los ladrones, el departamento de prevención de pérdidas empezó a efectuar vigilancia nocturna del camino donde estaba ubicado el centro de distribución, así como de las calles y propiedades adyacentes. El personal sabía que estaban buscando un camión furgón o una furgoneta porque el vehículo utilizado en los robos previos tenía que ser lo suficientemente grande para poder llevarse cantidades considerables de mercancía.

Además, sospechaban que sería un vehículo alquilado, así que el personal estaba en busca de un camión Ryder o U-Haul.

Pronto aparecieron los resultados de los esfuerzos de vigilancia. Alrededor de las 2:05 a.m. de la cuarta noche de vigilancia, el supervisor de prevención de pérdidas, Paul, divisó dos hombres sentados en un camión furgón Ryder aproximadamente a 140 m. del centro de distribución. Llamó al autor y un empleado de prevención de pérdidas, Jim, para ayuda.

Cuando el siguiente camión tráiler salió del centro de distribución, los hombres en el camión furgón salieron de donde estaban estacionados y empezaron a seguir al tráiler. Para no dejar que el camión desapareciera, Paul lo siguió. Telefoneó al oficial de seguridad en la garita para averiguar el destino del tráiler y le comunicó esta información al autor. Ochenta y cinco kilómetros después, el tráiler llegó a su destino, una tienda en el norte de Nueva Jersey. Sin ser descubierto, Paul había seguido el camión furgón a lo largo del viaje.

Tan pronto como el tráiler fue dejado en la tienda y el conductor había partido, los hombres en el camión furgón se detuvieron detrás de la tienda. Paul observó mientras uno de los hombres cortó el sello con cerradura de varilla en la puesta trasera del trailer y subió al tráiler. El segundo hombre se quedó afuera como vigía. Paul entonces detuvo su vehículo detrás de la tienda. Su rápida aproximación hizo que el hombre que estaba de vigía escapase corriendo y Paul cerró la puerta posterior del tráiler y la aseguró, atrapando en su interior al otro ladrón.

Aproximadamente en ese momento llegaron el autor y Jim a la escena.

A continuación, Paul le hizo señas a un carro patrulla de la policía y le informó al oficial de los eventos ocurridos hasta ese momento, incluyendo la condición del ladrón dentro del trailer. Luego, el oficial pidió apoyo por radio. Llegaron dos oficiales más y el individuo dentro del trailer fue sacado y esposado.

En el cuartel general de la policía, el ladrón, a quien llamaremos Chris, no llevaba ninguna identificación y no cooperaba. Negó tener algún conocimiento de los robos previos.

Fue entonces que se le dijo a Chris que la evidencia dentro del camión Ryder lo vinculaba a uno de los anteriores robos de tráiler: una caja de mercancía etiquetada con el nombre de la tienda donde había ocurrido el robo anterior se encontró debajo del asiento del conductor. Al ser enfrontado con esta evidencia, el sospechoso decidió cooperar completamente. Le dijo a la policía que él era uno de los cuatro hombres que habían estado ingresando a la fuerza a los tráileres del centro de distribución, así como a tráileres de otras compañías, incluyendo almacenes grandes.

El sospechoso procedió a explicar que los ladrones trabajaban en equipos de dos o tres hombres y dio los nombres de los otros miembros de su equipo. También proporcionó el nombre y la ubicación del lugar donde se compraban los bienes robados, en donde él y los demás miembros del equipo vendían la mercancía que robaban.

Debido a que Chris tenía siete órdenes judiciales activos en cinco condados distintos de Nueva Jersey, estaba dispuesto a hacer cualquier cosa para cooperar con la investigación. Accedió a ayudar a organizar una operación para detener a los otros miembros del equipo y del lugar donde vendían los bienes robados.

Hizo esto esperando recibir un poco de indulgencia, aunque la policía no prometió nada.

La operación.

Como el lugar de comercialización de bienes robados estaba en otra municipalidad, se inició contacto con la oficina del fiscal del condado para conseguir su ayuda. Chris proporcionó información detallada sobre cómo trabajaban él y su equipo y cómo decidían qué camiones-tráileres seguir y qué sitios evitar. Usando esta información, los miembros del departamento de prevención de pérdidas y de la oficina del fiscal desarrollaron un plan detallado. Con Chris trabajando como el “hombre dentro de la organización”, virtualmente todos los aspectos de la estrategia fueron considerados controlables.

Menos de una semana después de que Chris fuera aprehendido, el plan fue activado. Chris, ahora liberado bajo fianza y cooperando completamente, llegó al centro de distribución a la 1:00 a.m. con dos miembros de su equipo. Estacionaron su camión alquilado en el lugar habitual y esperaron la partida de un tráiler. Debido a que los otros miembros del equipo no sabían que su compañero había sido capturado en el último hurto, no tenían motivo para pensar que las actividades de esa noche no eran sino otro trabajo de escalo.

El departamento de prevención de pérdidas había arreglado para que se alterase el horario de remesas de esa noche, de tal forma que el único tráiler por salir después de la 1:00 a.m. sería el que estaba destinado a ser el cebo. Chris aseguraría, como parte de su papel en la operación, que él y su equipo siguiesen ese tráiler en particular.

Los miembros del departamento de prevención de pérdidas y de la oficina del fiscal esperaron la llegada del tráiler cebo en el destino previamente acordado, una tienda elegida para la operación debido a que era particularmente adecuada para la vigilancia. El grupo observaba mientras el conductor dejó el tráiler detrás de la tienda y partió.

Minutos después, Chris y su equipo estacionaron el camión alquilado detrás de la tienda y procedieron a forzar el tráiler. En esta fase el grupo de vigilancia no hacía otra cosa que observar y grabar videos de los criminales.

Cuando se terminó el robo, se permitió a Chris y a los otros ladrones partir con la mercancía robada para llevarla al lugar donde la vendían. Los miembros del departamento de prevención de pérdidas y de la oficina del fiscal seguían a una distancia segura: Chris había proporcionado el nombre y la dirección exacta del lugar de venta de bienes robados (un pequeño centro de distribución de licor, tabaco y mercancía en general).

Cuando Chris y su equipo llegaron al lugar, comenzaron inmediatamente a llevar la mercancía robada al edificio. Una vez más, los miembros del departamento de prevención de pérdidas y de la oficina del fiscal permanecían estacionados disimuladamente en las cercanías, filmando la actividad. Poco después de que todo la mercancía robada había sido llevada al edificio, Chris salió e hizo la señal previamente acordada para indicar que la transacción se había completado.

Inmediatamente, los miembros del departamento de prevención de pérdidas y de la oficina del fiscal convergieron en el edificio, con estos arrestando a los participantes, incluyendo a Chris. Uno de los miembros del equipo subió al camión Ryder en un intento por escapar, pero fue sacado de él y aprehendido por Jim.

Descubridores, dueños.

Tan pronto como se emitió la orden de registro, el personal de prevención de pérdidas examinó las existencias almacenadas en el edificio de venta de artículos robados y al hacer esto recuperaron miles de dólares en bienes que podían ser identificados como pertenecientes a la compañía de distribución. Además, la oficina del fiscal llevó un perro detector de drogas, y se encontraron cantidades considerables de cocaína así como dos armas no registradas (y una placa donde se leía “Apoye a su policía local”). El proceso de identificar y recuperar todos los bienes robados tomó horas. Se usó el mismo camión alquilado implicado en el delito para trasladar la mercancía recuperada a la oficina del fiscal, donde fue fotografiada y rotulada como evidencia.

El propietario del pequeño centro de distribución que servía como depósito de bienes robados fue posteriormente declarado culpable. Además, perdió su licencia expedida por el estado para manejar productos de alcohol y tabaco, lo cual esencialmente lo puso fuera del negocio. Igualmente, dos miembros del equipo fueron declarados culpables de cargos de robo agravado, y cada uno fue sentenciado a cinco años.

Chris, aunque no fue acusado en este caso, aún tenía que presentarse en cinco condados diferentes para responder a los cargos. Aunque cada juez consideró la cooperación y ayuda que proporcionó Chris en este caso, sin embargo recibió una sentencia de cinco años en cada condado, para cumplir simultáneamente.

Epílogo positivo.

Pero la historia no terminó con la condena de los ladrones. A unos 18 meses de su sentencia en la cárcel, Chris fue considerado apto para el Programa de Libertad Condicional Intensamente Supervisada (ISP, por sus siglas en inglés) en Nueva Jersey. Aunque contaba con un largo historial de antecedentes criminales, todos sus delitos eran de una naturaleza no violenta. Eso, junto con su papel al ayudar a acabar con los robos del equipo, lo hizo apto para el programa.

El autor se presentó a favor de Chris en su audiencia de libertad condicional y estuvo de acuerdo en conseguirle un trabajo en la compañía de distribución, para cumplir con el requisito de empleo del Programa ISP. El autor tomó en consideración los riesgos que esto implicaba, pero también recordó como Chris había jugado un papel decisivo para el resultado del caso de los robos de carga y pudo ver el potencial de tener tal persona en forma encubierta en la compañía.

Además, el puesto no era un trabajo sindicalizado, así que su despido sería relativamente fácil si llegase a ser necesario.

La decisión dio buenos resultados. La capacidad de Chris para enterarse del robo y otra actividad contraproducente en la compañía donde ahora trabajaba era asombrosa y de gran utilidad para la gerencia. En la primera semana de su trabajo, Chris proporcionó información que llevó a la aprehensión y despido de un empleado que estaba vendiendo cocaína en la propiedad de la compañía.

Durante los siguientes tres años, Chris proporcionó inteligencia valiosa que tuvo como resultado que el departamento de prevención de pérdidas detuviera y despidiera a varios empleados y vendedores por una variedad de robos. También jugó un papel decisivo en una investigación que terminó con una banda de jugadores dirigida por un supervisor de división y en otra investigación que acabó con un plan de soborno en un departamento de recepción.

En otras oportunidades, Chris simplemente proporcionaba la inteligencia que necesitaba el departamento de prevención de pérdidas, sin involucrarse personalmente en la actividad que estaba siendo investigada. En otras ocasiones, era necesario que Chris participase en la actividad para poder proporcionar los detalles necesarios para que la investigación concluyese de manera exitosa. En dichos casos, era necesario mucho cuidado y planeamiento para aislar a Chris cuando se realizaban las capturas, para no revelar su papel en la investigación.

Por ejemplo, en la investigación del soborno en el departamento de recepción, Chris realmente tuvo que participar de forma breve en la actividad ilegal para obtener los detalles del funcionamiento de la conspiración y para identificar a todos los que estaban involucrados. También tenía que grabar las conversaciones telefónicas que sostenía con el individuo que dirigía el plan, aunque las grabaciones no fueron utilizadas como evidencia.

Una vez que se obtuvo toda la información, el departamento de prevención de pérdidas utilizó el pretexto de una auditoria sorpresa para “descubrir” la actividad ilegal. Esta táctica hizo posible que seguridad aprehendiese a los participantes clave en la conspiración, sin exponer a Chris.

Pasado el tiempo, Chris completó el Programa ISP. Hoy, dirige su propio exitoso negocio, utilizando las habilidades, contactos y experiencia que adquirió mientras trabajaba en el centro de distribución. Su empresa da trabajo a 24 personas, algunas de las cuales han tenido sus propios roces con la ley y ahora están tratando de reencaminar sus vidas. Él y el autor se mantienen en contacto.

Craig T. Frank, CPP, CFE (Examinador certificado de fraude), es gerente de prevención de pérdidas, protección y riesgo de los Supermercados King, Inc., cuya sede principal se encuentra en Parsippany, Nueva Jersey. Es miembro de ASIS.


 
 Respond to this message   


Forum Owner
TrapicheosApril 27 2004, 3:13 PM 

Trapicheos


por Michael Gips

http://www.securitymanagement.com/

Alimentos Kraft de México pensó que estaba en buenas manos. Sus operaciones de seguridad local estaban supervisadas por una compañía de guardias de seguridad de propiedad de un oficial de la policía local. La compañía parecía ser confiable. También supervisaba operaciones de seguridad de varias otras empresas multinacionales. Lo que Kraft no se dio cuenta fue que el dueño (lo llamaremos Paco) era corrupto.

Como lo cuenta Steve Montgomery, director de seguridad de Alimentos Kraft de México, Paco utilizaba sobornos, amenazas, coima, intimidación y otras intrigas para mantener control del programa de seguridad de la carga de Kraft mientras que también tramaba robar esos mismos camiones. En pocas palabras, estaba sacándoles el jugo mediante una doble maniobra: ganando millones en un lucrativo contrato de seguridad con Kraft y vendiendo en el mercado negro mexicano los productos por cuya protección se le pagaba.

Paco sabía que los populares quesos Kraft, las galletas Nabisco y otros productos comestibles eran fáciles de trasladar y vender, en especial bebidas en polvo como Tang y Clight. Utilizaba la complicidad de conductores, policías y otros para desviar y robar la carga. Aquellos que rechazaban los sobornos o las noches en un club nocturno del que él era dueño eran amenazados con la muerte.

Sólo en 2001, se estima que Paco, su hermano y sus contactos policiales se llevaron $524,000 en productos. A mediados de 2001, Kraft se dio cuenta de que algo tenía que hacerse.
Montgomery fue contratado y se le asignó la investigación. Como resultó ser, la culpabilidad de Paco no fue difícil de descubrir. Un mes después de la llegada de Montgomery, Paco intentó sobornarlo con un Cadillac.

Librar las operaciones de la compañía del control de Paco resultaría ser más difícil. Cuando Montgomery le hizo saber a Paco que no podía ser sobornado, Montgomery empezó a ser detenido rutinariamente por policías-–evidentemente asociados de Paco–-debido a violaciones frívolas de manejo.

Montgomery no fue disuadido. Planeó una estrategia con dos orientaciones: incorporar tecnología y contratar un proveedor nuevo y confiable de guardias de seguridad.

Rastreando camiones.

Los conductores contratados de camiones eran la parte principal del problema. Por lo tanto, en el área tecnológica, Montgomery decidió reforzar la protección de la carga haciendo instalar sistemas de posicionamiento global (GPS, por sus siglas en inglés) en la flota de camiones que la empresa arrendaba de terceros; los GPS ayudarían a la empresa a rastrear los movimientos de la carga.

En ese momento, Kraft tenía contratos con 179 compañías diferentes de camiones para mover sus productos. La gerencia decidió que éste era también un buen momento para reducir su grupo de contratistas de camiones. Kraft pudo disminuir sus proveedores de camiones a 50, pero 10 de esos proporcionaban 80 por ciento de los camiones. (Actualmente, Kraft intenta utilizar exclusivamente esas 10 empresas, pero, en temporadas de alto volumen, la empresa recurre a los servicios de las otras 40 compañías). De las 10 empresas que eran utilizadas regularmente, ocho solicitaron ayuda para financiar la instalación del equipo. Kraft acordó financiar el costo inicial para esas empresas de camiones, y las empresas acordaron que el préstamo sería reembolsado en el plazo más breve.

Una vez que se contrataron a los contratistas de camiones, Montgomery anunció una licitación para compañías que pudiesen proporcionar esta tecnología. Para disminuir la posibilidad de que firmas indeseables participasen en la licitación, Kraft estableció criterios elevados para el abastecimiento y operación de los GPS, dice Montgomery. “Ello eliminó a casi todos.” Solo dos empresas devolvieron ofertas. Una compañía cobraba por viaje, lo cual habría sumado una cantidad exorbitante. El postor ganador, Vance Internacional de Oakton, Virginia, (con una oficina en la Ciudad de México) ofreció un precio fijo-–mucho más barato que el cobro por viaje–-basado en las zonas geográficas a ser protegidas. Tan importante como eso, Montgomery había trabajado antes para Vance en un caso de secuestro en México, y se sentía seguro de que la firma era confiable.

Kraft y las compañías de camiones hacen un pago mensual por concepto de monitoreo a Vance. Esta obligación compartida surgió debido a que estas compañías de camiones también utilizan el GPS para otros clientes además de Kraft.

El nuevo guardia.

Otro paso fue abordar los problemas de personal. A inicios de septiembre de 2001, Montgomery secretamente empezó a contratar y entrenar una fuerza de guardias de seguridad. Se reunió con varios proveedores de recursos humanos, incluyendo firmas de alcance mundial. Sólo una, una agencia local de personal llamada Gemini, estaba dispuesta a aceptar todas las condiciones que Kraft había establecido, dice Montgomery.

Para reclutar a los mejores y más responsables candidatos para guardias, Montgomery restringió la contratación sólo para graduados de escuela secundaria (la mayoría de los mexicanos no lo son, dice). También los evaluó a fondo, haciéndolos pasar por dos entrevistas, un examen poligráfico, una prueba de drogas, una verificación de referencias y una verificación de antecedentes. Además, a los guardias se les pagaría 50 por ciento más de lo que típicamente gana un guardia en la Ciudad de México. Como la corrupción policial era una preocupación, Montgomery también decidió que nadie con lazos con la policía sería contratado.

Manteniendo el rumbo. Asimismo, algo tenía que hacerse con respecto a los conductores. Pero los conductores no son empleados de Kraft; son empleados de las empresas proveedoras de camiones. Por lo tanto, Kraft no podía hacer las verificaciones al grupo de conductores. Para vencer este obstáculo, Kraft empezó a pedir a los contratistas de camiones que firmasen acuerdos declarando que ellos serían responsables de reembolsar a Kraft si cualquiera de los conductores estuviese involucrado en un robo. Como resultado, los contratistas han eliminado a muchos conductores corruptos.

Además, Vance instituyó un programa para verificar a los conductores y cerciorarse que todos los permisos y licencias estén en orden. Los conductores deben proporcionar una licencia y tomarse una foto en Vance, la cual envia la foto al punto de llegada para asegurar que el conductor correcto llega al destino correcto. Además, Vance mantiene para Kraft una base de datos de los conductores.

Haciendo el cambio.

El 12 de octubre del 2001, Kraft estaba lista para acabar con el control de Paco sobre las operaciones locales de seguridad de la compañía. El primer paso fue reemplazar a los oficiales. Montgomery había contratado y entrenado a 167 guardias para los ocho locales de la empresa. “Los cambiamos en un día,” dice Montgomery. Al día siguiente, Paco llegó y le cerraron las puertas.
Como era previsible, Paco mostró desagrado cuando fue desalojado de Kraft. Pero Montgomery dijo que Kraft no titubeó. “Lo enfrentamos de poder a poder”, dice. “Le hicimos saber que no nos íbamos a echar para atrás”.

Igualmente crítico fue luchar por el control de los envíos. Al intervenir el 23 de octubre, Vance hizo que los contratistas de camiones para Kraft instalasen los sistemas de posicionamiento global de Track Star International, Inc. en los vehículos designados para Kraft. Kraft pudo habilitar 80 por ciento de su flota con el GPS.

Desafortunadamente, poco después, Wal-Mart, un cliente de gran importancia, le informó a Kraft que ya no despacharía productos Kraft a los mercados locales. Aquello le exigía a Kraft contratar 300 camiones adicionales de varios proveedores. Kraft creía que no sería económico instalar GPS en esos vehículos, en especial porque la compañía sabía que no utilizaría a algunos de estos contratistas a largo plazo. Como resultado, 258 camiones-–menos de la mitad de la flota arrendada–-tienen GPS. La mayoría de estos camiones operan en el área de la Ciudad de México, pero algunos van tan lejos como Tijuana (a 1700 millas de distancia) o Mérida (a 800 millas de distancia en la península de Yucatán).

Monitorización con GPS.

La monitorización se lleva a cabo mediante el software que se encuentra dentro del teléfono celular de cada vehículo. Debido a que simplemente retirando el teléfono se impediría rastrear al camión, Kraft rutinariamente mueve estas unidades a diferentes ubicaciones encubiertas dentro del camión. Luego, los oficiales de Vance monitorizan los movimientos precisos de la flota en un centro de comunicaciones que funciona las 24 horas. Cada camión está representado por el icono de un pequeño camión moviéndose sobre un mapa, y los operadores están alerta a cualquier desviación de las rutas designadas. Al hacer clic en el icono de un camión se presenta toda la información de esa unidad, incluyendo al conductor, números de contacto, la aseguradora de la compañía camionera, y así sucesivamente.

Cuando el sistema empezó a operar se dio especial atención a las rutas que antes habían sido frecuentemente afectadas. Los monitores estaban atentos a cualquier señal de paradas o movimientos inesperados.

Además, los conductores podían llamar la atención del centro de monitorización presionando un botón de emergencia escondido en la cabina. En ese momento, un oficial de seguridad de Vance apagaría el motor del camión en forma remota. Alternativamente, el oficial podría hacer sonar la bocina o ponerle seguro a las puertas. Igualmente, el audio dentro de la cabina podría ser grabado mediante control remoto.

Como parte del convenio para el rastreo, Vance también tiene oficiales en vehículos en varios puntos a lo largo de las rutas de los camiones, como lo hace Kraft. Cuando se identifica un problema, estos vehículos siguen el camión a distancia, pero lo suficientemente cerca como para mantener el contacto visual. (No todos los camiones tienen GPS, pero todos los vehículos de seguimiento sí, de modo que los conductores no tienen que estar indicando su posición por radio a la estación de monitorización). En los casos en que ha ocurrido un incidente, los culpables han sido atrapados ya sea por los oficiales de Vance o por el personal de seguridad de Kraft.

Generalmente, los oficiales no van con los conductores de los camiones debido al riesgo de que ambos sean secuestrados. En dos casos, un oficial que seguía a un camión en un vehículo aparte se acercó demasiado y fue secuestrado junto con el conductor, luego de lo cual los bienes fueron robados.

Para prevenir fallas de la señal satelital, Kraft pasó tres semanas identificando las áreas sin servicio celular. Las rutas por estas áreas han sido modificadas y los conductores no deben acercarse a estas áreas sin servicio. En los pocos casos donde ha fallado la señal, el centro de comando ha podido ponerse en contacto con los vehículos de acompañamiento y coordinar una caza.

Además, Kraft también empezó a enviar “camiones falsos”. Estos vehículos cargaban personal armado en lugar de queso y galletas. Estaban diseñados como señuelos para engañar a los secuestradores. Pero, hasta la fecha, ninguno de estos camiones ha sido atacado. Eso no ha sorprendido a Montgomery; ello además le confirma que los delitos son coordinados por los conductores, quienes escogen ubicaciones y momentos específicos para los robos.

Resultados.

Por lo menos se han intentado 11 robos desde que se instaló el nuevo régimen de seguridad, seis sólo en marzo y abril de 2002, todos frustrados. En algunos casos, Montgomery apagó el motor del camión por control remoto, calculando la desconexión del motor para que coincidiese con la llegada inminente de sus fuerzas de seguridad. En otros casos, utilizó el GPS para rastrear a los camiones hasta los almacenes donde estaban siendo descargados, antes de enviar a oficiales de seguridad para recuperar los vehículos y los bienes. Un observador vigilaría físicamente la descarga desde lejos, como refuerzo al GPS.

Afortunadamente, ninguna de las capturas ha llevado a la violencia. Los oficiales de Vance generalmente llegan sin armas a las escenas del delito e inmediatamente llaman a contactos de confianza en la policía y a las unidades armadas de seguridad de Kraft. No ha habido disparos ni lesiones, dice Montgomery. “Los hampones no tienen ganas de morir por queso y galletas.”

El único detalle desalentador es que como los robos no han tenido éxito, las sentencias han sido leves. A los ladrones frustrados no les imponen más de 45 días de cárcel en México, dice Montgomery. Además, Kraft hizo arrestos de ciudadano, pero como los culpables eran policías, sus colegas los liberaron en poco tiempo.

Deshacerse de Paco no ha sido fácil-–aún aparece aproximadamente una vez al mes y expresa su insatisfacción con uno de los gerentes de local, dice Montogomery–-pero ello ha pagado enormes dividendos. Kraft estima que ha ahorrado por lo menos $1.5 millones en gastos de seguridad y en pérdidas evitadas desde que se cortaron los lazos con él.

Michael A. Gips es un editor senior de Security Management.


 
 Respond to this message   


Forum Owner
Los ejercicios de seguridad son criticosApril 27 2004, 3:14 PM 

Los ejercicios de seguridad son criticos

Fuente:
http://www.securitymanagement.com/

Una organización de seguridad sin ejercicios de seguridad es como una producción teatral sin ensayo general.No importa cuan talentosos sean los actores o cuánto tiempo pasan separadamente estudiando sus líneas.Sin varios ensayos bajo el ojo crítico del productor y sin todos los protagonistas practicando juntos bajo condiciones que simulen la esperada presentación en vivo--incluyendo, por ejemplo, las condiciones de luz y sonido--la noche de estreno probablemente fracasaría.Un ejercicio es el ensayo general de la seguridad.

Los ejercicios de seguridad aclaran quién hace qué, y revelan las debilidades y necesidades de equipo.Validan la efectividad de la respuesta y mejoran la coordinación entre seguridad, fuerzas policiales, y otras entidades de apoyo de emergencia. Son la única forma de prepararse para una presentación en vivo.

En el siguiente análisis de cómo debe conducirse un ejercicio, el autor hace uso de 17 años de experiencia en la planificación, conducción y participación en ensayos y ejercicios de seguridad tanto enlas instalaciones de armas nucleares del Departamento de Energía como en las centrales nucleares. Aunque estas pautas están dirigidas ante todo a ejercicios en instalaciones de alto riesgo, los cuales, por ejemplo, podrían apuntar a detectar y detener intrusos maliciosos, muchos de los principios y protocolos de planeamiento también son aplicables a instalaciones de bajo riesgo.

Desarrollo del ejercicio.

La persona de seguridad responsable de administrar el programa de ejercicios de seguridad (por lo general un instructor de seguridad) tiene varias responsabilidades clave.Primero es decidir cuál será el tema del ejercicio.Debe estar basado en las amenazas específicas que podría enfrentar la organización conforme se haya determinado en su propia evaluación de riesgos. (En este artículo, se presume que el ejercicio es contra un adversario que trata de introducirse a la instalación.)

Además de diseñar el ejercicio, el instructor de seguridad debe establecer un programa anual de ejercicios y asegurar que esté integrado con otros programas de seguridad y de la instalación.Los programas de ejercicios deben tomar en cuenta las horas de trabajo de los empleados y otros factores operacionales. Por ejemplo, la alta gerencia probablemente no vería favorablemente a guardias de seguridad corriendo por los pasadizos durante el “día de llevar su hijo al trabajo”.

El instructor también es responsable de completar y mantener los informes de los ejercicios y otros archivos relacionados. Se puede usar estos documentos después para aprender de los ejercicios y para verificar que los ejercicios fueron efectuados.

El instructor de seguridad tendrá, por supuesto, que haber pasado por el proceso de entrenar a la fuerza de seguridad en cualquiera de los procedimientos que van a ser sometidos a prueba en el ejercicio. No tiene sentido que la fuerza de seguridad realice ejercicios hasta que estén adecuadamente entrenados en los conjuntos de procedimientos y habilidades que se aplicarán.

Participantes en el ensayo.

Además de entrenar a los empleados en los procedimientos que serán puestos a prueba, el instructor de seguridad debe designar y entrenar al personal en los diversos papeles que se deben hacer durante el ejercicio.Los ejercicios y mini-ejercicios de entrenamiento pueden implicar sólo al instructor y a un guardia de seguridad o pueden involucrar a un turno completo de seguridad. Sin embargo, los ejercicios totalmente desarrollados, y especialmente los ejercicios de fuerza contra fuerza requieren una escala más amplia de asignaciones. Los participantes podrían incluir los siguientes roles.

Controlador principal.

Esta persona poseerá un conocimiento completo de la situación y de las operaciones de respuesta de seguridad. El o ella debe tener libertad para recorrer el área del ejercicio para brindar una supervisión apropiada.Esta función puede ser cumplida por el instructor de seguridad.

Evaluador.

Los evaluadores son aquellos individuos entrenados en seguridad que se ubican estratégicamente para observar y documentar el desempeño de oficiales especifícos de respuesta. Esta función debe ser desempeñada por una persona conocedora del puesto de seguridad al que es asignada. Si el ejercicio va a ser digno de consideración, los evaluadores deben saber qué observar y cómo evaluar lo que ven.

El evaluador informa sus observaciones al controlador principal. Es una buena idea asignar un evaluador para cada oficial de seguridad.

Controlador.

Las personas que cumplen estas funciones son responsables de controlar o facilitar algún aspecto de las acciones de un oficial de seguridad o de la amenaza simulada.A la hora fijada, un controlador introduce estímulos artificiales o eventos ideados para evitar riesgos de seguridad o para agregar realismo a la situación (por ejemplo, un controlador puede estar encargado de abrir una puerta de seguridad después de la penetración simulada del adversario).

Los controladores pueden servir simultáneamente como evaluadores. El autor recomienda usar como evaluadores y controladores a los supervisores de seguridad de otros turnos y a los funcionarios.Ellos deben estar ya familiarizados con la estrategia de protección y con los efectos potenciales de las diversas acciones del adversario.

Adversarios.

La persona o personas que cumplen esta función deben estar apropiadamente entrenadas y equipadas con las respectivas capacidades físicas y tácticas para ocuparse de los participantes en el ejercicio de seguridad.

Fuerza de servicio.

Este es el personal de seguridad no incluido en el ejercicio que realiza sus funciones normales de seguridad sin interferir en el ejercicio.

Participantes de seguridad.

Estas personas son los miembros de la fuerza de seguridad que están de servicio en la estación central de monitoreo de alarmas, y aquellos guardias de seguridad que responden a la amenaza simulada.

Objetivos.

El primer paso para planear y coordinar un ejercicio es determinar el objetivo del ejercicio.El propósito del ejercicio podría ser la comprobación del rendimiento o la validación de una nueva estrategia de respuesta.

Criterios de evaluación.

El siguiente paso es establecer los criterios de evaluación.Los ejercicios sin criterios claros de evaluación a menudo producen una pérdida de tiempo para los participantes, un ejercicio inútil, si se desea.Al comienzo, los participantes pueden disfrutar la emoción y el abandono de sus rutinas diarias.Pero si no saben por qué están haciendo lo qué están haciendo, o si no reciben una retroalimentación adecuada y alguna medición de su desempeño como individuo y como equipo, eventualmente pueden tomar a mal la pérdida de tiempo. Peor aún, pueden perder la confianza en su capacidad para responder a una amenaza real.

Los participantes de seguridad necesitan saber con respecto a qué están siendo evaluados.Los ejercicios diseñados para evaluar la respuesta de seguridad a una amenaza o ataque supuesto contra la instalación o determinados blancos deben incluir elementos claves de evaluación (ECE).

Algunos criterios se refieren al tamaño y funcionamiento de la fuerza. Por ejemplo, el ejercicio debe prepararse para determinar si seguridad tiene un número adecuado de guardias para hacer frente a las amenazas probables o las de los peores casos posibles. También debe analizar si los guardias de seguridad normalmente están ubicados de tal manera que puedan responder e interceptar una amenaza con el suficiente tiempo.

Otro ECE sería si los guardias de seguridad que se ven frente a una amenaza disponen de una protección física adecuada (como una barrera o un recinto protegido) para enfrentar y controlar la amenaza de forma segura. Además, se debe preparar el ejercicio para determinar si los guardias de seguridad poseen las armas apropiadas u otro equipo de protección personal para tratar una amenaza con eficacia.

Si fuese aplicable a la instalación, otro ECE sería si la respuesta de seguridad a la amenaza se integró adecuadamente con otros departamentos de la compañía o con organismos civiles externos.El ejercicio también debe evaluar si el sistema físico de protección (alarmas, cámaras, etc.) facilita adecuadamente la respuesta de seguridad y su solución de la amenaza.Y el ejercicio, naturalmente, debe determinar si seguridad fue capaz de evitar que la amenaza consiguiera su objetivo.

Las organizaciones de seguridad del Departamento de Energía y de las centrales nucleares consideran asuntos adicionales. Por ejemplo¿Preparó el instructor de seguridad a los adversarios simulados de forma adecuada y realista?¿Proporcionó el instructor información útil y pertinente en las sesiones de información previas al ejercicio y creó un escenario que puso a prueba adecuadamente los ECE seleccionados?

¿Controlaron los controladores adecuadamente ciertas acciones del escenario o de los adversarios?¿Evaluaron los evaluadores a los guardias de seguridad que se les asignaron según los criterios de evaluación predeterminados?¿Tenía el funcionario encargado de la seguridad que dirigió la respuesta a la amenaza comando y control adecuados sobre los guardias de seguridad que participaron en la respuesta?

Otras interrogantes que son examinadas: ¿Comunicaron los guardias información importante relativa a la amenaza (incluyendo número, armas, y dirección de viaje del adversario?). ¿Detectó la estación de monitoreo de alarmas, evaluó y comunicó rápidamente a los guardias de seguridad la penetración en la instalación? ¿Utilizaron los guardias tácticas defensivas u ofensivas apropiadas para destruir la amenaza? Cuando los guardias neutralizaron la amenaza, ¿usaron técnicas seguras y apropiadas para colocar las esposas?

Características de la amenaza.

El adversario simulado contra el que se ejercita el equipo debe basarse en amenazas verosímiles identificadas en el análisis de riesgos. Si la amenaza del “peor caso” involucra un grupo de activistas universitarios por los derechos de los animales con cocteles molotov, la organización no debería realizar ejercicios contra escuadras suicidas simuladas de al Qaeda.

A continuación, el instructor debe considerar las características de los adversarios.Por ejemplo, ¿cuáles son las probables armas preferidas?Con el tiempo, las armas y tácticas de una potencial amenaza pueden variar incluso para el mismo adversario.Por ejemplo, los ecoterroristas solían contentarse con propagandarociada con pintura sobre las paredes de los laboratorios, pero cuando las compañías aprendieron a hacer frente a eso, estos grupos terminaron efectuando incendios intencionales y atentados con bombas.

Seguridad debe examinar muy de cerca las características de la amenaza para asegurarse que estén representadas con realismo en los ensayos y ejercicios. Al considerar el programa total de ejercicios se debe practicar con toda la variedad de características del adversario.Cada situación debe identificar claramente los elementos que están siendo evaluados y las características de los adversarios que están siendo usados en ese ejercicio.

El realismo y la credibilidad son críticos con respecto a la selección de los blancos del adversario, las tácticas y el equipo del adversario, las tácticas de respuesta de seguridad y su ubicación, el equipo y las barreras físicas de seguridad.

Elementos de planificación .

El instructor necesita tener en cuenta otros aspectos al planear el ejercicio. Por ejemplo, puede necesitarse equipo especial para el ejercicio. Esto podría incluir armas simuladas, equipo para penetrar puertas, y bombas simuladas (marcadas claramente como auxiliares didácticos que pertenecen al departamento de seguridad).

El instructor también debe conseguir apoyo de comunicaciones para los participantes en el ejercicio.Si fuera posible, por ejemplo, los participantes en el ejercicio deben estar preparados para usar una radiofrecuencia diferente a la de los guardias que están de servicio.

Otra preocupación es que el personal apropiado reciba una notificación previa de que se va a realizar un ejercicio.Esto es esencial para asegurar que el personal de planta no confunda el ejercicio con un ataque real.

Escenario.

Para cada situación, el instructor de seguridad debe identificar el tipo básico de estrategia del adversario, como el intento de burlar furtivamente un sistema de seguridad o efectuar un ataque frontal.

Luego, el instructor desarrollará una secuencia específica de acciones.El instructor de seguridad también debe determinar las ubicaciones precisas por donde el adversario simulará penetrar o penetrará físicamente el perímetro de seguridad de la instalación (donde se espera que active el sistema de alarma).Se debe utilizar un plano de la instalación para ilustrar y aclarar los elementos.

Preparaciones del adversario .

Para conseguir realismo, y en donde lo permita la seguridad, el equipo adversario debe ejecutar el mayor número posiblede las acciones físicas de la situación.Por ejemplo, deben penetrar el perímetro, ingresar a la instalación, y desplazarse hasta sus blancos previstos usando las tácticas apropiadas. Aunque sólo deben simular que hacen un ingreso forzado a través de puertas con seguro y alarmas, deben portar todas las herramientas y el equipo simulado (peso aproximado) y actuar usando este equipo durante el tiempo estimado que demora penetrar la puerta. Esto es importante porque expone con realismo a la amenaza mientras franquea la puerta o el obstáculo de seguridad, y le brinda a seguridad una oportunidad más real para verificar la amenaza y enfrentarla.

Los adversarios también deben portar armas simuladas, pero las armas deben estar identificadas claramente como simuladas (pintadas de rojo) y marcadas como “armas de ejercicio”.

La mayoría de organizaciones de seguridad utilizan a guardias de seguridad altamente motivados para representar el papel de adversario. Esto, sin embargo, frecuentemente representa la proverbial espada de dos filos.Por un lado, el entrenador no tiene que gastar mucho tiempo alimentando a los adversarios simulados con “inteligencia” respecto a la instalación y al blanco. Por otro lado, el autor ha encontrado que este tipo de adversario simulado a veces usa excesivamente el conocimiento interno de la instalación y de las estrategias de protección y tácticas de respuesta de seguridad.

Algunos profesionales podrían considerar esta ventaja de personal interno como una cosa buena porque representa un desafío significativo (“si usted se puede proteger contra sus propios guardias de seguridad que conocen la instalación y los sistemas de seguridad al revés y al derecho, entonces usted se puede proteger contra cualquiera”).

Desgraciadamente, este enfoque frecuentemente da como resultado una representación irreal de lo que el adversario probablemente sepa. Cuando los adversarios conocen cada rincón y escondrijo de la instalación, y estáníntimamente familiarizados con los sistemas de alarma y respuesta de seguridad, es más frecuente que seguridad pierda que lo contrario. Un adversario tal invalida todas las medidas de protección de la información, seguridad operacional y verificación de personal y es, por lo tanto, inverosímil y contraproducente.

Una manera de evitar a adversarios irrealmente conocedores es usar en vez de ellos a especialistas de seguridad contratados, guardias de seguridad de otra instalación, e incluso policía local del equipo SWAT. Sin embargo, quienquiera que haga las veces de un adversario debe tener un nivel de conocimiento real de qué o a quién están atacando; es sumamente improbable que un adversario atacase una instalación protegida sin que primero haya reunido información y diagramas de planta de la instalación.

Para asegurar el equilibrio apropiado entre estos dos asuntos, el instructor de seguridad debe darle cierta información al adversario unas 24 horas antes de que comience el ejercicio.El tipo de inteligencia “interna” que debe proveer seguridad (la cual le tomaría a un adversario varios meses para obtener) incluiría planos actualizados del lugar y del edificio (incluyendo los limites del área de seguridad y los diagramas de planta para cada nivel), el número de todo el personal de seguridad y todos los puestos de seguridad, armas y tipo de munición que usa seguridad, y las ubicaciones de todos los puestos de seguridad.

Adicionalmente, el instructor debe conducir al adversario o equipo adversario en un recorrido general por todo el lugar (incluyendo las mismas rutas y ubicaciones de la planta ofrecidas en un recorrido general para el público). Si la organización no brinda recorridos por la planta, el entrenador debe aún permitir que el adversario haga un rápido recorrido por las rutas proyectadas.Esto es importante porque compensará por los varios meses de planeamiento a los que el adversario probablemente se dedicaría.

Al equipo adversario también se le debe dar las ubicaciones de los blancos (identificados en los planos de la instalación), técnicas adecuadas para penetración de puertas y barreras (como palancas y mazos). Deberá asumirse que cualquier adversario conocería la clase de puerta de seguridad que necesita atravesar y llevaría el equipo apropiado para penetrarla rápidamente.

Se deben establecer medidas de control del ejercicio para asegurar que el equipo adversario siga la ruta planeada del escenario y no se extravíe. No se debe capturar ni neutralizar a los adversarios como resultado de una acción preparada del adversario para la que ha habido entrenamiento deficiente (a menos que los guardias de seguridad en medio del ejercicio utilicen alguna medida diseñada específicamente para inducir al error al adversario).

El autor recomienda que no se de demasiada información al adversario para no exceder el nivel de inteligencia que un adversario real podría haber reunido.Por ejemplo, a los que hagan el papel de adversario no se les debe dar información detallada sobre el nuevo despliegue, apoyo, o procedimientos o posiciones de respaldo que tenga seguridad (excepto lo que se pueda extrapolar al revisar los puestos de seguridad y las paradas previas a un evento). Al revisar los puestos de seguridad, un adversario real puede estimar la probabilidad de entrar en contacto con un guardia de seguridad. Pero él o ella probablemente ignora qué otras medidas se están aplicando, o cómo o dónde los guardias de respaldo responderán para brindar apoyo.

Otra información que no se debe compartir incluiría la vigilancia con cámaras disimuladas y las capacidades de detección de intrusión (a menos que dichos sistemas sean fácilmente observables durante el recorrido general por la planta o sean de conocimiento general de los empleados). El adversario sofisticado puede utilizar alguna técnica para anular un sistema de cámaras o de detección de intrusos. Si el sistema de seguridad es suficientemente complejo, el adversario simplemente podrá penetrar el perímetro a base de fuerza bruta.Sin embargo, aún si los adversarios supiesen que existen cámaras disimuladas o sistemas de detección, probablemente no sabrían la ubicación exacta, especialmente en el momento del ataque.

Sesión de información previa al ejercicio .

Antes de la iniciación de un ejercicio, el entrenador de seguridad debe efectuar varias sesiones de orientación. Estas son extremadamente importantes por razones de seguridad y de responsabilidad legal, y también permiten asegurar que todos sepan sus tareas.El instructor de seguridad debe realizar las siguientes sesiones informativas:

Sesión informativa para la gerencia.

El entrenador de seguridad debe informar a los gerentes claves de la instalación que estarán en la instalación durante el ejercicio, y pedirles que describan cualquier condición de la instalación que posiblemente afecte a la seguridad del ejercicio o las operaciones de la instalación. El entrenador debe incluir dicha información en la orientación de seguridad de todos los participantes en el ejercicio.

Sesión informativa general.

Esta reunión incluye a todos los guardias de seguridad participantes, evaluadores, controladores, observadores, y adversarios.Los temas comprendidos deben incluir las condiciones de la instalación y áreas que se deben evitar (según lo indicado por la gerencia de la instalación), seguridad y reglas para el enfrentamiento, técnicas de simulación (por ejemplo, el uso de botes rociadores de OC [pimienta] inerte que rocían agua), revisión de las tareas de controlador y evaluador (para asegurar que los controladores y evaluadores sepan qué guardia o guardias de seguridad deben observar o controlar), objetivos generales del ejercicio (sin divulgar la situación a los participantes en el ejercicio de seguridad), cuándo y quién dará por terminada cada situación (normalmente el instructor de seguridad), la ubicación donde ocurrirá la acción del ejercicio, y cuándo y dónde debe completarse y entregar la documentación con la críticaSesión informativa para controladores y evaluadores.

La orientación para controladores/evaluadores incluye a todos excepto a los participantes en el equipo de seguridad del ejercicio. Los temas comprendidos son los siguientes:visión general de la situación, del blanco, y del resultado esperado de varias simulaciones de adversarios; las acciones de los controladores que se necesitan para facilitar el realismo del escenario (abrir una puerta de seguridad para simular la entrada forzada del adversario); una revisión de los elementos clave de evaluación (ECE) y los formularios de evaluación; un análisis de los requisitos de seguridad durante el ejercicio (como la necesidad de colocar un guardia de servicio en una ruptura de barrera para evitar el ingreso no autorizado durante el ejercicio).

También se analizarán en esta sesión la hora planeada aproximada para el inicio del ataque y los criterios para dar por terminada la situación (por ejemplo, el adversario ha ejecutado el sabotaje contra el blanco o ha escapado con el blanco, o todos los adversarios han sido neutralizados).

Durante el ejercicio, los participantes pueden necesitar parar la acción momentáneamente. En la sesión de orientación, el instructor debe establecer las reglas para este tipo de interrupción. El instructor también debe analizar cuáles serán los efectos convenidos del armamento u otras medidas defensivas que usen el adversario y seguridad durante el ejercicio, para calcular el resultado de los encuentros de guardias versus adversarios. Por ejemplo, el evaluador necesita saber el alcance efectivo y la capacidad de inhabilitación de las armas del personal de seguridad y del adversario.

Precauciones de seguridad.

Si los guardias de seguridad están armados, la supervisión de seguridad debe inspeccionar a todos los participantes del ejercicio para asegurar que no tienen armas o munición verdaderas.Asimismo, el instructor o un ayudante designado debe adherir cinta roja sobre los tiradores o cerrojos de las salas o los gabinetes de armas. Esto servirá como un recordatorio visual de que el contenedor tiene armas reales.

Si los participantes en el ejercicio de seguridad necesitan dirigirse a un gabinete de armas y retirar sus armas simuladas, el instructor debe colocar las armas simuladas fuera del gabinete y pedir a los participantes en el ejercicio que simulen el tiempo que les tomaría sacar las armas de los gabinetes.

Antes de cada ejercicio, todos los guardias de seguridad en servicio deben haber colocado cinta roja o alguna otra soporte visual sobre las correas de sus fundas para pistolas. Esto da una indicación visual y táctil de que no son participantes del ejercicio. El autor conoce dos casos en los que personal de seguridad de turno (que acababan de concluir su participación en ejercicios de toda la noche) sacaron inadvertidamente sus revólveres y casi dispararon contra el adversario simulado durante un ejercicio).Sin embargo, la colocación de la cinta no debe impedir la capacidad de los guardias de sacar el arma.

Ubicación de los guardias que participan en el ejercicio .

Los guardias del ejercicio deben seguir a los guardias de servicio que están representando. Por ejemplo, entre las horas 0200 y 0300 el guardia No. 2 patrulla el cuarto piso; el participante en el ejercicio que representa al guardia No. 2 debe, por tanto, seguir al guardia real en su recorrido por el cuarto piso.

Cuando comienza el ejercicio, los guardias de seguridad que están de servicio deben evitar las áreas donde se producen los enfrentamientos. Esto es importante por tres razones: primero, si los guardias que se encuentran de servicio están armados, existe el improbable pero posible riesgo de que alguien inadvertidamente introduzca un arma real al ejercicio.Segundo, los guardias que están de turno pueden distraer con facilidad a los que participan en el ejercicio e invalidar una confrontación. Tercero, los guardias de turno fácilmente pueden encontrarse a sí mismos como espectadores y distraerse de sus tareas requeridas.

Los participantes en el ejercicio no deben intentar obtener las ubicaciones del adversario antes de que comience el ejercicio. Hace algunos años, antes de que los ejercicios se volviesen más formales y estructurados, el autor sorprendió a más de un participante que en lugar de recorrer sus rondas interiores asignadas, miraban detenidamente por las ventanas, buscando atentamente la penetración del perímetro.

Una afectación parecida para la cual hay que estarse atento es lo que el autor denomina la “posición del corredor”.No se debe permitir que los encargados de la respuesta de seguridad y su equipo se pongan en la escena justo antes del inicio del ejercicio. Lo esencial es si no lo harían en la vida real o durante las operaciones normales, no se les debe permitir que lo hagan durante el ejercicio.

Crítica del ejercicio.

Las críticas se pueden utilizar como una herramienta de entrenamiento, para evaluar los ECE, o para validar un elemento específico de la estrategia de respuesta de seguridad.Las críticas de las situaciones desarrolladas en los ejercicios deben ser formales, y la meta debe ser la evaluación de la estrategia, no el entrenamiento en sí. Sin embargo, las críticas de los ejercicios y los mini-ejercicios pueden ser análisis informales y no estructurados que tocan sólo las áreas cubiertas en el ejercicio.

En un aula o en una sala de reuniones, el instructor de seguridad debe facilitar la crítica del ejercicio o del ensayo y permitirles a los participantes en el ejercicio la oportunidad de brindar su aporte. El instructor de seguridad debe llevar un registro de estos aportes para asegurarse que las lecciones aprendidas sean incorporadas en el informe final del ejercicio.

Cuando se hacen críticas formales, el instructor de seguridad debe seguir un formato estructurado; si no la discusión puede rápidamente tornarse en una disputa de “Yo te sorprendí primero”.Un buen enfoque es hacer que el instructor o el adversario principal facilite la crítica describiendo la progresión del adversario a lo largo de la ruta del escenario.Cada vez que haya un enfrentamiento o algún otro estímulo inducido por el adversario, el encargado de la crítica debe interrumpir momentáneamente al adversario principal para pedir información de los guardias de seguridad afectados: qué observaron, cómo respondieron, qué salió bien, y qué necesitaba mejora. El evaluador o controlador que estuvo cerca de los guardias de seguridad durante el ejercicio puede agregar esa perspectiva a la discusión.

Informe final

El instructor de seguridad debe documentar los resultados y críticas del ejercicio, indicando cuáles de los ECE fueron medidos y evaluados.La gerencia de seguridad debe utilizar las lecciones aprendidas de estos informes para considerar la necesidad de cambios en la estrategia de protección de seguridad, en los sistemas de seguridad, y en el programa de entrenamiento. El informe también se puede usar para mejorar futuros ejercicios.

El informe del ejercicio (rotulado como “sensible para la seguridad” u otra inscripción apropiada), debe consistir en los nombres y funciones asignadas de todos los participantes en el ejercicio, una descripción del escenario, una lista de qué elementos fueron evaluados, el resultado del ejercicio; y un análisis de la capacidad de seguridad para cumplir los elementos de evaluación.

El informe también debe incluir las hojas de crítica llenadas por los evaluadores, controladores, y participantes en el ejercicio, y un resumen de la información proporcionada en las sesiones informativas previas al ejercicio, tal como las reglas para el enfrentamiento.

Los ejercicios deben estar basados en las amenazas reales y en las características precisas del adversario.Deben provenir de un análisis minucioso de los riesgos reales contra la instalación y deben ser continuamente evaluados y actualizados conforme cambie la amenaza. Cuando se siguen estos pasos, los ejercicios pueden tener un impacto sorprendente sobre los guardias que participan en ellos.La experiencia de haber estado “muerto” o “herido” o de haber sido derrotado por un adversario es mucho más memorable que cualquier lección aprendida en una sala de clases.

La seguridad tiene que ser más que un acto. Pero desarrollar y simular una respuesta de seguridad es una manera probada de evitar que potenciales adversarios puedan llevar a cabo un ataque exitoso.


-------------------------------------------------------

David A. Axt es gerente del programa de desempeño de salvaguardas y coordinador de Nuclear Management Company, LLC, de Hudson, Wisconsin. Axt tiene un bachillerato en Administración de Negocios y una maestría en Seguridad y Gestión de Riesgos de la Universidad de Leicester en Inglaterra.Es miembro de ASIS Internacional.


 
 Respond to this message   


Forum Owner
Haciendo mas seguro el lugar de trabajoApril 27 2004, 3:14 PM 

Haciendo mas seguro el lugar de trabajo

Por Steve Roberts
Fuente:
http://www.securitymanagement.com/


No es inusual que la declaración de la misión de una organización establezca que la compañía no pondrá intencionalmente en peligro a los empleados. Sin embargo, para los profesionales de la seguridad, cumplir ese compromiso puede representar un serio desafío. Por la propia naturaleza de sus trabajos, los profesionales de la seguridad deben dedicarse a actividades potencialmente peligrosas: su trabajo es patrullar áreas alejadas y responder a emergencias, por ejemplo. Si bien es crítico hacer todo lo posible para reducir los peligros físicos mejorando los procedimientos, usando la tecnología y modificando el medio ambiente, la excelencia en seguridad requiere ir más allá del enfoque tradicional de la seguridad. Debido a que la conducta humana es una causa que contribuye a la mayoría de los accidentes y heridas, la excelencia en seguridad sólo se puede obtener tratando también las dimensiones humanas de la seguridad.

Para reducir la conducta riesgosa e incrementar la conducta segura, el gerente de seguridad primero debe entender cómo tales conductas son motivadas por las influencias culturales y del sistema, y cómo emplear los principios de la ciencia del comportamiento y de la sicología individual para construir herramientas y métodos que estimulen la conducta segura. A continuación se examina cómo funcionan los programas de seguridad basados en la conducta y cómo el personal de seguridad puede adaptar tal programa para cumplir sus requisitos particulares.

Seguridad basada en la conducta.

La seguridad basada en la conducta (SBC) se refiere a una amplia categoría de intervenciones (como procesos, programas, estrategias, o tácticas) en las cuales se aplican los principios de la sicología del comportamiento para modificar la conducta objetivamente definida. Los procesos de seguridad basados en el comportamiento pueden enfocar una amplia gama de conductas y situaciones, incluyendo el análisis de incidentes, la ergonomía, y la responsabilidad y liderazgo de la supervisión/gerencia.

Participación del empleado

Tradicionalmente, la SBC incluye la participación del empleado para identificar conductas riesgosas, analizar las condiciones que conducen a conductas riesgosas, intervenir para incrementar las conductas seguras y disminuir las riesgosas, y mejorar las comunicaciones formales e informales alrededor de estas actividades.

Uno de los componentes claves de la SBC es la observación y retro-alimentación realizada por los colegas de trabajo. Los empleados determinan las conductas de seguridad críticas, observan estas conductas entre ellos mismos, y proporcionan una retroalimentación provechosa y correctiva que no es amenazadora ni punitiva. La retroalimentación posterior a la observación brinda un soporte social positivo para ejecutar una tarea en forma segura, incluso cuando las alternativas riesgosas son más fáciles, rápidas y convenientes.

Reuniendo información.

La información obtenida en las observaciones, típicamente se registra en tarjetas de observación.

Una pauta crítica para un proceso de observación y retroalimentación que se basa en el comportamiento es mantener en el anonimato toda información de observación referida a la conducta riesgosa. No es necesario saber quién realiza conductas riesgosas para identificar estas conductas. Por consiguiente, las tarjetas de observación no piden información que identifica a individuos. Luego se recogen, compilan y agrupan las tarjetas de manera que sólo la información anónima se comparte con los empleados como retroalimentación para el grupo.

La información juntada debe ser primero analizada para determinar las tendencias e identificar las conductas-objetivo para que el grupo efectúe el seguimiento. El proceso de seguimiento a menudo se estructura como un “DOIP”.

DOIP.

Implica cuatro pasos secuenciales (y se llama así por la primera letra de cada paso). Primero, definir las conductas-objetivo cuya frecuencia necesita ser aumentada o reducida. Luego, observar las conductas-objetivo durante una fase de referencia y establecer metas específicas por lograr. Tercero, intervenir para mejorar las conductas-objetivo, y finalmente probar el impacto de la intervención y seguir observando las conductas-objetivo.

Si no se consiguen los resultados deseados, se implementan otras intervenciones. Cuando se alcanzan las metas de mejoramiento, se seleccionan otras conductas-objetivo para su mejoramiento. En ocasiones, las intervenciones son simples u obvias, y no es necesario seguir un DOIP formal. Sin embargo, para las conductas difíciles o complejas, el proceso DOIP proporciona una estructura útil.

Existen muchas maneras de intervenir para reducir la conducta riesgosa. Es frecuente que el proceso de informar a un grupo de que se ha identificado una conducta riesgosa y aumentar la retroalimentación interpersonal y otras comunicaciones respecto a dicha conducta sea suficiente para hacer mejoras significativas.

-------------------------------------------------------

Steve Roberts, Ph.D., es socio senior de Safety Performance Solutions (SPS), Inc., de Blacksburg, Virginia, una compañía consultora dedicada a ayudar a las organizaciones a manejar la complejidad de la conducta humana.La palabra “seguridad” en español tiene dos sentidos principales en inglés:(1) protección o prevención de accidentes, y (2) defensa contra el crimen o la agresión.Este artículo trata el primer tema.


 
 Respond to this message   


Forum Owner
El detective informaticoApril 27 2004, 3:15 PM 

El detective informatico

By Jon Wright

Cada crimen tiene una escena del delito que se puede examinar minuciosamente en busca de pistas. Pero en muchos casos la evidencia que está siendo analizada no es una mancha de sangre o la fibra de una alfombra. Es la información escondida en una computadora. En esos casos los investigadores necesitan saber obtener secretos de los chips de silicio.

En forma muy parecida a sus homólogos que trabajan en los escenarios físicos de los crímenes, los investigadores informáticos forenses siguen varios pasos básicos. En el caso de un delito que ya ha sido cometido, deben conservar la evidencia y analizar lo que se ha recolectado. En el caso de una investigación sobre un crimen en ejecución, se les puede solicitar que realicen vigilancia. Y en cualquiera de los casos, los investigadores en última instancia tendrán que preparar un informe de sus conclusiones.

Protegiendo la Evidencia

La información digital se destruye fácilmente. Por tanto, cuando un investigador llega al laboratorio llevando una computadora, la primera prioridad es conservar la integridad de la evidencia.

Inclusive encender una maquina y reiniciar un sistema operativo es suficiente para causar daños irreparables. Por ejemplo, algunos archivos tienen una grabación fecha/hora que se actualiza cada vez que se reinicia el sistema. La grabación fecha/hora sobre la que se ha escrito en el proceso, habría mostrado la ultima vez que el usuario encendió la maquina--una pieza de información potencialmente crucial. Para evitar destruir la evidencia, los analistas forenses reiniciarán la computadora con un disquete o disco duro separado.

El siguiente paso, también diseñado para proteger la integridad de la evidencia, es crear una copia de lo que se encuentre en la computadora u otros medios de almacenamiento. Todo análisis forense se efectúa en estas copias para asegurar de que la información original no sea corrompida o alterada de alguna manera durante la investigación.

Para crear los duplicados, los investigadores forenses utilizan herramientas para obtener imágenes basadas en datos, que producen una imagen bit-por-bit de los medios magnéticos, incluyendo discos duros, discos flexibles o discos de almacenamiento de alta densidad como el Zip, y medios ópticos de leer-grabar tal como los CD-RW. Aunque todas las herramientas forenses para generar representaciones cumplen la misma meta, se diferencian dependiendo de los medios y del sistema operativo de que puedan crear representaciones, cómo y dónde está almacenada la información en la computadora sospechosa y la experiencia y las preferencias del analista.

Las herramientas forenses para representar información crean una copia exacta del contenido total del medio, incluyendo archivos ocultos y aun información que ha sido eliminada. Este tipo de copiado es distinto a un sistema normal de respaldo de datos, en el cual sólo se copian los archivos "lógicamente accesibles" tratados abajo (como los de Microsoft Word o archivos de Excel).

Además de crear representaciones de los datos, a veces puede ser necesario recuperar y registrar la información de los medios que fueron dañados, tal como un CD-ROM que ha sido acanalado. Eso sucede porque frecuentemente los sospechosos tratan de destruir los disquetes cortándolos, embadurnándolos con sustancias, desarmando la cubierta plástica o retorciendo o arrugando los medios. En esos casos los investigadores pueden usar programas o equipos informáticos especialmente preparados, que existen en algunos laboratorios policiales y en unas fuentes comerciales.

Típicamente, los investigadores forenses copian la información en un medio que no pueda ser alterado, como un CD-ROM. Sin embargo, es común encontrar un disco duro de 40 gigabites mientras que un CD-ROM tiene una capacidad de aproximadamente 650 megabites, así que se está haciendo más difícil copiar la información de esta forma. Ahora algunos establecimientos forenses utilizan una unidad de disco RAID de alta capacidad (RAID son iniciales en inglés de “Conjunto Redundante de Discos de Bajo Costo”) para una mayor capacidad de almacenamiento. Aunque se pueden tomar precauciones para prevenir la alteración de la información en un RAID, no es un medio de memoria sólo de lectura como un CD-ROM.

style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">

Analizando la Evidencia

Una vez que los investigadores crean una representación exacta de los datos, pueden comenzar con el análisis. Sin embargo, el análisis raramente es fácil o directo.

Entre los billones de unos y ceros almacenados en un disco duro o en otro medio se encuentran sistemas operativos, aplicaciones, archivos, utilidades, mensajes electrónicos y más. Puede que la información no sea fácilmente accesible o puede que contenga trampa o virus. Aun en las mejores circunstancias, la información que debe ser tamizada tiende a ser voluminosa. Los investigadores se lanzan a un pajar lleno de agujas de información y trabajan en él para encontrar la única aguja con la evidencia que necesitan.

style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">

Existen tres amplias y algunas veces sobrepuestas categorías de datos de computación, cada una con sus propios retos particulares, que los investigadores forenses pueden tener que analizar. Cada tipo de dato requiere diferentes herramientas para el análisis.

Primero se encuentran los datos lógicamente accesibles (también llamada información lógica o formateada), los cuales puede ser un reto especial cuando están cifrados o corrompidos o poseen una trampa. Si los datos están en forma de imágenes o sonidos o si hay una excesiva cantidad de datos por revisar, aumenta la dificultad de encontrar la evidencia. La segunda categoría de datos de computación son los archivos que han sido eliminados y la tercera categoría se llama espacio no asignado.

Datos lógicamente accesibles.

Las computadoras no almacenan los archivos como un solo bloque de datos. Más bien, esparcen la información por todo el medio magnético, sea disquete o disco duro, donde quiera que exista espacio. Los datos lógicamente accesibles (la información almacenada apropiadamente en un medio magnético, como los archivos de Word a los que se puede ingresar usando técnicas normales), tienen una tabla que enumera las diferentes áreas en un medio magnético donde residen las piezas de archivos. De esta manera un medio magnético es como un libro con un índice pero con sus capítulos y páginas esparcidas.

El índice (llamado Tabla de Distribución de Archivos o archivo FAT) vuelve a armar los capítulos y páginas en el orden correcto utilizando unos detectores de números de páginas o “indicadores”. Los datos lógicamente accesibles son la información mas fácil de revisar, y el investigador normalmente los examinará primero.

Los analistas muchas veces aceleran la búsqueda de los archivos lógicamente accesibles utilizando programas que permiten ver algunos tipos de archivos como documentos e imágenes gráficas sin iniciar la aplicación específica usada para generar y redactar tales archivos. También son útiles la herramientas especializadas para búsquedas en serie. Estos programas pueden buscar ciertas palabras claves en la estructura lógica del archivo, así como en los archivos eliminados y en los bytes no usados (más adelante en esta edición).

Otro dispositivo para ahorrar tiempo es la utilidad llamada HashKeeper el cual crea un identificador numérico, llamado "hash", de cada archivo en la computadora sospechosa. Cada archivo que el investigador determina que no es evidencia puede ser identificado por su “hash” y excluido de las búsquedas futuras. Los identificadores también permiten a los investigadores ver archivos idénticos que tienen nombres diferentes (por ejemplo, un sospechoso puede tratar de ocultar un archivo gráfico llamado "foto.jpg" dándole el nombre
de "impuestos.doc").

Datos Cifrados. Los datos cifrados por un individuo pueden presentar el mayor desafío entre los tipos de evidencia por recuperar. Usualmente los investigadores no tratarán de descifrar un archivo porque es un proceso costoso que consume tiempo. En vez de ello, buscarán evidencia en algún otro lugar en la computadora que podría revelar lo que está en el archivo cifrado. Por ejemplo, podría haber una versión no cifrada de un archivo o aún podrían quedar en el sistema algunos rastros de él.

Sin embargo, los archivos que han sido protegidos con claves por aplicaciones como Microsoft Word algunas veces son más fáciles de romper. Estas aplicaciones frecuentemente utilizan un tipo más sencillo de cifrar y en muchos casos se puede quebrar la clave en sí usando una utilidad para romper claves (mientras que un programa cifrado como el PGP puede aceptar unas frases claves del largo de una oración y de esta manera, virtualmente imposibles de romper).

Datos de Internet. Los datos almacenados por un explorador de la Web, que pueden ser encontrados en un carpeta de favoritos, en un “cookie” (o pequeño programa de texto) o el archivo histórico temporal, pueden indicar donde ha estado el usuario recientemente. Los investigadores utilizan herramientas especializadas de propiedad privada o ampliamente disponibles comercialmente para buscar en los "caches" de explorador los datos que puedan reconstruir la historia de un navegador. Además, diversas herramientas disponibles públicamente como WhoIs y Sam Spade ayudan al examinador a rastrear a los propietarios/operadores de direcciones IP.

Datos corrompidos o que tienen trampas. Ahora para los investigadores es un procedimiento estándar usar buscadores de virus para buscar una clave maliciosa metida en archivos de evidencia, antes de que pueda crear estragos. Aunque la mayoría de los virus residen en programas ejecutables que raramente serán accionados en el transcurso de una investigación, los tipos más nuevos de virus (específicamente macrovirus como Melissa, y virus de VbScript como LoveLetter) aprovechan las vulnerabilidades de algunos sistemas operativos y aplicativos y pueden ser accionados simplemente al ver los documentos en los cuales residen. Estos virus son amenazas potenciales para un investigador forense de computadoras.

Pocas herramientas comerciales pueden manejar los datos corrompidos. Y las trampas pueden ser extraordinariamente peligrosas. Por ejemplo, un criminal entendedor podría manipular un archivo que, cuando se ingresase en forma incorrecta, podría borrar permanentemente los datos. Afortunadamente rara vez se encuentran. Aún así, los analistas forenses experimentados trabajarán cuidadosamente para evitar cualquier riesgo potencial.

Datos de sonidos/imágenes. Las computadoras pueden contener miles de archivos de imágenes y sonidos provenientes de la Internet o de otro lugar, lo cual plantea nuevos retos a los investigadores, porque estos archivos pueden ocultar información. Por ejemplo, un proceso llamado esteganografía permite que las personas oculten la información al mezclarla con los unos y ceros que forman una imagen. Ultimamente, funcionarios del gobierno afirmaron que el terrorista Osama bin Laden y sus seguidores pueden estar ocultando planes y mensajes dentro de las imágenes pornográficas en ciertos sitios de la Web.

Los analistas forenses pueden algunas veces detectar la esteganografía si tienen la suerte de tener acceso al archivo original y compararlo con el archivo que se cree que ha sido alterado. Muy a menudo el investigador simplemente buscará la presencia de herramientas comunes de codificación esteganográfica, como S-Tools, Stash, JP Hide and Seek y Scamdisk; si tales herramientas fueran encontradas en la computadora del sospechoso, hay una buena posibilidad de que hayan sido usadas.

Cantidades excesivas de datos. Algunas veces el problema no es el tipo de información sino su volumen total. Cuando los datos llegan a los billones de bytes, las utilidades de búsqueda se vuelven difíciles de manejar y la búsqueda crece mas allá de la capacidad de una sola computadora. En un caso, un laboratorio forense buscó la correspondencia electrónica de una compañía que había sido almacenada durante un año--tanto como un trillón de bytes (un terabyte) de información--por evidencia de fraude. La única manera de manejar la búsqueda fue mediante una solución hecha a la medida. Los investigadores ensamblaron un “grupo Beowulf", una supercomputadora construida al conectar varias PCs empleando tecnología de redes como el Ethernet y programas de software que permiten un procesamiento paralelo. Un programa escrito a pedido les permitió filtrar los mensajes electrónicos y buscar los términos clave.

Archivos Eliminados.

La segunda categoría de datos de computadoras es el archivo eliminado. Eliminar es un término equivocado. Cuando un archivo es eliminado, sus unos (1) y ceros (0) no son borrados. La computadora simplemente retira del índice o archivo FAT los indicadores de las piezas del archivo esparcidas a través del disco para que el espacio donde reside el archivo "borrado" quede disponible para archivos nuevos. Pero hasta que unos nuevos unos y ceros se escriban encima de los unos y ceros del archivo borrado, éste todavía puede ser recuperado. Existen varias herramientas producidas comercialmente que pueden recuperar los archivos eliminados.

Espacio no asignado.

La tercera categoría de los datos es un lugar en donde están todos los artículos que no encajan en las dos categorías anteriores. Incluye los archivos que no se pueden recuperar de ninguna forma y los datos no formateados escritos en los medios sin tener indicador, como los datos que son guardados temporalmente en recipientes llamados archivos de trueque (swap) o caches. (Un sistema operativo como Microsoft Windows dejará temporalmente los datos en un archivo swap mientras que ejecuta otra actividad y luego los recuperará, permitiendo que el sistema manipule archivos mas grandes que su memoria principal.) Los investigadores buscan datos en el espacio no asignado porque muchas veces contiene evidencia que no puede ser encontrada en ninguna otra parte.

Encontrar datos en bytes no usados y espacio libre normalmente requiere su propio tipo de programa. Uno de dichos programas utilitarios se llama ”carv”, el cual localiza archivos usando información sobre el formato con el que se almacenan los archivos. Estas utilidades están en existencia comercial, pero muchos organismos de aplicación de la ley y empresas forenses usan versiones que ellos han desarrollado.

La utilidad “carv” aprovecha el hecho de que la mayoría de los formatos de archivos (en particular las imágenes gráficas) empiezan y terminan con bits específicos de información que identifican los puntos de comienzo y término del archivo y de su formato. Por ejemplo, todas las páginas Web empiezan con <html> y terminan con </html>. El <html> al comienzo del archivo se puede considerar como el encabezamiento y el </html> al final se le considera el pie de página del archivo. Una utilidad carv busca encabezamientos de archivos conocidos en el espacio libre de una unidad de disco y copia la información asociada con ese encabezamiento en un archivo separado. Este proceso puede ubicar archivos individuales en el espacio libre aunque no existan indicadores de esos archivos.

Las utilidades carv probaron ser particularmente útiles en un caso de un CEO (gerente general) cuyo anterior empleador sostenía que había violado su acuerdo de no competencia luego de ir a trabajar para un competidor como vicepresidente de ventas. El anterior empleador acusó al CEO de tratar de robarse sus clientes y quería probar que lo intentaba hacer incluso antes que renunciase. La compañía creía que el CEO había recibido mensajes electrónicos del competidor, adjuntando unas hojas de cálculo nombrando a los clientes que habían elegido como blanco, lo cual ayudaría a la compañía a probar su caso.

El análisis forense de la computadora del CEO descubrió que si alguna vez las hojas habían estado ahí, ya se había escrito sobre ellas y se habían borrado los indicadores. Sin embargo, debido a que las hojas habían sido enviadas adjuntas a un mensaje electrónico, se encontraban en un formato "codificado" (los adjuntos a un mensaje electrónico son codificados especialmente de forma que puedan ser enviados a través de Internet). Esos archivos codificados, escritos a un cache en el disco duro, fueron ubicados por sus encabezamientos y analizados por los investigadores forenses. Ellos demostraron que la nueva compañía del CEO había elegido como blanco a los clientes con los cuales él ya tenía una relación, mostrando que había sido reclutado para atraer esos clientes.

style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">

Vigilancia

Cuando se sospecha que un delito está en ejecución, la investigación asume una calidad diferente. Ya no es cuestión de una estática escena del delito con una cantidad determinada de evidencia. En vez de ello, es una escena viva, con nueva evidencia creada potencialmente a diario. En tal caso puede que los investigadores forenses necesiten utilizar secretamente herramientas de monitoreo para registrar las actividades del sospechoso.

Estas herramientas, invisibles para los usuarios de la red, llevan registros de actividad para exponer los patrones cuestionables de uso y también las penetraciones de la seguridad. Ellas pueden ser activadas por cualquier clase de actividad del usuario, aplicación o secuencia de digitación (como una visita a ciertos tipos de sitios en la Web, la digitación de ciertas palabras o el uso de aplicaciones, tales como Napster). Un investigador también puede programar el software para hacer un seguimiento y grabar sólo las actividades inusuales, no solicitadas o prohibidas. Estas herramientas pueden ayudar a recolectar suficiente evidencia para crear un caso. (Por supuesto, las leyes sobre la privacidad del usuario y otros temas puedan ser pertinentes y deben ser observadas.)

style="font-size:12.0pt;mso-bidi-font-size:10.0pt;font-family:"Times New Roman"; mso-fareast-font-family:"MS Mincho"">

Resultados

Durante un juicio, los investigadores deben de presentar evidencia informática de una manera lógicamente precisa y persuasiva que un jurado entenderá y que el abogado de la parte opuesta no podrá contradecir. Esto requiere que las acciones del investigador sean reconstruidas paso a paso con fechas y horas documentadas y con cuadros y gráficos que sean fácilmente entendibles que expliquen qué se hizo y cómo. El resultado es el testimonio que explica de forma simple y clara lo que hizo o no hizo el sospechoso.

Al poner la evidencia en un formato útil para una exposición ante una corte, los investigadores deben tomar el mismo cuidado en la presentación como lo han hecho en el análisis. Aunque los juegos de herramientas forenses tienen capacidad para crear formatos que hacen más fácil la construcción y el reporte de la evidencia, muchos investigadores encuentran que juntar manualmente el resultado utilizando productos como Microsoft Word, PowerPoint y Excel dan como resultado un informe más claro y comprensible.

Los retos forenses son de una amplia gama y las tecnologías para luchar contra estos retos aún están desarrollándose. Debido a que las computadoras y redes cambian con rapidez, las herramientas forenses también cambian rápidamente, y lo que hoy es comúnmente usado podría estar retirado mañana cuando aparezca una nueva herramienta. Pero los fundamentos de las investigaciones siguen siendo la herramienta más útil para ayudar al moderno Sherlock Holmes a descifrar los rastros digitales del moderno Moriarty.

Jon Wright es el director de Informática Forense y Respuesta a Incidentes para Veritect.

Conversación sobre herramientas

En cada caso en que se involucra a una computadora, existen docenas de variables que incluyen el tipo de computadora, el sistema operativo que usa y el tipo de evidencia. Cada combinación exige que el investigador utilice un diferente juego de herramientas. En vez de quedarse con docenas de herramientas separadas que dan docenas de resultados (o productos), los investigadores muchas veces escogen un “juego de herramientas” integrado, donde todas las herramientas son accesibles a través de una interfaz común y la interoperabilidad. Esto permite un análisis más rápido y fácil.

Debido a que la meta de un investigador es comprobar o desaprobar una acusación, de una manera que resista una recusación en la corte, es importante tener en consideración la credibilidad de una herramienta específica o de un conjunto de ellas. La credibilidad de una herramienta será afectada por factores tales como la cantidad de tiempo en que ha sido usada en el campo forense, su aceptación por otros profesionales y la voluntad de una compañía de apoyar su producto y explicarlo, si fuese necesario, en los procedimientos de una corte.

El uso de redes es la mejor forma de determinar cuál herramienta forense es la más apropiada para una tarea. Con las credenciales apropiadas usted puede colocarse en una lista de distribución por computadora, para recibir actualizaciones y reseñas de técnicas y herramientas. Dos de esas listas son las del High Tech Crime Consortium (HTCC, Consorcio de Delitos de Alta Tecnología) o la International Association for Computer Information Systems (IACIS, Asociación Internacional de Sistemas de Información de Computadora), la cual sólo esta abierta a funcionarios de los organismos policiales. @ Se puede ingresar a estos sitios vía
http://www.securitymanagement.com dirigiéndose a “Beyond Print” y luego a “Forensic Tools” (Herramientas Forenses).

 
 Respond to this message   


Forum Owner
El Rastro Del Correo ElectronicoApril 27 2004, 3:16 PM 

El Rastro Del Correo Electronico
Por Tim Poole y James Hansen

Había algo sospechoso en las actividades del empleado. Los análisis de nodos de la red informática y del registro del correo electrónico mostraban que todos los días a las 5 p.m. enviaba una foto a una cuenta de Hotmail. Las fotos del perro de la familia, de su auto, de su esposa e hijos, parecían bastante inocentes. Pero había algo raro. Por ejemplo, nunca había respuestas desde esa cuenta.

El personal de seguridad de la compañía observó esto por varias semanas y se preguntaba que estaría haciendo, hasta que se les ocurrió que estas fotos aparentemente inocentes podían ser una forma de espionaje corporativo. Empleando una técnica llamada “esteganografía”, en la cual se pueden esconder los 1s y los 0s de textos o imágenes dentro de los 1s y 0s que componen los pixeles de las fotografías, el empleado podría estar ocultando información dentro de las fotos. A pedido de la compañía, fuera de horas de trabajo unos consultores forenses de computación revisaron la computadora del empleado y encontraron una copia de un programa esteganográfico. Los consultores también hicieron pruebas con las fotos de la computadora del empleado y encontraron que verdaderamente había sido ocultada información dentro de las fotos. Luego se le mostró la evidencia al empleado en una reunión privada con los gerentes. Confesó que estaba vendiendo secretos de la compañía.

Este caso (basado en un incidente real al que se le han cambiado algunos detalles), ilustra cómo el correo electrónico se ha convertido en una vulnerabilidad potencial contra la seguridad. Es una puerta virtual que lleva directamente a la red informática corporativa e indirectamente a cada computadora.

Puede ser usada por piratas informáticos para introducirse a hurtadillas o, como en este ejemplo, por empleados para sacar en forma encubierta secretos de propiedad de la empresa. También provee un portal para la destrucción de datos, ya sea mediante ataques aleatorios con virus o por ataques dirigidos por activistas o competidores. Las compañías tienen que ser tan adeptas para controlar el tráfico a través de esta vía de acceso como lo son para controlar el tráfico físico de ingreso y salida de la oficina principal.

Como sucede con los controles físicos de acceso, los controles electrónicos nunca pueden alcanzar un nivel de cero incidentes. Por ello, el equipo a cargo de seguridad también debe saber responder a una penetración, cómo seguir la pista electrónica para resolver el caso. Eso es básicamente lo que hicieron los representantes de la ley cuando el virus I LOVE YOU golpeó a las empresas alrededor del mundo. Al fin, el rastro del correo electrónico los condujo hasta el originador en las Filipinas.

Este tipo de rastreo legal del correo electrónico es similar al trabajo detectivesco convencional. Al verificar cada uno de los puntos por donde pasó el correo electrónico, el rastreador trabaja paso a paso para regresar hacia la computadora de donde se originó el correo y, con suerte, hacia al autor. Para ver cómo trabaja este proceso, caminaremos por las etapas básicas que sigue un investigador cuando tiene que enfrentar una incursión hecha por el correo electrónico.

Encabezamientos (headers).

Mayormente, el rastreo del correo electrónico externo se inicia con la información que encabeza el mensaje electrónico enviado por la Internet. El encabezamiento de un mensaje es el texto de la parte superior de un mensaje electrónico que viaja a través de la Internet. Contiene el origen del mensaje en la línea "From" (De), mientras que en las líneas "Received" (recibidas), el encabezamiento enumera todos los puntos por los cuales pasó el mensaje durante su viaje, al igual que la fecha y hora. Es como si cada oficina postal que tramita una carta imprimiese su identidad, fecha y hora en el sobre, no sólo el sello de la oficina postal desde donde se envió el sobre.

El encabezamiento del mensaje proporciona un rastro, que puede verificarse, de los lugares por donde ha pasado un mensaje electrónico. Encontrar a la persona que envió el mensaje es asunto de recorrer el rastro en sentido inverso, punto por punto, y reunir la evidencia de que el mensaje pasó por cada punto.

Consideremos como muestra un mensaje electrónico recibido por la compañía ABCD, el cual muestra en el encabezamiento cuatro puntos de detención entre el remitente y el receptor. Dos de ellos, los pasos tres y cuatro, se encuentran dentro del sistema de correo electrónico de la compañía y aparecerán en los registros internos de mensajes electrónicos de la compañía si es que se está registrando esa información.

Si los segundos dos puntos corresponden a denominaciones electrónicas desconocidas fuera de la red informática de la empresa, los investigadores pueden apelar a algunas herramientas de investigación, como Whois y Better-Whois, ambas empleadas comunmente en estos tipos de investigaciones. Estos servicios buscan en las bases de datos de los registradores que anotan a los usuarios en línea y sus direcciones IP (Protocolo de Internet), que son identificadores numéricos de las computadoras de una red informática, equivalentes virtuales a una dirección domiciliaria.

Por ejemplo, hacer una búsqueda con Whois en un nombre de dominio tal como ABCD.com, identificará el nombre y domicilio del tenedor del nombre del dominio, puntos de contacto técnicos y administrativos y los servidores de nombres de dominio responsables de ese dominio. Esto les da a los investigadores un lugar por donde empezar a rastrear el mensaje.

Si el domicilio de la persona remitente no es falso, encontrar a la persona detrás de la computadora se convierte en un asunto de averiguar quién empleó la máquina en el momento en que se remitió el mensaje.

Por ejemplo, en el caso en el que una persona envió una amenaza de bomba a una compañía a través de una cuenta comercial de correo electrónico de la computadora de una biblioteca, los investigadores rastrearon el correo electrónico hasta la computadora de la biblioteca y posteriormente pudieron determinar quién había usado la computadora, al revisar los registros de usuarios.

Falsificación. Pero rara vez es tan fácil el seguimiento forense. Algunos sistemas de correo electrónico eliminan el encabezamiento del mensaje antes de entregarlo al receptor o esconden el encabezamiento del mensaje dentro del programa de correo electrónico. En otros casos, se falsifica la línea "From" del encabezamiento. Whois y Better-Whois pueden ayudar a rastrear los pasos intermedios del mensaje, pero no pueden determinar la dirección real si es que se ha insertado información falsa, ni pueden identificar quién ha robado la cuenta de otro o usado información domiciliaria falsa, de tal modo que cada vez que un remitente falsea una dirección, estas herramientas son de uso limitado.

La línea "From" puede ser adulterada de varias formas. Estas incluyen el engaño ("spoofing"), reenvío, retransmisión, robo de cuentas y creación de cuentas falsas.

Engaño. Se llama "engaño" el hacer que un correo electrónico parezca provenir de alguien (o de algún lugar) diferente del verdadero remitente. Para hacer esto, el que envía el mensaje utiliza un programa que está fácilmente disponible en la Internet, para cortar su dirección IP y reemplazarla con la dirección de otra persona. Afortunadamente, este truco no crea una barrera impenetrable para los investigadores, porque la primera computadora que recibe el mensaje "engañoso" registra la verdadera dirección IP del equipo que envía el mensaje, como un asunto de protocolo, aun cuando el IP falsificado esté en el encabezamiento. Esto le da al investigador forense una forma de encontrar el equipo real y luego empezar a rastrear al individuo que lo usó.

Reenvío (Remailing).Otra forma de sacar del camino a los investigadores, es enviar el correo electrónico a una computadora que retira la dirección IP del remitente y lo vuelve a enviar con la dirección IP de la computadora que hace el reenvío. La única manera de averiguar quién remitió el correo electrónico es tener acceso a los registros de la computadora que reenvió el mensaje. Pero como el diseño de las computadoras que reenvían las hace anónimas, normalmente no registran los mensajes electrónicos que han pasado a través de ellas.

Es difícil identificar a los remitentes que han empleado computadoras que reenvían mensajes, a menos que hayan cometido un error. Una de esas equivocaciones puede estar en el contenido que envían. Un análisis del mensaje o documento adjunto, por ejemplo, puede dar indicios sobre la identidad del remitente. La información que el programa encaja en los propios documentos también puede dar pistas sobre la identidad del sistema y de la computadora de donde vino el mensaje.

Retransmisión (Relaying). Una tercera forma en que alguien puede esconder el origen de un mensaje electrónico es hacer que el servidor de correos de otra persona se encargue de enviar el mensaje. Un servidor de correos apropiadamente configurado sólo tramitará la correspondencia de su propio sistema y no retransmitirá mensajes de direcciones IP originados fuera de su red informática. Pero si el servidor de correo no está configurado correctamente, se hace vulnerable al mal uso. Por ejemplo, los remitentes de propaganda comercial no autorizada (spammers) podrían crear un mensaje electrónico para un gran número de receptores y después canalizar el mensaje a través del servidor de correos de una compañía que no sospecha lo que sucede. El remitente lo usa como un punto de retransmisión, y el dueño del servidor podría no saber nunca que allí ha estado el que envió los mensajes electrónicos. El remitente luego desaparece antes de que alguien empiece a entrar en sospechas. Esto no es sólo un robo de servicios, sino también una potencial denegación de ellos si el volumen de correo electrónico enviado a través del servidor lo hace fallar, negando el acceso de la compañía a su propio correo o servicio.

Robo de cuentas de correo electrónico. Un cuarto medio de cubrir las huellas electrónicas es obtener el acceso a la clave y a la cuenta de correo electrónico de otra persona. Algunas de las formas más comunes de conseguir el acceso son el "shoulder-surfing" (observar por encima del hombro de otro mientras ingresa su clave y ID) o husmeando (“sniffing”)una red (observar todo el tráfico de una red e interceptar los IDs y claves de los usuarios). Una vez que un pirata informático posee una clave y un ID legítimos, toda la red está comprometida. Cuando los investigadores descubren la actividad ilegal e intentan encontrar a la persona que está detrás de ella, serán conducidos a la víctima inocente cuya cuenta ha sido secuestrada.

Sin embargo, para determinar quien habría secuestrado la computadora, los investigadores necesitarían otras maneras para probar quién era el usuario al momento de producirse el delito. Las terminales públicas pueden tener una hoja de registro de ingreso o una cámara de vigilancia, lo que puede adelantar la investigación.

Cuentas falsas de correo gratuito. Otra táctica usada por los criminales es asegurarse que el rastro se diluirá cuando el investigador pase del mundo electrónico al real. En este caso, el remitente no esconde el origen del mensaje electrónico en términos de la computadora desde la cual se envió. Sin embargo, llegar a esa computadora durante la investigación no revelará nada sobre la verdadera identidad del delincuente porque esa persona habrá dado una identidad y domicilio falsos cuando abrió la cuenta. Es difícil capturar a alguien que ha hecho esto porque la compañía de correo electrónico nunca sabe quién abrió la cuenta falsa. Los que se dedican a la pornografía usan este truco con frecuencia.

El registro. En la mayoría de los casos, el rastreo forense del correo electrónico se apoya en los registros de las computadoras. Un registro de computadora es la anotación de cada mensaje de correo electrónico que pasa por una computadora de una red informática. Idealmente, los investigadores prueban que un correo electrónico viajó a través de una máquina, localizando el número de identificación del mensaje en un registro de transacciones de correo, junto con la fecha y hora en que se registró la dirección.

Desgraciadamente, esta situación ideal no es típica. Los problemas se presentan cuando no existen registros. Los límites legales y los problemas de jurisdicción internacional pueden también crear serios desafíos para los investigadores que están tratando de seguir el rastro del correo electrónico.

Ausencia de registros. El mayor desafío que enfrenta un investigador es el proveedor de servicios de Internet (ISP) que no lleva registro de los mensajes electrónicos. Los ISP más pequeños no conectan las funciones de registro de sus computadoras, sea porque tienen personal inadecuadamente entrenado o porque no desean la responsabilidad de brindar información sobre sus clientes. Algunos ISP mantienen sólo datos parciales, como las anotaciones de registros (log-ins) o las transferencias FTP (protocolo de transferencia de archivos) hacia y desde la máquina. Esto puede dificultar la labor del investigador porque no hay suficiente información para dar el siguiente paso.

Límites de la ley. Aun cuando los ISP llevan suficientes registros, varían en su interés por ayudar a los investigadores. Algunos facilmente proporcionan los registros de las computadoras para ayudar en la investigación, mientras que otros se rehusan a entregar los registros si no existe una orden o citación judicial. (Tienen la legítima preocupación de ser llevados ante la justicia por violar los derechos de privacidad de los usuarios).

Para el investigador privado que no tiene el respaldo de la ley, conseguir una orden judicial puede ser difícil o imposible. Para superar este impedimento a su avance, los investigadores pueden trabajar con organizaciones policíacas cuando investigan un delito para su compañía o un cliente. Si los oficiales de policía toman contacto con el ISP y le informan que cierto usuario está siendo investigado, el ISP está obligado por ley a preservar cualquier información que habría normalmente registrado o reunido, dando tiempo a los investigadores para buscar la autoridad legal para obtener la información pertinente.

Sin embargo, los ISP no están obligados a incrementar sus actividades de seguimiento. Consecuentemente, si no estaban llevando un registro, no están obligados a empezar a hacerlo.

Incidentes internacionales. Rastrear a través de jurisdicciones internacionales a los intrusos de computadoras y de correos electrónicos, puede ser realmente difícil. En muchos casos, uno tiene que contar con el respaldo de un agregado jurídico y del Departamento de Estado, así como el apoyo de los organismos policiales del país. Si la pista conduce a una computadora ubicada en un país que no desea ayudar, muy poco se puede hacer. Los investigadores podrían dirigir su atención a una computadora específica en ese país. Pero no hay forma de comprobar si la computadora fue víctima de un pirata informático o específicamente quién envió el mensaje electrónico.

Búsquedas dentro de la organización. Si el problema se origina en las propias computadoras de la compañía, la búsqueda es más fácil, al menos en el sentido de que la compañía tiene acceso físico al equipo así como el derecho legal de efectuar una búsqueda del contenido (suponiendo que están en aplicación los avisos de registro y/o los convenios con los usuarios, mediante los cuales el usuario acepta el control sobre el sistema y concuerda en que el sistema sólo es para uso oficial). Esto supone, por supuesto, que la compañía tiene en aplicación buenos procedimientos y políticas. Por ejemplo, se debe asegurar que los servidores de correo estén configurados apropiadamente para anotar las transacciones del correo electrónico y que se consigan copias de respaldo de esas anotaciones con regular frecuencia.

El caso principal aludido en este artículo presenta un ejemplo de la clase de problema que podría originarse en las computadoras de la propia organización. Otro tipo de problema en donde a menudo la evidencia se encuentra en el equipo corporativo, es aquél en que una persona aparentemente del interior de la compañía le pasa información privada de la empresa a un grupo de noticias [de la Internet] que examina las acciones de la compañía.

Si el análisis del encabezamiento del grupo de noticias (parecido al encabezamiento del correo electrónico) indica que el mensaje se remitió de una de las PC de la compañía, los investigadores tratarán de identificar un número razonable de computadoras para examinar, tomando como base a los empleados que tenían acceso a la información privada de la compañía.

Una vez que se han encontrado esas PC, el equipo de análisis obtiene copias exactas (llamadas “copias imagen”) de los discos duros de las computadoras. Cualquier análisis de una porción de un medio de información debe hacerse siempre en una copia imagen para evitar que se altere la evidencia original. Luego, el equipo efectúa una revisión completa de estos registros. Buscan fragmentos de archivos o partes de cualquiera de los mensajes electrónicos que contengan referencias específicas al mensaje ofensivo.

Por ejemplo, si el usuario estaba empleando el servicio público de correo electrónico Hotmail, los investigadores comprobarán la copia imagen del cache de la Internet del buscador (browser), que muestra dónde ha estado en línea el usuario. Ella contendrá las copias de los mensajes electrónicos creados o enviados o recibidos vía Hotmail. Si el usuario ha vaciado el cache o de otra manera ha eliminado un mensaje electrónico, los investigadores generalmente pueden usar los programas utilitarios para restaurar elementos eliminados para lograr recuperar esta información.

Los investigadores también pueden realizar un análisis de nodos de red, un examen de todos los registros de la computadora, que pueden ayudar a determinar la ruta que siguió un mensaje electrónico o un pirata informático. Por ejemplo, los servidores Web y FTP mantienen registros de todos los pedidos hechos al servidor y disponen de herramientas automatizadas para comparar los registros y juntar los patrones de información o de semejanzas.

Tendencias.

Hay tendencias inquietantes que sugieren que en el futuro el rastreo del correo electrónico será más difícil. Por ejemplo, algunos productos nuevos que prometen un correo electrónico seguro, pueden retirar los encabezamientos de los mensajes electrónicos, como lo hace un equipo de reenvío, codificar el mensaje e incluso destruirlo después de un período. Alguien que usa ese tipo de producto estaría básicamente libre de ser rastreado. Afortunadamente, dichos productos todavía no son de uso extendido.

En un mundo perfecto, ningún mensaje escaparía el rastro proporcionado por el encabezamiento del correo electrónico, pero el mundo informático no es perfecto y nunca lo será. Los programadores hábiles siempre buscan—y encuentran--formas de evitar el rastreo, y los investigadores frecuentemente tratan de alcanzarlos cuando siguen el rastro del correo electrónico, debido a las complejas técnicas usadas para esconder la verdadera fuente del mensaje. Sin embargo, el rastreo proporciona pistas para el siguiente paso que deben dar los investigadores y continuará siendo una parte esencial del análisis forense de la computación.


Tim Poole es jefe del Veridian Digital Forensics Center (VDFC) en Falls Church, Virginia. James Hansen es un investigador forense principal de computación de Veritect, una compañía de Veridian que brinda servicios de seguridad para redes informáticas y de ambientes confiables para redes en diversos mercados verticales comerciales.


 
 Respond to this message   


Forum Owner
EL ROSTRO HUMANO EN LA PERDIDA DE INFORMACIONApril 27 2004, 3:17 PM 

EL ROSTRO HUMANO EN LA PERDIDA DE INFORMACION

Por Norman R. Bottom, CPP

En un estudio reciente de la Agencia Federal de Investigaciones (FBI) y del Instituto de Seguridad de la Computación de San Francisco, el 70 por ciento de los profesionales de sistemas informaron que sus compañías habían sufrido serios delitos informáticos que causaron cientos de millones de dólares en pérdidas directas o indirectas. Este monto puede ser bajo, ya que muchas compañías evitan conversar sobre violaciones de seguridad. Las compañías siguen negando una circunstancia clave para estos delitos: la conducta de sus propios empleados y ejecutivos.
La mayoría de las oportunidades para las pérdidas son causadas por la ignorancia u omisión de las políticas y prácticas de seguridad, más que por el genio en programación de unos cuantos intrusos informáticos.

Por ello, los equipos de seguridad pueden reducir en gran medida la exposición de la compañía a pérdidas de información, mediante entrenamiento anual que se dirija a factores humanos.

WAECUP. Los empleados pueden ser la causa de las pérdidas de información de alta importancia, a través de una o más de las siguientes vías: desperdicio, accidente, error, delito y prácticas no éticas. En base a ellas, el autor ha acuñado el acrónimo en inglés WAECUP (waste, accidents, error, crime, unethical practices). El entrenamiento debe concientizar el personal sobre cada uno de estos aspectos.

Desperdicio. Se produce desperdicio cuando los empleados botan información sensitiva que existe en papel, discos u otros medios, en recipientes que no tienen seguridad sea en la oficina o cuando los empleados trabajan en casa o mientras viajan.Con frecuencia se botan los hard drive y otras piezas que se pueden separar, sin que se les haya borrado totalmente la información de la empresa y sin ninguna preocupación por lo que suceda con la basura de la compañía. Lo que puede suceder es que se convierta en materia prima para intrusos informáticos y otros ladrones de información que intentan obtener información lucrativa o perjudicial o para obtener acceso a los recursos de la compañía.

Accidentes. La pérdida accidental de información sensitiva se da como resultado de conductas o prácticas descuidadas. Por ejemplo, una oficina de abogados usaba GroupWise, un programa de Novell para comunicación intranet. Debido a que el manual de instrucciones se había extraviado, el personal de tecnología de la información creó sustitutos en forma accidental, con privilegios de lectura/escritura. Los archivos, calendarios y mensajes electrónicos de los abogados que tenían esos sustitutos se volvieron un libro abierto para que cualquiera lo leyese.

Otras pérdidas accidentales ocurren cuando las conversaciones de tipo confidencial a través de teléfonos celulares son escuchadas en lugares públicos, o cuando el uso público de computadoras portátiles permite que los ladrones de información lean pantallas con datos sensibles.

El autor con frecuencia ha oído a gente de negocios en los aeropuertos, manteniendo conversaciones sobre aspectos financieros u otros temas confidenciales mediante teléfonos celulares. Para hacer las cosas peor, cuando los celulares son afectados por la estática, los viajeros gritan su parte de la conversación.

Error A veces el error y el accidente se pueden traslapar en una zona gris, pero en general el error se produce cuando la persona sabe que el o ella se está comportando en forma descuidada. Por ejemplo, a John Deutch, antiguo director de la CIA, se le encontró que poseía información altamente clasificada en su computadora de casa, sin ninguna medida de seguridad, aparentemente sólo para su propia conveniencia. Muchos empleados hacen lo mismo, instalando información sensible en sus computadoras personales, computadoras portátiles, PDAs (asistentes digitales personales como Palm Pilots) y teléfonos celulares. No quieren ser molestados por las restricciones de las políticas de seguridad. No tienen intención maliciosa, pero la pérdida de información a través de este modo puede ser igualmente devastadora, como el robo intencional.

La falta de atención a los códigos de acceso a las computadoras, la mala selección de los mismos, revelarlos a otros o escribirlos donde pueden ser vistos, son otros errores que pueden llevar a la revelación de información de alto valor.

Otro ejemplo es permitir que los empleados de una firma proveedora ingresen sin acompañantes de seguridad a la propiedad de la compañía. El que escribe, por ejemplo, conoce un contratista que trabaja en sistemas telefónicos, quien dice que las compañías generalmente entregan una tarjeta de control de acceso al personal de un proveedor después de algunas visitas al local. Las compañías que hacen esto están concluyendo implícitamente, que una vez que un empleado del proveedor se vuelve un rostro familiar, el o ella ya no es un peligro potencial.

Delito. Los errores dejan la puerta abierta al delito. En un reciente ejemplo, un equipo de falsos empleados de servicio fue admitido a una compañía en Miami bajo el pretexto de tener que efectuar unos arreglos en las computadoras relacionados con el problema del año 2000. No se nombró a ningún acompañante de seguridad, no se les pidió ninguna identificación y recibieron acceso irrestricto. Los empleados falsos del proveedor desmantelaron y sacaron módulos del sistema de correo de voz de la compañía, lo que resultó en un robo de equipo por US $ 25,000, así como la pérdida de información contenida en mensajes salvados pero no recuperados del correo de voz.

Prácticas no éticas. Si bien muchas personas definen el bien y el mal basándose estrictamente en la ética derivada de creencias religiosas o seculares, otras deciden a base de la casualidad. Para algunos no hay ética por sí. Cada decisión depende del grado en el que el individuo será ayudado o perjudicado. Estas personas pueden ser amorales o inmorales. Un niño pequeño, por ejemplo, puede ser amoral. Sin embargo, una persona inmoral está consciente de la ética culturalmente aceptada, pero viola el código de forma activa, para su disfrute o beneficio personal.

Algunos grupos desarrollan sus propios códigos.El código de ética del intruso por ejemplo, se basa en la creencia de que compartir la información es para el bien común final. Los piratas informáticos creen que tienen el deber ético de facilitar el acceso a la información donde sea posible. Muchos también piensan que penetrar en los sistemas es éticamente aceptable, mientras no se haya cometido robo, vandalismo o violación de la confidencialidad. Sin embargo, algunos intrusos aún más destemplados creen que cualquier control de la información es equivocado y que es su deber liberar a esa información.

Ingeniería social.

Algunos ladrones de información practican la “ingeniería social” para obtener los fines que desean. La “ingeniería social” es la práctica de manipular psicológicamente a otra persona para que proporcione la información o recursos que requiere el instigador para cumplir una meta. En el mundo de la seguridad de la información, esto puede dar la forma de imitar por teléfono al personal de mantenimiento para engañar a los empleados a que revelen códigos de acceso a computadoras o den acceso a las líneas telefónicas de la empresa o a otros recursos. Los ingenieros sociales también emplean la coerción, estratagemas y amenazas implícitas. Por ejemplo, un ingeniero social puede descubrir que cierto empleado tiene algo que esconder o algún resentimiento contra su empleador. El ingeniero social puede entonces emplear esto para motivar al empleado para que revele secretos de la empresa.

Ojos bien abiertos.

Para que los empleados conozcan el significado de WAECUP en relación con la pérdida de información, las compañías deben realizar un entrenamiento anual sobre el factor humano. El hacer uso de un instructor foráneo puede contribuir al impacto del programa porque le brinda a la gerencia una visión fresca desde afuera.

Una fuente que pueden usar las compañías para encontrar a un instructor es la Academia de Educadores y Entrenadores de Seguridad (ASET), de Berryville, Virginia. Este grupo confiere una designación profesional como Entrenador Titulado de Seguridad. En ASET se puede obtener una relación de los que han recibido dicha designación. Otra fuente para encontrar entrenadores es la Red Mundial o WWW.

Al escoger a un entrenador, la compañía debe encontrar a alguien que haya enseñado a clases para graduados o no graduados o que haya servido como un testigo experto. Estas personas saben presentar la información de una manera concisa que puede ser fácilmente comprendida.

El entrenador también debe estar dispuesto a crear un programa de entrenamiento individualizado para la compañía, después de haber realizado una evaluación de sus políticas y procedimientos de seguridad de la información. Para cumplir con esto, el entrenador debe revisar las políticas y procedimientos de seguridad de la información, incluyendo cualquier cosa que se pide a los empleados que lean y firmen. Si el entrenador no puede entender estas políticas, es dudoso que los empleados puedan hacerlo.

Además, el instructor debe juzgar si el programa de seguridad de la información del lugar es apropiado y probablemente efectivo. Por ejemplo, algunos programas son demasiado autoritarios. Si la política dijese “ingrese a un salón de conversación (chat room) y está despedido”, sin ninguna explicación de por qué los empleados deben abstenerse de esa actividad, la política sólo generará irritación e incumplimiento ex profeso.

Para ayudar a los empleados a entender por qué se han establecido las políticas, el instructor debe conversar sobre los riesgos relacionados, incluyendo los problemas que se crean por la comunicación en las redes de computadoras, sea en salones de conversación por Internet o por medio de otros medios que puedan parecer más privados, como el correo electrónico.

Los salones de conversación, por ejemplo, pueden ser frecuentados por cualquiera que quiere practicar la “ingeniería social”. Las conversaciones son visibles para todos los usuarios. ICQ e Instant Messenger, dos programas que permiten que los usuarios de Internet confirmen si un usuario específico está en línea y después conversar, dan a los que se comunican la ilusión de una conversación privada, aunque todos los mensajes viajan a través de servidores en donde la información puede ser interceptada y leída. Lo mismo es cierto para el correo electrónico regular. Ninguna comunicación por correo electrónico es segura, a menos que esté encriptada.

Las intranets permiten que las compañías se comuniquen internamente con sus empleados, inclusive aquellos que están en oficinas lejanas, mientras que las extranets permiten que vendedores u otros ajenos tengan acceso a la red de una organización. Los empleados deben escoger con cuidado la información que remiten a través de estas redes.

El entrenador también debe determinar si el programa de seguridad de la información de la compañía es demasiado complejo o demanda una cantidad no razonable de trabajo para cualquier departamento.

También el instructor debe hablar con el administrador de barreras electrónicas (firewalls), los jefes del departamento de sistemas de información gerencial (MIS) y del departamento de seguridad para entender qué clases de medidas de seguridad tecnológicas se están aplicando y qué entrenamiento de seguridad de la información se da a los nuevos empleados, si es que se les da alguno. El entrenador también debe preguntar a los jefes de estos departamentos acerca de las debilidades del sistema de información que puedan ser afectadas por los factores WAECUP, para que cualquier debilidad factible de ser corregida pueda ser eliminada.

Cuando se ha concluido la evaluación de la seguridad de la información, el entrenador debe diseñar dos programas de entrenamiento: uno para los empleados y el otro para los ejecutivos de la compañía. El programa de entrenamiento no debe ser una conferencia formal ni debe estar basada en videos. Ambos métodos de enseñanza dan a los empleados una oportunidad de dormir. El entrenamiento que se brinde debe ser interactivo, gracioso y provocador de ideas.

Actuación en clase. En el entrenamiento se debe estimular a los empleados para que manifiesten sus opiniones sobre el programa existente de la compañía para la seguridad de la información, luego de revisar en clase las políticas y procedimientos. Cuando se explican los factores WAECUP, se debe solicitar a los alumnos sus propias experiencias con ejemplos de la vida real sobre desperdicio, accidentes, errores, delitos y prácticas no éticas.

Luego los alumnos deben participar interpretando roles para demostrar los puntos que han sido tratados, tales como la “ingeniería social”. Los métodos pueden incluir escenarios tipo cara a cara y situaciones telefónicas. Por ejemplo, el instructor puede salir de la habitación y telefonear a un empleado usando el anexo de la habitación. A través del receptor, los empleados escuchan la conversación que se produce, durante la cual el instructor le dice al empleado que es un administrador de red nuevo de otra empresa, que ha recibido la tarea de instalar un correo electrónico intranet.

“He oído que usted es un experto y necesito su ayuda. Hay tantos sistemas por ahí”, dice el que llama. “Y tengo que tomar una decisión rápida. Usted estará usando el mejor sistema porque sabe todo sobre ellos, ¿puede decirme cuál es el que emplea?. Halagado, el empleado puede entregar información que le permite al que llama configurar un ataque al sistema de información.

El instructor también puede usar la representación de roles para instar a un empleado a que entregue información no difundida sobre un nuevo producto. Por ejemplo, el instructor llama, afirmando ser usuario de un software producido por la compañía y preguntando cuándo será difundida la nueva versión. Menciona que no está solo, que muchos de sus amigos están ansiosos por un producto actualizado y quisieran saber cuáles serán sus ventajas. De esta manera, el que llama se entera de secretos comerciales de propiedad privada.

Después de representar roles, el instructor debe preguntar a los empleados si pueden haber sido víctimas de ingeniería social. El instructor debe indicar a los empleados que alerten al grupo de seguridad de la compañía, cada vez que crean que alguien está tratando de obtener información privada de ellos, a través de ingeniería social. Esos informes pueden revelar un patrón de recientes ataques de ingeniería social a la compañía.

Entrenamiento de ejecutivos. El entrenamiento para los ejecutivos debe incluir las materias cubiertas en el entrenamiento de los empleados, haciendo un énfasis especial en el papel de los ejecutivos, quienes deben dar el ejemplo al resto de la compañía. Los empleados estarán menos inclinados a seguir las políticas y procedimientos si ven que los ejecutivos dejan información sensitiva en las pantallas de sus computadoras mientras van a almorzar o que no siguen la política de la compañía para destruir documentos.

En la reunión con los ejecutivos, el instructor también debe subrayar la importancia de una buena seguridad de la información durante los viajes y en situaciones sociales que son comunes a los seminarios, conferencias y otros eventos a los que asisten los ejecutivos. También debe hablarse sobre la influencia perjudicial del alcohol. Cuando se trata de estas reuniones sociales, hablar demasiado puede realmente causar serios problemas.

En la sesión con los ejecutivos, el instructor puede también abordar la proliferación de aparatos de comunicación personal, que ha agregado un nuevo giro al programa de seguridad de la información de la compañía. El patrimonio de la empresa puede ser controlado, pero los gerentes de seguridad de la información quizá no han considerado la tecnología personal de sus empleados o proveedores, quienes llegan con sus propios teléfonos celulares, computadoras portátiles, aparatos digitales personales y otros instrumentos que pueden descargar información de la empresa y eludir las comunicaciones controladas de la compañía.

Debido a que estas tecnologías se van haciendo menos caras, las compañías están viendo que no sólo sus propios empleados llevan sus computadoras personales y otros aparatos a las oficinas, sino que incluso las personas que ingresan al local para hacer entregas o reparaciones, pueden tener la tecnología para sacar información privada de las computadoras de la empresa.

Por ejemplo, muchos encargados de reparaciones están equipados con computadoras portátiles con las que se comunican con sus empleadores. El empleo de estas tecnologías en los locales de los clientes en gran medida no está siendo notada por los gerentes de seguridad de la información, que necesitan incluir la tecnología personal en el planeamiento de seguridad de la organización.

Las compañías deben darse cuenta que los delitos informáticos y el robo de información privada no se pueden prevenir sólo con medios tecnológicos. Al proporcionar entrenamiento anual a todos los empleados, tanto empleados de línea como ejecutivos, los gerentes de seguridad pueden asegurar que los empleados de la compañía no serán el eslabón débil en la cadena de la seguridad de la información.

Norman R- Bottom, Ph.D., CPP, CST (instructor de seguridad titulado), CFE (investigador autorizado de fraudes), CCO (funcionario confidencial autorizado), es director del Programa de Confidencialidad para Funcionarios (CCO), administrado por la Asociación de Controles y Medidas Contra el Espionaje Comercial. Bottom es autor de libro Espionaje Industrial, y ha formado parte de diversos Comités Permanentes de ASIS.


 
 Respond to this message   


Forum Owner
Como utilizar los registros de computadoras para descubrir fraudesApril 27 2004, 3:18 PM 

Como utilizar los registros de computadoras para descubrir fraudes

John J. Melia, Jr., CPP

http://www.securitymanagement.com/

El informe televisado de un caso de fraude informático bancario trataba un tema familiar: mostraba a agentes de la policía que retiraban equipo de computación--específicamente, la PC de un sospechoso--como parte de lo que los reporteros de televisión dijeron que sería una investigación informática forense. Un vocero policial entrevistado por el reportero de televisión declaró que se examinaría el disco duro de la computadora del sospechoso para determinar cómo se había cometido el fraude.

Pero había un inconveniente clave en este proceso de investigación: la investigación “forense” sólo se concentró en el disco duro de la PC del sospechoso. Nunca se obtuvo evidencia crítica que consistía en los registros verificables del servidor, reportes del uso de la computadora y del acceso de usuarios, y otra documentación que podría haber ayudado a los investigadores a reconstruir la transacción fraudulenta al revelar la actividad global del sistema del sospechoso.

Por esta razón, aunque el sospechoso fue declarado culpable de robar fondos bancarios, el caso no fue procesado bajo las leyes del delito informático.No se había seguido la pista de la transacción fraudulenta hasta el sospechoso, y el fiscal determinó que sin ninguna reconstrucción significativa de los eventos de la transacción, ningún esfuerzo para iniciar un proceso tendría éxito.

El hipotético escenario anterior es una excepción y no la regla en las investigaciones de delitos informáticos, pero está claro que un número creciente de investigadores ha desarrollado la equivocada noción de que la forense informática sólo tiene que ver con los medios computacionales--específicamente el disco duro de una PC--y con recuperar evidencia digital.Aunque es indudable que la información útil para una investigación se puede reunir de los discos duros de las PC, de los servidores, de las unidades de disco de las computadoras portátiles, y de otros medios, resulta crítico que los investigadores entiendan la diferencia entre investigar tales medios locales y realizar a fondo una investigación forense sobre un incidente informático.

Una investigación forense a fondo de un incidente informático es una exploracióncompleta y minuciosa para determinar la naturaleza, alcance, y duración de la transacción fraudulenta en cuestión. Esto requiere que el investigador recupere los informes de ingreso de un usuario, los reportes de las fechas y horas, y otros informes de ingreso al sistema que establecen qué sucesos ocurrieron, qué identificación de usuario estuvo asociada con cada suceso, y cuáles sistemas aplicativos estuvieron involucrados, creando una reconstrucción completa del incidente en cuestión.

Aunque no hay dos casos que sean exactamente iguales, el énfasis de una investigación de un fraude informático debe estar en generar la evidencia para comprobar quién realizó el acontecimiento de la transacción.Generalmente este enfoque requiere atención para comprender la estructura del sistema y para reunir la evidencia, pero es de igual importancia cómo se presenta la información al jurado, si el objetivo es obtener una condena.

Estructura del sistema.

Antes de examinar los registros, el investigador debe lograr una comprensión básica de la arquitectura de TI de la organización, de la infraestructura de la red de la empresa, y de los componentes generales del ambiente informático, incluyendo los controles existentes de seguridad de la información.Las preguntas por hacer incluyen:¿Cómo son autenticados los usuarios ante los servidores del sistema informático donde ocurrió el fraude o otro delito?¿Qué garantías hay para ofrecer un alto grado de seguridad de que cada usuario es el individuo que se conecta al sistema?¿Cómo se rastrean los acontecimientos de acceso y cómo se almacenan los registros para consulta posterior?¿Cuál es el proceso de verificación de las transacciones?¿Cómo se controlan y anotan los cambios del sistema?

Reuniendo evidencia.

Una vez que el investigador conoce los aspectos básicos del ambiente informático en cuestión, él o ella puede empezar la investigación.La meta del investigador, por supuesto, es descubrir la evidencia que pueda ser usada para convencer a un jurado que para cometer la transacción fraudulenta, sólo el sospechoso podría haber utilizado la combinación de contraseñas, identificación de usuario, y otros elementos del registro de acceso.El primer paso para esa finalidad es que la investigación tenga una base forense sólida, lo cual significa que los pasos de la investigación deben estar documentados y se deben poder repetir.El investigador también debe asegurar que se conserve cualquiera evidencia en su condición original.Por ejemplo, resulta crítico que el investigador garantice que los correspondientes reportes de registros de acceso sean guardados en medios en los que se pueda escribir una sola vez, de tal manera que no se pueda grabar nuevas transacciones sobre ellos, incluso aquellas que puedan ser intentos del perpetrador de cubrir su rastro

Se debe reunir evidencia en tres áreas: en el terminal de trabajo del sospechoso del delito, de ser posible; en la plataforma informática a la que ha tenido acceso el infractor, como la computadora principal o el servidor LAN, y en la red que conecta a los dos, de ser aplicable.Al reunir la evidencia, el investigador debe trabajar estrechamente con el asesor jurídico de la organización y, si es necesario, con los auditores de TI al reunir los reportes de registros verificables.Puede que el investigador también necesite coordinar con los equipos de respuesta que tenga la compañía para emergencias informáticas.

Registros. Los informes sobre las actividades de acceso son claves al investigar el fraude asistido por computadora, ya que crean evidencia al capturar la naturaleza y duración de la transacción mediante las huellas de la fecha y hora de la sesión de inicio y la verificación que la identificación de usuario y la contraseña únicas del sospechoso de la violación fueron utilizadas para iniciar la sesión.

Muchas organizaciones no sólo archivan automática y rutinamente los reportes de registro, sino que como actividad redundante también envían registros a un servidor central que captura, archiva, y respalda todos los registros.El investigador puede recuperar estos archivos.

Los registros se pueden originar de muchas fuentes.Las investigaciones forenses de incidentes informáticos se alimentan de los datos de acceso del usuario capturados por programas de seguridad de la computadora principal, por sistemas de acceso a aplicaciones, por sistemas de detección de intrusos en una red, por los registros de cortafuegos, y por los registros de acceso a los interruptores, los ruteadores, los servidores y otros dispositivos de una red.Una investigación efectiva con frecuencia involucra evidencia recolectada de varios registros independientes y de sistemas informáticos que no están bajo un sistema homogéneo de rastro verificable.

Generalmente hay un alto grado de redundancia entre los registros, lo cual puede ayudar a los investigadores a verificar la exactitud de archivos específicos.Por ejemplo, la hora de inicio de la sesión, la aplicación a la que se tuvo acceso, y la hora a la que el usuario se desconectó de la red son todas mostradas en múltiples registros, de manera tal que cualquier contradicción podría indicar que el sospechoso trató de alterar o borrar evidencia de la transacción fraudulenta.Muchos programadores altamente especializados y administradores de redes--incluso piratas informáticos--por lo general tienen conocimiento de las maneras de alterar o borrar los sistemas de registro, pero las herramientas de software pueden ayudar a los investigadores a descubrir la evidencia de las alteraciones en los registros manipulados.Por ejemplo, diversos productos de software de seguridad empresarial permiten el monitoreo y reporte de todos los acontecimientos de acceso y cambios efectuados a todas las plataformas de computación, incluyendo los cambios realizados por los administradores de sistemas.Estas soluciones de monitoreo y reporte pueden ser administradas desde una sola consola de seguridad, que se puede colocar en un sitio seguro alejado del personal de sistemas y de redes.Los productos incluyen el software Tivoli de IBM; eWizard y eSentinel de e-Security, Inc.; eAudit de Consul Risk Management; y Vanguard Security Solution de Vanguard.

Idealmente, el sistema de la organización tendrá una sólida autenticación e identificación que ayudarán al investigador demostrar quién participó en la transacción fraudulenta. Por ejemplo, en algunas organizaciones se utiliza un dispositivo externo pequeño o una aplicación biométrica de seguridad (como el uso de imágenes faciales o de la retina, o sistemas de reconocimiento de huellas digitales o de la palma) para proporcionar un nivel adicional de seguridad.

Un reporte de las acciones de conexión (logging) que muestre que la identificación de usuario del sospechoso fue utilizada junto con un dispositivo de verificación o un medida biométrica será difícil de refutar ante los tribunales. La combinación de la identificación de usuario de un sospechoso (algo que el sospechoso conoce) con un dispositivo externo (algo que el sospechoso posee, como una tarjeta de acceso para insertar en el terminal de trabajo) o una medida biométrica (algo exclusivo del sospechoso, como una exploración de retina, una imagen del dedo índice, una exploración del iris, la forma de la cara o una imagen de la palma), dificultaría que un sospechoso negase su participación.

Otras fuentes de evidencia . Sea que la organización esté buscando una compensación civil o un proceso penal, la capacidad de proporcionar documentación verificable de las conexiones al sistema resulta crítica para crear una pista que lleve al perpetrador.

Pero es importante que el investigador comprenda que una investigación forense de un incidente informático de una transacción fraudulenta no sólo consiste en conseguir y analizar evidencia digital del uso de recursos de información por parte del sospechoso. En cambio, consiste en obtener toda y cualquier evidencia que pueda ayudar a identificar al sospechoso y ayudar en un proceso penal o civil.Por lo tanto, además de obtener reportes de conexión mostrando el uso de la computadora principal y del servidor por parte del sospechoso, el investigador también podría buscar evidencia para confirmar que el sospechoso estuvo en el lugar donde ocurrió la actividad pertinente en un día en particular. Se puede reunir evidencia de los registros de las lectoras de tarjetas de acceso, de los informes de uso del sistema telefónico, de los reportes de empleo de impresoras que capturan las conexiones de acceso que están en cola,de las cámaras de vigilancia por CCTV.

Procesamiento.

Un problema importante en el fraude informático es que incluso después de que se ha detectado e investigado, es difícil obtener una condena. La causa principal de esta falla es una combinación de evidencia mal recopilada con una presentación débil de la evidencia.

Aun los reportes de inicio de conexión con información útil no servirán de mucho si el fiscal, el juez o el jurado no puede leer o entender los registros. Por consiguiente, es decisivo que el investigador presente la evidencia en un formato sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología técnica.

Adicionalmente, los investigadores de seguridad responsables de las investigaciones del fraude informático deben familiarizarse con los registros de eventos informáticos de su organización antes que ocurra un incidente. Si los registros son confusos o demasiado complejos, el investigador de seguridad debe participar activamente en los esfuerzos destinados a proporcionar registros fáciles de usar que describan el quién, qué, cuándo y dónde de un evento.

También es una preocupación el manejo de la evidencia cuestionable.Si el abogado del sospechoso es capaz de levantar dudas sobre la integridad de los registros de acceso o de los rastros verificables o si es capaz de demostrar que un investigador alteró la evidencia por error, no se puede convencer a ningún jurado que declare la culpabilidad.Si el jurado cree que la evidencia ha sido alterada o mal manejada, entonces el caso está perdido.

Para aumentar las posibilidades de que un proceso tenga éxito, todos los reportes verificables de conexiones al sistema y cualquier otra evidencia que se haya recogido deben describir claramente la transacción desde el comienzo hasta el término de la sesión. Deben mostrar sin ambigüedades que el sospechoso es la única persona que pudo haber realizado la transacción fraudulenta.

Incluso en los procesos de fraude informático en los que se presenta la evidencia impecablemente, pueden surgir otros problemas con los jurados.En el muy publicitado proceso por delito informático de Timothy Lloyd, de Wilmington, Delaware, por ejemplo, se presentó al jurado la evidencia detallada de su nivel de acceso a las computadoras como administrador de redes de su empleador, una firma fabricante.El jurado declaró culpable a Lloyd, pero el juez rechazó el veredicto de culpabilidad luego de que una de los miembros del jurado afirmó que había quedado confundida sobre la evidencia que había sido presentada después de observar un informe en la televisión sobre el virus Love Bug.

La miembro del jurado de algún modo pensó que si el virus Love Bug podía “ingresar” indiscriminadamente a sistemas informáticos, entonces quizás Timothy Lloyd no cometió realmente el acto y, en vez de ello, algún tipo de virus realmente originó el evento de acceso.

La parte acusadora apeló, y la acción de la corte de menor nivel fue anulada, restableciéndose el veredicto de culpabilidad. Recientemente Lloyd fue sentenciado a más de tres años en prisión y se le ordenó pagar $ 2 millones como restitución. Pero el caso demuestra que inclusive en aquellos procesos por delito informático en los que la evidencia se presenta en forma lógica al jurado de una manera efectiva, puede ser difícil obtener una declaración de culpabilidad porque para el jurado el material es difícil de entender.

Un caso pertinente.

Una investigación dirigida por el autor trató la transferencia de hipotecas bancarias a un inversionista en mercados secundarios. Parecía que se habían perdido fondos y se inició una investigación.Al inicio, la unidad de negocios del banco sospechó un error numérico. Pero el rastro de la evidencia llevó a otra conclusión: fraude.

Los bancos habitualmente preparan hipotecas para venta a agencias de inversión en mercados secundarios, tales como la Asociación Nacional Federal de Hipotecas (Federal National Mortgage Association, ó Fannie Mae) o la Corporación Federal de Hipotecas para Préstamos Inmobiliarios (Federal Mortgage Home Loan Corporation, o Freddie Mac). En este caso, el reporte de una agencia de inversiones para confirmar la transmisión al cierre del día, no conciliaba con el reporte del banco: los saldos tenían una diferencia de $ 80,000. Después de no poder solucionar el error, los auditores internos de la agencia de inversión y el banco comenzaron simultáneamente a revisar los datos.

El primer paso de la revisión por el banco fue examinar el registro de detección de anomalías de la red y el reporte de ingresos al cortafuegos.No se encontraron anomalías--desviaciones del tráfico normal de la red--y los registros del cortafuegos no mostraron excepciones. Estos datos indicaban que todos los sucesos de acceso que involucraban al sistema aplicativo hipotecario fueron iniciados por fuentes confiables dentro del cortafuegos.

Los investigadores sabían que el sistema hipotecario se procesaba en una unidad central en un área separada debido a sus datos y aplicaciones sensibles.También sabían que ningún software del sistema Web estaba localizado en esta unidad y que todos los sistemas de Web estaban en servidores separados. Por lo tanto, el equipo llegó a la conclusión que no era probable que estuviese implicado alguien del exterior.Si había algún delito, involucraba a un empleado.

El siguiente paso era revisar los registros de seguridad de acceso a la unidad central para conexiones con el sistema aplicativo hipotecario.Los medios de reporte del sistema de seguridad proporcionaron información sobre los empleados que estaban autorizados para modificar y ejecutar transacciones. Los investigadores conciliaron los nombres de estos empleados con sus inicios de conexión durante el período en cuestión.

Una conexión en particular, en el cual una empleada registró la cancelación de una hipoteca residencial de $ 80,000, efectuada por un cliente, concilió con la fecha y hora del error original. Después de una revisión adicional, los investigadores concluyeron que en este caso una empleada del banco había registrado la cancelación de la hipoteca inmobiliaria de un conocido suyo, a pesar de que el banco no había recibido realmente fondos del cliente.

La política del banco sobre informática al nivel de toda la organización era que todos los aparatos y recursos informáticos son activos de la compañía que pertenecen al banco.

Por consiguiente, el banco podía tener acceso e inspeccionar en cualquier momento todo artefacto, sistema de computación o dispositivo de difusión.

Aunque el banco podía haber examinado el terminal de trabajo y la PC de la empleada, esto no fue necesario.El investigador sólo necesitó reunir los reportes de conexión y comparar el inicio de sesión, la hora de la transacción, y la duración con los de la empleada.Sin embargo, si hubiese sido necesario examinar la PC, se podría haber hecho después de las horas de oficina, bajo el pretexto de una llamada de mantenimiento o de un mejoramiento del software.

Aunque los investigadores sostuvieron ante la empleada que solamente estaban tratando de solucionar un error de la computadora, la empleada citando la tensión de todo el suceso, repentinamente abandonó el empleo en el banco. Mientras tanto, el deudor hipotecario en cuestión no pudo proporcionar una copia de un cheque cancelado o un recibo por la transferencia del dinero, y la cancelación de $ 80,000 fue anulada.

Aunque realmente no se perdieron fondos, el banco presentó una referencia penal para cumplir con un requisito de los bancos asegurados por el gobierno federal con relación a asuntos de fraude informático.En esta instancia, el fiscal declinó llevar el caso al tribunal debido a que no se cumplía con el límite de daños monetarios requerido para iniciar el procesamiento, dado a que los asientos fraudulentos fueron anulados y la perpetradora no obtuvo realmente un beneficio financiero, tal como el que hubiera obtenido mediante una letra o cheque bancario, o dinero en efectivo.

La recopilación de los registros y reportes de rastros verificables y la reconstrucción de la transacción fueron todos vitales para determinar qué sucedió.Un examen del disco duro de una PC o de otros medios no habría proporcionado la evidencia necesitada para resolver este asunto.

Cualquier investigación de un delito que involucre a los sistemas informáticos de la compañía debe extenderse mucho más allá de la PC o del terminal de trabajo. La evidencia electrónica debe ser descubierta por toda la red. El secreto para exponer los argumentos del caso es pensar más allá del disco duro.

John J. Melia Jr., CPP, CISA (auditor certificado en sistemas de información), CFE (investigador certificado de fraude), CISSP (profesional de seguridad certificado en sistemas de información), CBCP (profesional certificado en continuidad de negocios), y CRP (profesional certificado en riesgos), es el director de gestión de riesgo de acatamiento del Banco de Préstamos Inmobiliarios e Inversiones (Home Loan and Investment Bank, FSB), de Warwick, Rhode Island. Es miembro del Consejo de ASIS para Seguridad de Tecnología de la Información.


Lo básico de los registros
Todos los sistemas, aplicaciones y redes informáticas, y las aplicaciones de correo electrónico poseen capacidades de registración de las sesiones de conexión, que capturan como mínimo, cualquier intento de conexión (con o sin éxito), la identificación de la conexión, la fecha y hora de cada intento de conexión enumerando la identificación (ID) del usuario, los dispositivos utilizados, las funciones realizadas una vez que se conectó, y la aplicación o función que el sospechoso trató de solicitar. Estos archivos de acceso son generados por el sistema operativo básico de la red, así como las aplicaciones instaladas en ese sistema operativo.Los reportes de conexiones a la red y los registros de tráfico producen numerosos asientos que detallan la autenticación y la autorización para los servidores de directorio, servidores de bases de datos, servidores de archivo e impresión, ruteadores de acceso, cortafuegos, servidores sustitutivos, servidores de correo, y entradas de redes virtuales privadas (VPN).

Los sistemas de intrusión-detección (HIDS) con base en servidores host y los sistemas de control de acceso con base en la computadora central son soluciones basadas en software que tienen la capacidad de monitorear, llevar el registro, e informar virtualmente todas las transacciones que ocurren en los sistemas de servidores host de una organización. Todo, desde actividades de conexión completadas satisfactoriamente hasta intentos fracasados de conexión, pasando por una lista de archivos agregados, modificados o eliminados, puede ser fácilmente rastreado por los HIDS, los cuales proporcionan un registro de auditoría detallado de las acciones de una persona.

De la misma manera como los HIDS pueden rastrear a los usuarios que ingresan a las computadoras host de la organización, la mayoría de las organizaciones disponen de algún tipo de sistema intrusión-deteccion con base en la red (NIDS) para rastrear actividades a través de la red. Este NIDS reside generalmente en el segmento interno del cortafuegos para monitorear y proporcionar reportes de todo el tráfico hacia y desde la Internet. Mientras el tráfico de los usuarios atraviesa la red, la información en pequeños paquetes es reunida, lo que permite que los reportes de conexión NIDS identifiquen a los usuarios por su ID de usuario; la dirección del protocolo de Internet (IP), de ser aplicable; el nombre del servidor host visitado; el identificador de aplicación; y la hora de inicio, duración y salida de sesión del usuario.Se puede capturar la información de conexión NIDS para todos los sucesos de la red que impliquen el acceso a los servidores corporativos de intranet y de correo electrónico, y de la actividad en la red que está destinada a la Internet o se origina de ella.

Además, los rastros de verificación de los cortafuegos pueden ser particularmente útiles para el investigador al considerar los fraudes a gran escala que impliquen el acceso vía la Internet. Los cortafuegos generan un archivo de registro que contiene un sello con la hora y un identificador único de tiempo transcurrido de la conexión; un número único de identificación de la sesión; las direcciones de la fuente y del destinatario IP, incluyendo la dirección de la conexión y un identificador de la ubicación del ruteador de origen, y un código único de identificación del proveedor del servicio de Internet (ISP), incluyendo el identificador de cuenta del usuario.

Al capturar el código de identificador del ISP del infractor, así como la información sobre la dirección del ISP infractor y el número telefónico de origen del ISP, el investigador puede presentar evidencia convincente al fiscal y mejorar enormemente las posibilidades de un proceso exitoso.
Un método común para intentar frustrar el monitoreo y restricción de uso en el acceso a una red ocurre cuando intrusos externos o internos tratan de evadir el cortafuegos o el servidor sustitutivo empleando el acceso mediante el marcado telefónico a través de líneas conectadas a un puerto de red abierto.Para contrarrestar esto, ahora muchas organizaciones ponen en funcionamiento sistemas de escaneo de puertos externos, los que identifican todos los puertos abiertos y permiten cerrar los puertos que no estén en uso.Los sistemas de escaneo de puertos también pueden tener un uso especial en las investigaciones porque proporcionan un reporte de las sesiones de conexión que muestra la ubicación del puerto de todas las transacciones en la red.

Se puede configurar el registro de un cortafuegos en cualquier dispositivo que está diseñado para capturar el acceso a un sistema, incluyendo un servidor o un ruteador de cortafuegos y cualquier aparato separado de la red que contenga software de cortafuegos.Independientemente del tipo de cortafuegos que se usa, el programa sirve como un punto único de ingreso a la red y evalua todos los pedidos de conexión. Debido a que los cortafuegos utilizan un conjunto predefinido de reglas en las cuales se basan las excepciones y alertas, la actividad fraudulenta puede ser capturada con facilidad. Los registros con rastros de verificación identifican sucesos tales como intentos múltiples de acceso no autorizado en un período de tiempo dado, fallas repetidas de conexión, actividad en los puertos de la red no utilizados, y potenciales ataques para negar el servicio.

Por ejemplo, al llegar a la escena de la emergencia, generalmente se esperaba que los oficiales de seguridad realizasen funciones tales como revisar la escena del incidente para ver si era seguro ingresar a la habitación y prestar ayuda; tratar de averiguar el mecanismo de la lesión; realizar una encuesta médica básica; inmovilizar el cuello y la cabeza de la víctima (si había razón para creer que la emergencia era el resultado de una lesión como una caída, en vez de una condición médica tal como un ataque al corazón); y tomar y registrar los signos vitales de la víctima.Mientras tanto, se esperaba que por lo general los elementos de respuesta que no eran médicos notificasen al servicio médico local de emergencia, coordinasen las comunicaciones entre todos los elementos de respuesta y con los organismos públicos, se asegurasen que el personal del servicio médico de emergencia pudiese localizar e ingresar a la instalación, controlasen a las multitudes si fuese necesario y tomasen notas para usar posteriormente en un informe de incidente.

Estos criterios fueron utilizados para conformar dos listas de control del escenario.La primera lista de control cubría el sistema de comando de incidente; esa lista se le entregó a un supervisor de seguridad con experiencia en esa área. La segunda lista de verificación cubría la parte de la respuesta médica del escenario y fue entregada a un oficial de seguridad de alto nivel quien también era un EMT.Los dos miembros del personal de seguridad a quienes se les habían dado las listas de control eran los responsables de calificar las actividades enumeradas en sus respectivas listas de verificación durante el transcurso del escenario.

El planeamiento para la prueba era crucial, porque la gerencia no quería que se afectasen las operaciones normales. El ejercicio solo involucraría al equipo de seguridad y se conduciría durante las primeras horas de la mañana.

El edificio de seguridad fue elegido como el lugar del escenario porque el reglamento local contra incendios no exigía que el sistema de alarma contra incendios estuviese enlazada con el departamento de bomberos, si una fuerza de seguridad local estaba presente. Además, se informó a los operadores del centro de comando de seguridad de la emergencia para evitar una llamada al servicio médico local de emergencia.

Habiéndose reducido la probabilidad de que el escenario hipotético interrumpiese las operaciones normales de la empresa, o de un informe inadvertido de incidente a las autoridades locales, los planificadores desarrollaron los aspectos específicos del ejercicio.Se tomó la decisión de filmar el escenario hipotético con una cámara grabadora en un esfuerzo por proporcionar, al rendir cuenta del escenario, una visión objetiva de lo que había sucedido.

El ejercicio comenzó el día designado a las 2 a.m. cuando el operador del centro de comando recibió la activación de una alarma en su pantalla. Según los protocolos normales, envió oficiales de seguridad a la escena e intentó tomar contacto con el ingeniero del edificio.El primer oficial en llegar a la escena estableció un comando del incidente como requerían los protocolos, se colocó junto al panel contra incendios y dirigió al segundo y al tercer oficial hacia la activación de la alarma en el sótano. Los oficiales de seguridad encontraron a los tres observadores que los esperaban.A los oficiales se les ordenó que reaccionasen como si fuera un hecho real.

Los oficiales procedieron a revisar la escena para determinar si era seguro ingresar.Una vez que vieron que lo era, los oficiales se acercaron a la víctima, quien yacía a una distancia de varios pies de un panel eléctrico. Notando las marcas obvias de quemaduras en el cuerpo de la víctima (hechas con maquillaje de teatro) y la distancia del panel eléctrico, los oficiales asumieron correctamente que había ocurrido una explosión, posiblemente causando lesiones en el cuello o la espalda a la victima. Un oficial se puso al costado de la cabeza de la víctima y le aplicó una estabilización en línea mientras que el otro realizaba una revisión médica primaria, determinando que la víctima experimentaba una respiración dificultosa y era poco sensible al estímulo verbal.

Después de evaluar los signos vitales y administrar oxígeno de alto flujo, un oficial realizó una segunda revisión y empezó a tratar las quemaduras y otras lesiones relacionadas, según era necesario.Unos minutos más tarde se tomaron los signos vitales de seguimiento y se continuaron hasta las 2:20 a.m., cuando los observadores anunciaron que las autoridades habían llegado a la escena y asumido responsabilidad por la victima. Esto concluyó el escenario hipotético.

Poco después de que se terminase el ejercicio, mientras la experiencia todavía estaba fresca en la mente de todos, se llevó a cabo una reunión de información.El supervisor abrió la reunión recalcando a cada uno de los participantes que la situación hipotética se desarrolló para que pudiesen aprender el uno del otro, estableciendo así el tono de la reunión y evitando que ella se convirtiese en una situación estresante.Luego, cada participante y observador dio su propio relato sobre lo que había ocurrido durante el escenario planteado.

Un observador notó que el oficial que efectuaba la estabilización en línea había, en varias ocasiones, permitido que el cuello y cabeza se movieran. Si este acto hubiera ocurrido durante una emergencia médica verdadera, la víctima podría haber experimentado lesiones adicionales o posiblemente parálisis.

El oficial que había realizado esta tarea no creía que había hecho incorrectamente la tarea.Luego se revisó la cinta de video de la cámara.La cinta mostraba que el oficial en efecto había soltado el cuello de la víctima en una ocasión y que había aflojado significativamente su asimiento varias otras veces.

Después de que se completó la revisión del video y cada participante y cada observador tuvo la oportunidad de hablar, se desarrolló una lista de lecciones aprendidas.Encabezando la lista estaba más entrenamiento y práctica en sostener la cabeza o cuello de una víctima durante la estabilización en línea, cuando el mecanismo de lesión sugería un problema de cuello o espalda.

Aunque había espacio para mejorar, la determinación total de este escenario fue que el personal había cumplido satisfactoriamente la mayoría de los criterios establecidos.Otros escenarios hipotéticos posteriores mostraron una mejoría con tiempo.

Control de acceso.

El segundo estudio de caso muestra como se utilizó el modelo ADDIE para mejorar la función del control de acceso en una compañía grande que utilizaba personal de seguridad contratada para proteger sus oficinas principales en el centro de la ciudad. El personal contratado recibía su entrenamiento básico de oficial de seguridad antes de ser asignado al lugar, y ya en el empleo se les daba un entrenamiento específico sobre el sitio, complementado por cursos autodidactos proporcionados por la compañía contratada.

Cuando la compañía de seguridad asumió la responsabilidad del contrato por primera vez, el arreglo funcionó bien.La calidad del trabajo era apropiada para las necesidades de la instalación. Sin embargo, al pasar el tiempo, el perfil de la amenaza cambió.La compañía fue el blanco de manifestantes, y estas protestas fueron cubiertas por los medios de prensa.Esta publicidad incrementada, combinada con un número creciente de amenazas externas de violencia laboral dirigidas contra los empleados, llevó a los gerentes de seguridad a volver a evaluar el programa de entrenamiento de los oficiales de seguridad y buscar oportunidades para mejorarlo

Una serie de incidentes menores brindó un punto de partida para este esfuerzo al determinarse que los oficiales de seguridad operativos se habían relajado al tratar los problemas de control de acceso. Los procedimientos escritos exigían que los oficiales de seguridad examinasen visualmente la insignia de identidad de cada empleado que ingresaba a la instalación y sólo permitiesen el acceso a aquellas personas que presentasen una insignia válida de la compañía con la fotografía del empleado.Mientras tanto, se dirigían a los visitantes a una entrada particular donde se verificaba su identidad y la razón por la que se encontraban en el lugar.

En una ocasión, dos mujeres que no eran de la ciudad confundieron las oficinas generales de la compañía por un edificio del otro lado de la calle. Ellas ingresaron a la instalación por la entrada principal y caminaron por delante de cuatro oficiales de seguridad sin que se les pidiera su identificación. Luego las mujeres entraron al ascensor y acabaron deambulando en un piso superior, antes de ser detenidas por una secretaria alerta.

En otro caso, un contratista llegó bastante antes de las horas de trabajo para efectuar algo de trabajo en un área restringida de la instalación. El oficial de seguridad conocía al contratista y le permitió continuar al área sin una escolta porque el oficial tenía poco personal y no quería causar inconvenientes al contratista al hacerlo esperar.

Para abordar estas situaciones y otros problemas potenciales, los gerentes de seguridad realizaron un análisis de necesidades de entrenamiento. Se entrevistó informalmente a miembros del personal y se revisaron los informes de incidentes pasados para descubrir la existencia de cualquier tendencia. Además, se creó y entregó a cada oficial de seguridad un “Formulario de Evaluación de Conocimientos del Oficial de Seguridad”, basado en las consignas de los puestos del lugar.

Varios temas surgieron de la información recogida. En la entrada de empleados, algunos oficiales no entendían del todo las órdenes del puesto. Otros se concentraban tanto en los procedimientos escritos que fallaban en aplicar un criterio firme cuando se veían frente a situaciones inusuales.Aun otros se habían vuelto permisivos con el transcurso del tiempo. Sin embargo, los guardias de seguridad ubicados en la entrada para visitantes se desempeñaban en forma coherente, de acuerdo con los procedimientos establecidos.

La terminación del análisis de necesidades reveló dónde existían deficiencias de desempeño.Armados con esta información los gerentes de seguridad desarrollaron objetivos didácticos formales según el desempeño deseado que se esperaba de cada oficial de seguridad. Debido a que la función de control de acceso era un tema particularmente preocupante, los gerentes de seguridad decidieron conducir una serie de escenarios de penetración.

En estos escenarios, se les pidió a empleados seleccionados y a otros voluntarios que intentasen ingresar sin presentar una identificación apropiada. Algunos de estos examinadores presentaron licencias de conducir y otros documentos, mientras que a otros se les entregó insignias legítimas de antiguos empleados. Además de ello, a varios verificadores se les pidió que tratasen de convencer a los oficiales de seguridad que les dejasen pasar. Los resultados de estos ejercicios iniciales de penetración fueron excesivamente malos: De 16 intentos para ingresar a la instalación, 15 tuvieron éxito.

Las razones por las que los verificadores pudieron penetrar en la instalación cayeron de modo general en una de tres categorías: En la primera, el oficial de seguridad no inspeccionaba visualmente la insignia de identificación de cerca. Tales fallas permitieron que ingresase con éxito una mujer de unos 30 años mostrando la insignia de un empleado varón de unos 50 años.

En otras oportunidades, el o la oficial de seguridad se dejaba distraer por la amabilidad de los examinadores.Por ejemplo, una empleada de recursos humanos muy efusiva se puso a conversar con el oficial de seguridad antes de entrar a la instalación. El guardia se distrajo con la conversación y permitió que ella entrase a la instalación sin enseñar una insignia de identidad.

La tercera razón fue que el oficial de seguridad quedaba abrumado por el número de empleados que ingresaban por el punto de control en un momento dado: los que hacían la comprobación intentaban ingresar en los momentos excepcionalmente ajetreados, escabulliéndose por el puesto mientras el oficial estaba tratando con otros empleados o visitantes

Lecciones. A los guardias de seguridad se les informó los resultados de una manera no acusatoria.En las situaciones donde había errores debido a una falta de conocimiento, se tomó el tiempo para explicar las órdenes del puesto y otros aspectos de la operación. En las situaciones en las cuales los oficiales de seguridad no aplicaron un criterio apropiado, se desarrolló y expuso ante los oficiales una serie de escenarios escritos y verbales.

Después de que los oficiales dieron sus respuestas a estas situaciones, los oficiales y el supervisor analizaron el problema hasta que el supervisor quedó convencido de que el oficial había entendido lo que se esperaba.

Por ejemplo, se le describiría al oficial una situación como aquella del contratista a quién habían dejado entrar sin escolta en un área restringida en las primeras horas de la mañana, y su respuesta sería registrada por el supervisor.Las desviaciones en la respuesta del oficial con respecto a las órdenes del puesto y a la política de la compañía, así como asuntos más subjetivos como el criterio acertado, fueron anotadas y tratadas en sesiones de tutoría individual o en ejercicios adicionales de entrenamiento en grupo.

Este planteamiento puso a prueba a los oficiales en una forma carente de crítica, permitiéndoles practicar y aprender mejores técnicas para reaccionar en una situación real.Para aquellos oficiales de seguridad que se habían vuelto complacientes con el transcurso del tiempo, el simple hecho de que los escenarios de penetración se efectuasen en forma regular, dio como resultado un desempeño mejorado.

Después de que se condujeron los escenarios y se identificaron las deficiencias en el desempeño, se condujo un segundo conjunto de escenarios para evaluar el efecto del entrenamiento.El desempeño de los oficiales de seguridad después de los ejercicios de penetración fue comparado con los datos del análisis de necesidades reunidos al inicio de la iniciativa.La comparación mostró que el programa estaba produciendo resultados que se podían medir.

Como dijo el filósofo Epictetus hace más de 2000 años, “Sea lo que sea que quiere hacer habitual, practícalo”.Para el departamento de seguridad eso significa hacer que el personal practique los procedimientos en programas de entrenamiento adecuadamente diseñados hasta que la respuesta correcta también se vuelva habitual.

Scott Watson: CPP, CFE (Examinador Certificado de Fraudes), EMT (Técnico Médico de Emergencias), es un analista senior de gestión de riesgos que trabaja en Liberty Regional Agency Markets en Keene, New Hampshire.Posee maestrías en administración de justicia penal y en diseño de la instrucción y es el actual presidente del Capítulo Costero Tri-estatal de ASIS.

Entrenamiento de la A a la E

Siga estos cinco pasos para elaborar un programa de entrenamiento:

Análisis.

La primera etapa del modelo ADDIE, el análisis didáctico, es la base sobre la que se construye todo el programa. Aquí, el gerente de seguridad necesita determinar si el entrenamiento es la solución apropiada y, si lo es, cual será la meta o el resultado del entrenamiento.
El gerente debe efectuar un análisis de necesidades de entrenamiento para examinar otras causas posibles, como moral baja, compensación poco convincente, problemas sistémicos, y supervisión deficiente. Mientras efectua este análisis de necesidades de entrenamiento, el gerente debe utilizar numerosas fuentes de información, incluyendo entrevistas y cuestionarios a los empleados, una revisión de reportes de incidentes anteriores, pruebas diagnósticas, y la observación.

Tomada en su totalidad, esta información debe proporcionar suficientes datos al gerente de seguridad para que determine si la deficiencia de desempeño está o no relacionada con una falta de conocimiento o habilidad. Si lo es, entonces el gerente debe determinar cuál es el conocimiento o habilidad que falta y exactamente cuál es el objetivo final.

El Dr. Robert F. Mager esboza un método simple para determinar estas metas en su libro de 1997 titulado Preparando Objetivos Didácticos (Preparing Instructional Objectives, publicado por CEP Press).Mager divide los objetivos didácticos en cuatro secciones. El primero, conocido como tema, generalmente contiene una afirmación tal como “Al término del curso el estudiante podrá …(llenar espacio en blanco)”.Otras tres secciones siguen la afirmación del propósito: desempeño, criterios y condición.

La sección desempeño detalla exactamente lo que el gerente o el creador del curso quiere que hagan los estudiantes, identificando exactamente los comportamientos que se desean y cómo se medirá su cumplimiento.(Durante la fase de evaluación del modelo ADDIE, los resultados se juzgan según los estudiantes alcanzaron o no los objetivos de desempeño). Al escribir un estándar para medir el desempeño, uno debe evitar términos vagos que no puedan ser cuantificados fácilmente.

Una de las palabras que más se debe evitar es “comprender”. Es mejor escribir el objetivo en términos de acciones observables que muestren claramente que el empleado comprende.Por ejemplo, si un gerente de seguridad se quiere asegurar que los oficiales entiendan cómo crear una insignia de identificación para un empleado, entonces la medida de rendimiento deseado debe ser que el empleado pueda crear una insignia y la comprobación de esto sería hacer que él lo haga al final de la clase, a modo de examen.

La sección condición describe las circunstancias bajo las cuales el gerente desea que el empleado ejecute la tarea.Por ejemplo, la sección condición podría leerse “Se creará una insignia usando el sistema Badge-o-Matic 1200”.

La sección criterios incluye el grado de calidad o los estándares que se esperan cuando se ejecuta la tarea bajo las condiciones apropiadas.Siguiendo el ejemplo de crear una insignia para un nuevo empleado, el criterio puede ser que la insignia tiene que cumplir las normas corporativas generales para una insignia de identificación de empleado.

Cuando esté escrito de manera completa, el objetivo didáctico en este ejemplo podría leerse:“Al final de esta sesión de entrenamiento, el oficial de seguridad podrá crear una insignia para un nuevo empleado usando el sistema Badge-o-matic 1200 de acuerdo con las normas corporativas para insignias de empleado”.

Una vez que el gerente haya establecido los objetivos didácticos para el entrenamiento, debe revisarlos para ver si se pueden medir. En este caso, la respuesta es sí; como se hizo notar anteriormente, el gerente puede observar a los oficiales de seguridad que recibieron el entrenamiento mientras producen la insignia de identificación, lo cual mide el conocimiento adquirido según los estándares de rendimiento del objetivo.

Diseño.

La siguiente etapa trata el diseño del entrenamiento. Con los objetivos didácticos ya escritos, el gerente de seguridad debe determinar qué formato tendrá el curso de entrenamiento.La forma del entrenamiento debe ser elegida según el tiempo disponible, los costos financieros y al impacto operacional sobre el departamento. En ciertas situaciones, puede ser una instrucción autodidacta o en aula.Otra opción es un entrenamiento basado en escenarios hipotéticos, lo cual ofrece una importante herramienta complementaria de instrucción que puede ayudar a poner las lecciones de aula en una perspectiva de vida real para los estudiantes.

¿ Porqué entrenamientos basados en escenarios hipotéticos? Los estudiantes adultos tienden a dirigirse por sí solos, con objetos específicos en mente mientras aprenden un material nuevo. Típicamente son motivados por un deseo de ejecutar alguna actividad o alcanzar alguna meta en sus vidas privadas o profesionales. Además, debido a que los estudiantes adultos ingresan a las actividades educacionales con la riqueza de una experiencia externa de la cual extraen conclusiones, frecuentemente aprenden más de las experiencias y del conocimiento de otros estudiantes que de los instructores.

Infortunadamente, la mayor parte del entrenamiento de seguridad que se da en los centros de trabajo no toma en cuenta estos aspectos; en lugar de ello, está basado en técnicas diseñadas para niños de escuela: conferencias en aula o lectura de libros de texto, sin participación del alumno y sin manera de adaptar el entrenamiento a problemas específicos del lugar.

El entrenamiento basado en escenarios hipotéticos resuelve muchos de estos problemas.Debido a que los escenarios están diseñados para poner a prueba la respuesta del personal contra amenazas especificas del local, ellos estimulan al aprendizaje activo del material pertinente.El entrenamiento basado en escenarios hipotéticos también permite que el gerente de seguridad compruebe tanto las capacidades del personal como los procedimientos establecidos en situaciones que simulan la tensión de un evento real.

Desarrollo.

El jefe de seguridad necesitará determinar exactamente la apariencia del curso o entrenamiento.Para este finalidad, el gerente de seguridad usará los objetivos didácticos de la etapa de análisis y la decisión sobre el formato adoptada en la etapa de diseño, y revisará los recursos que tiene a su disposición. Los aspectos específicos del entrenamiento dependen del tamaño del departamento y el nivel deseado de formalidad para el producto final.

Implementación.

Implementar el programa es el próximo paso. Una vez más, según el tamaño de la operación, los recursos disponibles y el nivel deseado de formalidad, este paso puede tomar sólo un día o hasta varios meses para concluirse.

Evaluación.

El propósito de la etapa de evaluación es determinar si los estudiantes han aprendido el conocimiento o las habilidades deseados. Los gerentes pueden determinar el éxito del programa repitiendo la etapa de análisis para observar si la deficiencia de desempeño ha sido eliminada.Pero el gerente también debe revisar el programa de entrenamiento en sí, considerando los resultados de desempeño en el transcurso del tiempo, la retroalimentación de los estudiantes, los costos asociados y los impactos operacionales sobre el departamento.Estos resultados, tomados en su totalidad, deberán entonces ser utilizados para mejorar el programa de entrenamiento.


 
 Respond to this message   


Forum Owner
Charla Tecnológica 01April 27 2004, 3:19 PM 

Charla Tecnológica 01
Por DeQuendre Neeley

www.securitymanagement.com

Haciéndolo difícil

Las brechas en la seguridad han sido tradicionalmente escondidas por compañías y gobiernos, que temen la publicidad e imitaciones negativas. Pero preocupadas por la creciente amenaza de ataques, más compañías están recurriendo a las fuerzas del orden público para llevar ante la justicia a los que tratan de infiltrarse en sus redes. Como resultado, más intrusos de sistemas están siendo encontrados responsables?

No, de acuerdo a un estudio reciente de David Banisar, abogado y activista de la privacidad. Aunque la cantidad de casos de "hackers" enviados a proceso se ha multiplicado en los últimos años, encontró que la proporción de procesos sigue muy baja y que las sentencias se quedan aún más atrás. En "Criminal Justice Weekly" (Semanario de Justicia Criminal) se publicó un resumen de sus hallazgos preliminares; Banisar afirma que está trabajando en un análisis más completo de los resultados.

Mediante el Acta de Libertad de Información y trabajando con información obtenida de la Oficina de Acceso a Expedientes de Transacciones, ubicada en la Universidad de Syracuse, Banisar reunió los 419 casos llevados a juicio desde 1992, así como las sentencias distribuídas en los 83 casos que se trabajaron. Desde 1992, los casos considerados para proceso se han más que triplicado, aunque anualmente, entre ese año y 1998, el Departamento de Justicia ha rehusado abrir proceso entre el 64 y 78 por ciento de esos casos.

La mayoría de estos casos fueron procesados bajo el Acta de Fraude y Abuso de Computadoras, el cual prohibe el acceso no autorizado o la distribución de programas, como los virus, que pueden robar o dañar la información. Alrededor del 40 por ciento de ellos no fueron considerados por no existir evidencia de intención delictuosa ó una cláusula en la ley que ha sido criticada por muchas agencias federales de justicia, así como por evidencia débil o inadmisible, o carencia general de pruebas de que una ley federal había sido violada. Aquellos casos que sí pudieron continuar culminaron en penas insuficientes, las cuales Banisar culpa a la falta de normatividad para dictar sentencias.

Banisar halló, por ejemplo, que de los 57 casos del año pasado, 10 personas fueron halladas inocentes y 47 fueron convictas de delitos con computadora, pero de estas convictas, 20 cumplieron condenas de 5 meses en promedio mientras que más de la mitad no tuvieron ninguna condena.

Banisar no se encuentra solo en la búsqueda de fallas en la ley actual sobre delitos con computadoras. El agente especial del Servicio Secreto de EEUU, Jeff Schaffer, mencionó a "Security Management" que los investigadores de dicha agencia han estado conversando en el Congreso para que se retire la cláusula de "intención", la cual requiere que los fiscales prueben que el acusado trató deliberadamente de cometer fraude.

Pero la abogada Jennifer Granick, de San Francisco, dice que hay otro motivo para el bajo número de procesos exitosos y el predominio de sentencias leves. "Esta no es una señal de que (los hackers) no están compareciendo ante la justicia. Es una señal de que está siendo investigada mucha más gente de la que debería ser", dice Granick, quien ha representado a varios hackers de alto perfil. "Las bajas sentencias pueden significar que el engaño sobre la amenaza de los hackers es exactamente eso, un engaño".

"Las empresas tienen razón al dar mucha atención a sus asuntos de seguridad", dice Granick, Sin embargo, ella dice que tienen que hacerse distinciones entre los tipos de piratería informática. Dice, "Me gustaría ver que sean procesados los delitos serios de piratería, robos maliciosos y en gran escala, y el ciberterrorismo, pero la ley debe hacer una distinción entre eso y algo como ingresar indebidamente a un sitio en la Web y colocar mensajes sin autorización. Es una imprudencia que los fiscales y la ciudadanía piensen que el proceso penal es la manera adecuada de resolver todos estos problemas".

Combatiendo las barreras al comercio electrónico

El emergente mundo de los negocios electrónicos está lleno de impedimentos potenciales contra la rentabilidad. ¿Cómo puede hacer el gerente de negocios promedio para hallar significado a toda la tecnología y tener éxito en el próximo milenio, al mismo tiempo que debe soportar regulaciones y estándares industriales?

Aparece la Alianza Internacional de Seguridad, Confianza y Privacidad (International Security, Trust and Privacy Allianceó ISTPA), una nueva organización encabezada actualmente por 16 compañías de computación, comunicaciones, banca, semiconductores y consultoría, incluyendo IBM, Hewlett-Packard, Bank of America y KPMG. La misión: romper las barreras del comercio electrónico, incluyendo la falta de comprensión acerca de las capacidades, limitaciones y riesgos de varias tecnologías; la falta de operatividad entre productos y los estándares incompletos o inconsistentes. En los próximos meses se espera que la ISTPA emita su posición y documentos relativos a sus metas.

Adicionalmente, el grupo está evaluando cómo lograr consentimiento verificable, tal como el consentimiento de los padres, para interacciones con las páginas Web y cómo incorporar infraestructura pœblica clave en las iniciativas privadas.

Bytes rápidos

Presentación electrónica. El próximo año, aproximadamente 3.5 millones de canadienses podrán remitir directamente sus impuestos a la oficina de Tributación de Canadá, vía Internet. Luego de una fuerte demanda del público y de un período de pruebas de dos años para solucionar asuntos importantes de seguridad, se ejecutará un programa piloto para estudiar la logística de la operación. El sistema estará basado en infraestructura pública clave.

Hablando de IPC (Infraestructura pública clave).- Los vendedores de seguridad han estado promoviendo la infraestructura pública clave como la solución de seguridad para el futuro. Sin embargo, las proporciones de adopción se encuentran estancadas, de acuerdo a la analista senior de seguridad Diana Kelly, del Grupo Hurwitz. Ella ha redactado un breve análisis de la tecnología, explicando a qué se debe todo el alboroto y cuáles son las consideraciones que deben tener en cuenta las empresas antes de aplicar el IPC.

Estudio de violaciones de seguridad.- El Departamento de Comercio e Industria británico busca realizar una consulta pública sobre un estudio de brechas de la seguridad, que planea conducir entre 1,000 de las más grandes compañías del mundo. El estudio, por publicarse en Abril, se referirá a la conciencia de seguridad, al análisis de incidentes, al costo de las brechas de seguridad, a las mejores prácticas y al "benchmarking". (comparaciones y referencias con otras compañias)

Evaluando los riesgos de la información

Un nuevo estudio de la Oficina General de Contabilidad (GAO) ofrece a las agencias federales y a las organizaciones privadas, una guía de las mejores prácticas para determinar la vulnerabilidad de sus sistemas de información mediante efectivas evaluaciones de riesgos.

El informe, "Evaluaciones de Riesgos para la Seguridad de la Información: Prácticas de Organizaciones Líderes", delinea las prácticas de cuatro organizaciones anónimas: una compaóía petrolera multinacional, una firma de servicios financieros, una compaóía de equipos y programas para computadora, y una agencia regulatoria del gobierno. El anonimato fue una condición requerida por las tres firmas privadas.

"Cuando se trata de seguridad, nadie quiere mostrarse como un buen ejemplo o mal ejemplo", dice Jean Boltz directora asistenta de sistemas de información del gobierno y defensa, en la División de Administración de Información y Contabilidad de la GAO. "Ellos saben que se convertirán en blanco".

Los investigadores encontraron que aunque los métodos de implementación varían segœn cada organización, todas se guiaron por varios principios comunes, que fueron críticos para poder tener éxito:
· Obtener el apoyo y la participación de la alta gerencia.
· Nombrar puntos focales (grupos o personas encargadas del planeamiento y coordinación general).
· Definir y documentar los procedimientos detallados.
· Contactar con gerentes de negocios y con expertos técnicos.
· Mantener a las unidades de negocios individuales como responsables de implementar las recomendaciones.
· Encargar a las unidades individuales la iniciación y conclusión de sus propias evaluaciones.
Cada una de las organizaciones también utilizaban procesos similares, como identificar y priorizar recursos críticos, y herramientas similares, como cuestionarios y programas informáticos analíticos.

Anteriormente las evaluaciones de riesgo de la información no clasificada eran obligatorias para todas las agencias federales, dice Boltz. La responsabilidad, sin embargo, fue suspendida algunos años atrás por la Oficina de Administración y Presupuesto. Muchas agencias estaban gastando enormes sumas de dinero en complicadas evaluaciones que se guardaban luego de ser concluídas, sin ser transformadas en ningœn plan activo.

Todavía se requiere que todas las agencias basen sus gastos de seguridad en los riesgos, dice Boltz. Esta división ha llevado a alguna confusión sobre qué hacer y fue el impulso para el informe de la GAO, el cual busca ayudar a que las agencias federales cumplan con las regulaciones y ofrecer al sector privado, ejemplos de fuertes controles de seguridad.

Juegos para cumplir

El asedio sexual es una seria preocupación, pero un banco piensa que la mejor forma de hacer que los empleados lo tomen en serio, es tratándolo como diversión y juegos bueno, como un juego de computadora, para ser más precisos. Se llama el "Solitario del asedio sexual" y es sólo uno de una nueva línea de productos que trata de educar a los empleados disfrazando como juego lo que es una instrucción interactiva .

Los juegos fueron creados por Marc Prensky, quien tiene su propia firma de juegos para computadora, Corporate Gameware. (La firma luego se convirtió en una subsidiaria del Banker's Trust, pero recientemente se independizó luego de haber sido separada durante la adquisición de un banco.)

"Nos esforzamos en dos cosas: aprendizaje y compromiso" dice Prensky. La meta era adaptar métodos de entrenamiento para la generación más joven, "que piensa y aprende de maneras totalmente diferentes", dice.

Pero el nuevo enfoque puede aplicarse a cualquier edad. Debido a la naturaleza adaptable de los juegos, dice Prensky, los gerentes de seguridad podrían verlos como una forma práctica de reforzar la conciencia de seguridad entre los empleados o para entrenar a los vigilantes en la política de la empresa.

Corporate Gameware está ofreciendo ahora unos doce de tales juegos, a un precio de aproximadamente US $1,500 cada uno. Se juegan temas como "Solitaire" (Solitario) y los enormemente populares juegos de acción "Doom" (Perdición) y "Quake" (Terremoto).

Cada juego viene en un estuche cuyo contenido es personalizable, de forma que los usuarios finales puedan adaptarlos para cualquier propósito. Por ejemplo, ABN Amro North America emplea el juego "Straight Shooters" (Tiradores Directos ) como una forma de comprobar si los nuevos empleados están asimilando la información que reciben en su orientación. En Straight Shooters los empleados pueden identificar a personas conflictivas y arreglar los problemas usando un arsenal lleno de, por ejemplo, el siempre importante teléfono celular.

Peter Barnes, un analista senior de políticas del Departamento del Tesoro de Canadá, planea usar un programa similar para enseóar seguridad ocupacional y salud. El está trabajando con BLMC Inc., ubicada en Ontario, para modificar uno de sus programas de entrenamiento computarizados, llamado "Due Dilligence" (debida diligencia), para poder cubrir sus necesidades específicas.

Sin embargo, algunos académicos miran con malos ojos este entrenamiento con forma de juego. David Merrill, profesor de Tecnología de la Instrucción en la Universidad Estatal de Utah, dice que cuando los juegos tienen demasiados pitos y campanillas, el programa se desvía de lo más importante del proceso de aprendizaje. Indica que la guía, la repetición y la práctica, así como el refuerzo, caen al costado del camino.

Restringiendo las Pérdidas de Computadoras Portátiles

La estrategema es probablemente vergonzosa: dos ladrones dan vueltas por la zona de recogido de equipajes del aeropuerto, esperando un confiado viajero que lleve una computadora portátil (laptop). Uno de ellos pasa por el detector de metales mientras el otro se coloca delante del viajero y detiene la fila de pasajeros, normalmente desconectando el detector o vaciando lentamente el contenido de sus bolsillos. Mientras tanto, la computadora portátil es transportada por la faja, de donde la retira el primer ladrón.

De acuerdo a un estudio de la aseguradora de computadoras Safeway Inc., a pesar de que en 1998 las pérdidas de computadoras portátiles fueron menores en aproximadamente 6,000 al compararlas con 1997, todavía están adelante entre las computadoras de toda clase que fueron robadas, con 306,000 portátiles aseguradas que fueron hurtadas, comparadas con 44,000 PCs.

Un funcionario de tecnología de una compaóía fabricante del medioóoeste, dijo que su compaóía perdió alrededor de U.S. $125,000 en robos de equipos de computación, del cual cerca del 85% se debió œnicamente al robo de computadoras portátiles. La compañía inició un programa de concientización que enseño a los empleados a:
· Tener registrados el número de serie, marca y modelo del equipo.
· Nunca dejar las computadoras portátiles lejos de su alcance cuando estén viajando y sólo colocarlas en los detectores de rayos X cuando estén seguros que son los siguientes en la fila del detector de metales.
· Cuando no se use, tener la computadora portátil en la caja fuerte del hotel.
· Durante los intermedios en las conferencias, desconectar y llevarse la computadora portátil empleada en las presentaciones.
Adicionalmente, la compaóía planea grabar un código identificatorio en las computadoras, para ayudar a probar la propiedad de una portátil robada que haya sido recuperada.

Algunos productos pueden ayudar a las compaóías a proteger las computadoras portátiles cuando los empleados las retiran del lugar de trabajo. Por ejemplo, se puede instalar un programa en la computadora y configurarse de modo que periódicamente marque un número que rastrea el paradero de la computadora. Otros productos implican el uso de un rótulo adhesivo que requiere gran fuerza para ser retirado. Si el rótulo fuese finalmente desprendido, deja una mancha grande de tinte, la cual indica que el equipo ha sido probablemente robado.

La información almacenada en la computadora portátil, que es más valiosa, también necesita protección. Los empleados deberán ser entrenados en el uso de códigos de acceso, encriptación, programas antivirus y preparar respaldos con frecuencia, dice un funcionario jefe de información de una compaóía con base en Nueva York, la cual solicita a sus empleados que adquieran sus computadoras portátiles, razonando que los empleados cuidarán mejor sus propias pertenencias.

Se proponen mejores prácticas para el comercio electrónico

También en el frente del comercio electrónico, una coalición de más de 100 negocios globales, que tienen como punta de lanza a la editorial ZiffóDavis, está proponiendo nuevos lineamientos para el negocio electrónico. El "Estándar para Comercio en Internet", como es llamada la propuesta, es una guía de las mejores prácticas para comerciantes de la Web, cubriendo temas como privacidad del usuario y seguridad en las transacciones, y controles administrativos tales como garantías, devoluciones y respaldo.

Los organizadores dicen que el estándar no es simplemente un esfuerzo para rechazar las regulaciones mundiales sobre comercio electrónico. En lugar de eso, es un serio esfuerzo para traer un poco de orden al caos del comercio electrónico, para el beneficio tanto de clientes como de los negociantes.

La propuesta está siendo considerada como uno de los estándares más democráticos que se han creado para la industria. En vez de ser preparados por un pequeóo grupo de líderes de la industria, los estándares estuvieron abiertos a los comentarios del pœblico en general durante varias semanas y todas las respuestas serán consideradas, antes que los lineamientos finales estén listos, de acuerdo a Kelly Larabee, funcionario de relaciones pœblicas que trabaja en el proyecto.

A los consultados se les pidió que seleccionasen sus mejores prácticas, de acuerdo a una lista de items. Por ejemplo, se les preguntó qué tipo de información debería ser encriptada por los comerciantes: información sobre pagos, información sobre la identidad y pagos del comprador, información relativa a todas las transacciones, toda la sesión de compra e información proporcionada por el cliente, o todas las interacciones entre el comerciante y el cliente.

Aunque la propuesta recibió amplio apoyo, no dejó de existir alguna crítica, Por ejemplo, una persona respondió haciendo notar que no se habían brindado suficientes opciones a los comerciantes para protegerse a sí mismos y a los clientes contra la sustracción de identidades. Aún así, los comentarios en general han sido favorables a los esfuerzos de la industria.

Se espera que el actual documento en borrador esté concluído en diciembre y que esté disponible en el sitio Web de la Coalición. Además el pœblico está invitado a comentar sobre los próximos borradores, los cuales serán actualizados de acuerdo a los cambios en las prácticas y tecnología.


 
 Respond to this message   


Forum Owner
Charla Técnologica 02April 27 2004, 3:20 PM 

Charla Técnologica 02
Por DeQuendre Neeley

www.securitymanagement.com

Más Beneficios por su Dinero

No sólo se están incrementando los ataques a las redes de los bancos, sino que sus costos asociados también están aumentando rápida y súbitamente. Esa es la conclusión de un estudio efectuado por la Corporación de Integridad Global, con base en Reston, Virginia.
"Sin Carácter Oficial: Un Estudio de Altos Ejecutivos de Infosec", pinta un retrato decididamente pesimista sobre las amenazas que enfrentan las redes bancarias.

El estudio estuvo basado en una encuesta enviada a 50 de las instituciones financieras más grandes del mundo. A las consultadas se les prometió el anonimato a cambio de su sinceridad. Sus respuestas revelaron que durante el último año muchas habían experimentado por lo menos una violación seria de su sistema informático.

Para los intrusos, nada fue sagrado. Saquearon sitios de Internet, sistemas de correo electrónico y varias redes en los departamentos bancarios, desde el de mercadeo hasta el legal. No es sorprendente que varios abusos fueran efectuados por personas internas de la organización.

Las pérdidas provenientes de ataques cibernéticos fluctuaron de US$45,000 a US$850,000. El costo promedio total de cada ataque, incluyendo los gastos de mantenimiento fue de US$500,000. En total, las compañías analizadas perdieron 8.8 millones de dólares por responder a las amenazas e incidentes durante el último año, de los cuales 5 millones se debieron en general al tiempo empleado por el personal para responder al incidente. El valor de los datos destruidos o robados por los intrusos significó 2.3 millones de dólares de las pérdidas totales.

¿Las soluciones? Sorprendentemente, los consultados no pidieron mayores presupuestos ni más tecnología para mejorar la seguridad. Más bien, la mayoría de los gerentes de seguridad de información que fueron consultados, dijo que una mayor conciencia y entrenamiento de seguridad ayudarían a contener la marea de inseguridad que existe en la red.

La FTC gana Caso en la Red

El nuevo laboratorio de Internet de la Comisión Federal de Comercio (FTC), que fue establecido en septiembre para brindar apoyo de alta tecnología a los abogados e investigadores de la agencia, ha culminado exitosamente su primera investigación.

El caso involucró a administradores de redes de la Web (Webmasters), ubicados fuera de los Estados Unidos, que empleaban una treta para direccionar indebidamente a los usuarios de Internet hacia sus sitios pornográficos.

Los Webmasters copiaron casi 25 millones de sitios -desde la Revista Legal de Harvard hasta el Jardín Japonés de la Amistad- y usó esos sitios reflejados como señuelos para atraer a inocentes observadores hacia sus pizarrines de material pornográfico. Una vez que los usuarios llegaban al sitio con material para adultos, quedaban "atrapados como ratas", dice Jodie Bernstein, directora de la Oficina de Protección al Consumidor de la FTC. Los comandos "Atrás" y "Salida" o "Cerrar" en sus buscadores eran inutilizados; los usuarios quedaban atrapados en un círculo con más sitios para adultos mientras intentaban salir, hasta que se rendían y tenían que reiniciar sus computadoras.

La FTC supone que los autores del fraude ganaron dinero por los ingresos obtenidos al incrementarse los avisos publicitarios. Probablemente pudieron cobrar mayores tarifas de publicidad, al garantizar virtualmente un mayor número de visitantes a estos sitios debido al secuestro digital, dice la portavoz de la FTC, Victoria Streitfeld.

La FTC decidió intervenir después de recibir numerosas quejas de clientes y de empresas cuyos sitios en la Web habían sido engañados. La agencia estaba instalando simultáneamente su laboratorio de Internet y tomó el problema de penetración informática como su primer caso. Debido a que muchos de los sitios Web iban rápidamente de una parte a otra, los investigadores trabajaron en conservar los sitios para usarlos como evidencia en las audiencias judiciales.

Además, varios "agentes especiales", pequeños programas para ubicar los sitios Web, fueron usados para peinar la Web y encontrar las páginas ilegales diseñadas por los Webmasters.

Además, los investigadores trabajaron con organizaciones similares la Comisión de Competencia y Consumo de Australia y el Instituto del Consumidor de Portugal- para rastrear a los supuestos perpetradores.

Un juez de una corte distrital aprobó un mandato preliminar, que retiró en forma efectiva el sitio Web de los sospechosos, al suspender los registros de servicio de sus nombres de dominio. (Antes de ingresar a la Web, todos los sitios de la Web que acaban en ".net, .com, o .org" deben ser anotados ante un registrador de la Web.)

Las compañías pueden tomar medidas para prevenir que, de manera similar, sus sitios en la Web puedan ser mal usados.(1) De acuerdo al "Submit Express", un periódico distribuido por correo basado en la Internet, existen algunos recursos técnicos que pueden usar las empresas para reducir el riesgo de que sus páginas sean secuestradas, tales como instalar programas "encubiertos". @ Haga enlace con este periódico (Edición #9) a través de SM Online.

Defensa

Aunque el Instituto de Seguridad de Computación ha manifestado que existe una creciente cooperación entre los gerentes corporativos de seguridad informática y los órganos que controlan el cumplimiento de la ley en la batalla contra los delitos cibernéticos, un estudio informal en una reciente conferencia auspiciada por el Instituto de Entrenamiento MIS, revela una opinión extendida entre algunos ejecutivos corporativos, respecto a que dichos órganos no son capaces de manejar estos casos o que están demasiado ocupados para dedicarse a ellos.

Frustrados por un escenario legal poco estricto, algunos en la industria parecen estar listos para defenderse. De los 500 encuestados, 44 por ciento dijo que habían pensado ir más allá de simplemente proteger sus redes y pasar a lanzar contraofensivas contra sus enemigos ocultos. Pero casi el 40 ciento se opuso a la idea de tomar acción con sus propias manos.

"Pienso que querer defenderse es una reacción natural de la mayoría de los que son víctimas de un delito" dice Steven Chabinsky, consejero general asistente del FBI y asesor del Centro Nacional de Protección de Infraestructuras. "Pero claro, nosotros hemos desarrollado en nuestra sociedad la noción de que en materia de criminalidad no es apropiado que los ciudadanos repriman y sancionen directamente los delitos y delincuentes".

Las implicaciones de contraatacar han sido debatidas durante algún tiempo entre encargados de escribir programas de computadora y de proteger redes informáticas. Fue un tema que generó marcado debate en los foros de discusión de la Internet hace unos cuantos meses, con respecto a un sistema altamente controversial llamado Blitzkrieg (Guerra relámpago), diseñado por el FutureVision Group (Grupo de Visión del Futuro), de Santa Fe, Nuevo México. Ese sistema pretendía contraatacar enviando viruses a la computadora del intruso. (Vea "Spotlight", septiembre 1998). Los administradores de redes se opusieron al concepto de un contraataque considerándolo no sólo inmoral sino también ilegal.

En un estudio más reciente, mientras una minoría favoreció el tomar acciones corporativas extremas y directas, la mayoría favoreció el tipo de contramedidas empleadas por el Departamento de Defensa el año pasado. En esa ocasión un grupo de especialistas en tecnología empleó una aplicación de Java, especialmente programada para desactivar la conexión de un grupo de activistas políticos que estaban intentando anular el servicio en el sitio Web del Pentágono, al cargarlo excesivamente de requerimientos.

Sin embargo, las acciones tomadas para proteger la seguridad nacional no pueden compararse con las tomadas para proteger información privada. Las compañías que lancen contraataques podrían colocarse en el lado equivocado de la ley, dice Bruce Middleton, especialista senior de seguridad en Hughes Network Systems (Sistemas Hughes para la Red).

"El aspecto clave en los contraataques es asegurarse que Ud. está siguiendo a la persona correcta" dice Middleton. " Muchos de quienes atacan los sistemas se esconden detrás de otros sistemas o tratan, a través de medios técnicos, de hacerse pasar por otros o por algún otro sistema. Si su contraataque golpea a un blanco equivocado...usted mismo se habrá convertido en el atacante de un blanco inocente."

Middleton, que es consultor del proyecto del Departamento de Defensa (DoD), dice que el sistema de contraofensiva está siendo desarrollado aún más. Está diseñado para determinar la ubicación exacta del atacante, colocar una marca en su sistema para probar que él fue quien atacó, desconectar al delincuente y lanzar una advertencia a la parte responsable.

Chabinsky advierte a cualquier administrador de red que esté considerando seguir este camino, que primero inicie acciones civiles y penales contra los atacantes. "Hace años, los organismos responsables de controlar el cumplimiento de la ley no se encontraban en la mejor posición para reaccionar ante los delitos informáticos" dice, pero las leyes y las entidades del gobierno se están organizando para enfrentar el desafío.

Por ejemplo, el FBI ya no necesita que exista una pérdida monetaria específica para investigar un caso relacionado con computadoras, siempre y cuando el sistema accesado corresponda a una "computadora protegida". Chabinsky afirma que bajo una definición amplia, cualquier computadora conectada a Internet y usada para comunicaciones inter-estatales y extranjeras, está cubierta. Además, dice que aunque cada caso no sea motivo de demanda, el contacto vale la pena porque ayuda a los investigadores en otros casos.

Las compañías también pueden dar algunos pasos creativos para defenderse. Por ejemplo, dice Chabinsky, los sistemas de detección de intrusión pueden ser programados para re-direccionar o "encajonar" un ataque en un área especialmente preparada para permitir a los crackers (saboteadores de sistemas) que consigan lo que ellos piensan que es información deseable, pero que realmente son datos sin valor, puestos allí por el administrador. Esta táctica proporciona tiempo para que los administradores de redes reúnan evidencia.

Además, cortar una conexión e incluso anular el navegador Web del saboteador, son acciones que se pueden interpretar como de razonable legítima defensa, dice Chabinsky. Los administradores deben consultar con el asesor legal para asegurarse que cualquier acción que planeen tomar se encuentren dentro de los límites de la ley.

Rapi-Bytes

· La prevención de delitos por computadora rinde. Los ingresos por las ventas de programas de seguridad aumentaron 39 por ciento en 1999, según International Data Corporation (Corporación Internacional de Datos). Unos pocos magnates corporativos -Network Associates y Computer Associates, International y ciertos tipos de productos -autenticación, autorización y administración- lideran el crecimiento. Se espera que para el año 2003, el mercado global esté alrededor de los 8.3 billones de dólares, una cantidad que excede las estimaciones previas de otras empresas de análisis de mercado.
· Windows en la seguridad. Anunciado como la mejor seguridad para un producto de Microsoft hasta la fecha, el Microsoft 2000, sucesor del NT, está capacitado para PKI, lo que significa que puede apoyar la infraestructura pública clave ( PKI en inglés), y es un sistema completo de autenticación y encriptación que mejora la seguridad en el negocio electrónico. @ Las compañías que consideren migrar a esta plataforma, pueden obtener ambos versiones de la historia, desde enlaces en SM Online. Entre los recursos se encuentra un documento de Microsoft y otros artículos que cuestionan la seguridad del nuevo sistema.
· Ciberterror. El ascenso y avance en las técnicas de ataques cibernéticos y en armas de destrucción masiva, permitiría a los terroristas alcanzar niveles de devastación sobre territorio americano hasta ahora no conocidos, concluyó un panel de expertos de seguridad nacional en un estudio titulado "La venida del nuevo mundo: la seguridad americana en el siglo 21" @ Léalo en la Web, en SM Online.

No cuente con éllo

En menos de un mes, todos averiguaremos qué va a suceder con los sistemas informáticos cuando se inaugure el Nuevo Año. Millones de líneas de código han sido escritas y probadas repetidamente. Todo lo que queda es contar los días restantes.

Bueno, está flotando por la Internet un mensaje infectado con virus que afirma poderle ayudar a averiguarlo. Bajo el disfraz de ser un programa "contador del año 2,000" de Microsoft, el invasor viene en un correo electrónico con el adjunto "y2kcount.exe." Una vez que está instalado transmite un virus parecido al infame gusano Explore.Zip, que devastó las computadoras hace meses al ingresar al e-mail y enviar al exterior los archivos de la computadora del usuario, según los informes de expertos antivirus. También intenta engañar al usuario haciéndole creer que el programa no se instaló correctamente al mostrar un mensaje de error, pero para entonces el virus ya se habrá transmitido.

Los expertos suponen que muchos usuarios corporativos finales puedan estar con la guardia baja, creyendo que este tipo de programa es una distracción no perjudicial. Los gerentes de seguridad deben advertir a los empleados que estén alerta contra éste y otros engaños parecidos que se presenten al final del año.

Para protección específica contra este virus y otras actualizaciones, las compañías deben consultar con sus proveedores de antivirus.

Es un "cracker", Jack

Nada confunde más los labios de los profesionales de la computación -y de la semi-oculta comunidad dedicada a estos asuntos- que el mal uso de la palabra "hacker". Casi sin excepción, la palabra es usada hoy para referirse a una persona que intenta penetrar en los sistemas de computadoras, generalmente con intención maliciosa.

Sin embargo, mucho antes que los "hackers" ocupasen los titulares, la comunidad informática frecuentemente empleaba la palabra para referirse a alguien que era simplemente adepto a las computadoras y a la programación. Eric Raymond, recopilador de "El Diccionario del Nuevo Hacker", define a un hacker como un "hábil programador" y a "good hack" como una "hábil solución a un problema de programación"

Por contraste, anotan los expertos, el término "cracker" fue acuñado especialmente para referirse a alguien que irrumpe en un sistema con intención maliciosa, para probar un punto o por lucro personal.

No obstante la definición de Raymond, el público y los medios de comunicación no muestran señales de volver a usar el término cracker en lugar de hacker, cuando se trate de actividades negativas hechas mediante la computadora. Ello no es sorprendente dado que la evolución de las palabras hacia un sentido exactamente opuesto ha sido común a lo largo de la historia. Por ejemplo "awful" (muy malo, horrible), alguna vez significó "awesome" (impresionante, imponente)

Sin embargo, el proceso normalmente toma siglos. Es quizás representativo de la era cibernética que los términos relativos a las computadoras pueden interpretarse equivocadamente sólo en décadas.

Para conocer lo último en lenguaje incomprensible, vocabulario especial y jerga, presione en Security Management Online, para un vínculo con Whatis, un sitio de la Web que contiene un diccionario de términos de computadoras.


 
 Respond to this message   


Forum Owner
Charla tecnologica 03April 27 2004, 3:21 PM 

Charla tecnologica 03
Por DeQuendre Neeley
www.securitymanagement.com

Sitios web subterráneos

Los sitios Web que dan instrucciones sobre cómo resquebrajar sistemas y cometer fraudes relacionados con la tecnología, están acelerando el auge de los delitos por computadora y se estima que les ha costado a las empresas más de 1 trillón de dólares el año pasado, en mantenimiento preventivo, recuperación, robos e ingresos no percibidos.

Esto es de acuerdo a un controversial estudio conducido por Computer Economics (Economía de Computadoras), una firma consultora de tecnología de la información, con base en Carlsbad, California. La metodología , de acuerdo al analista de investigaciones, Adam Harriss, incluyó encuestar 40 sitios Web subterráneos, así como examinar los estimados de gastos corporativos en seguridad

Los críticos del informe han dicho que las conclusiones son alarmistas y exageran el daño que se puede atribuir específicamente a estos sitios Web. Harriss dice que el informe fue sólamente un alerta a las corporaciones sobre qué clase de información está siendo compartida.

"No es sólo que los script kiddies (tipo de piratas informáticos) estén causando daño valorizado en un trillón de dólares", dice Harriss. "La cantidad incluye todo. Hemos considerado la propiedad e información sustraída, fraude, piratería, gastos de apoyo técnico, fraude con tarjetas de crédito, contrabando y venta de cable, costos preventivos y viruses", así como los costos asociados con otros delitos que son enseñados en esos sitios Web.

Además de encontrar que estos sitios Web están instigando la creación de delincuentes por computadora, el informe sugiere que el problema está agudizado por la propagación de la Internet en regiones o países nuevos o menos desarrollados, que tienen pocas o ninguna ley relacionadas a los delitos por computadora; por el predominio de aparatos inalámbricos que pueden integrarse a la Internet; así como por el bajo costo del hardware y de los periféricos de computadora usados para cometer estos delitos.

Sin embargo, el informe se enfocó en las herramientas de software gratuitas o de bajo costo proporcionadas por los sitios Web, que permiten que personas con poco conocimiento técnico se conviertan en instantáneos crackers de sistemas, desafíen el software de filtrado, roben los números de las tarjetas de crédito y engañen a las compañías teelefónicas. Las herramientas ofrecidas incluían un manual sobre cómo los usuarios de productos Microsoft podían evitar los costos del apoyo técnico después que la garantía había expirado; software que se infiltra en los discos duros de la gente que está en los ambientes de charlas interactivas y copia su software; un disco conteniendo 4,000 viruses, y guías para la venta clandestina de software.

El informe no sugiere que se proscriban los sitios, una acción que muchos expertos consideran que sería más perjudicial para las personas honestas que para las malas. "Aquellos de nosotros que escogimos defender la infraestructura en vez de atacarla, necesitamos desesperadamente la información contenida en la mayoría de esos sitios", dice Robert Ferrell, un especialista de Internet que trabaja en el Centro Nacional para los Negocios, del Departamento del Interior. "Si fuera ilegal obtener esa información peligrosa, entonces sólo la gente que infringiese la ley podría conseguirla... restringir efectivamente la explotación de la información les da una gran ventaja a los atacantes".

"Yo estoy de acuerdo en que los sitios de los hackers incitan el delito cibernético, pero creo que el efecto total va realmente a reducir sus ataques exitosos, al hacer que la misma información esté disponible para ambos lados de la cerca.

Otros se preguntan si las compañías de software están haciendo lo suficiente para combatir las vulnerabilidades en la seguridad. "El problema no es la disponibilidad de información sobre cómo violar un sistema", dice Jay Dyson, un administrador de Web de una agencia de gobierno, "el problema es, en primer lugar, que el sistema puede ser violado".

Golpe de policía inglesa al delito con computadora
El gobierno británico planea organizar una escuadra de la policía nacional para combatir el delito por computadora, de acuerdo a un portavoz de la agencia de inteligencia de ese país, el Servicio Nacional de Inteligencia Criminal (NCIS). El NCIS recomendó que el gobierno crease la escuadra, en su informe sobre delitos por computadora.
(@ enlazarse con el informe "Project Trawler" a través de SM Online)

Los organizadores no han decidido quién supervisará la escuadra, que se espera que entre en funciones en Marzo. El portavoz del NCIS, Mark Steals, dice que la supervisión sobre la escuadra puede estar dividida entre la NCIS y alguna otra agencia, como la policía metropolitana.

La unidad estará conformada por expertos de universidades, de la industria de alta tecnología y de los servicios gubernamentales de inteligencia, seguridad y policía. La unidad también intercambiará información con la Agencia Nacional de Seguridad de los EEUU y el FBI, así como con varias otras agencias alrededor del mundo.

Pendiendo de la asignación final de fondos, el grupo estará subdividido para poder enfrentarse a ramas particulares del delito cibernético, que incluyen pedofilia, falsificación, lavado de dinero, juego, robo de información, intrusión de sistemas, sabotaje, piratería de software, contenido perverso y pornografía.

Rapi-bytes

· Sólo diga no. Con US$ 300,000 en dinero invertido, la Asociación de Tecnología de la Información de América, está planeando lanzar una campaña de concientización "anti-hackers", dirigida a niños y jóvenes. El esfuerzo es parte de la Asociación Ciber-ciudadana (Cybercitizen Partnership), que es una unión entre el Departamento de Justicia y la industria de alta tecnología, formada en 1999. La campaña, que tendrá tres etapas y empleará multimedia, enseñará a los niños la importancia de la ética en el uso de las computadoras; a los estudiantes mayores se enfatizará las consecuencias de la actividad ilegal con computadoras. Las iniciativas sobre seguridad de la computación serán tratadas mediante enlaces con gerentes de negocios. @ Enlace con SM Online para más detalles. www.itaa.org/infosec/cyber.htm
· Alianza de seguridad.En el futuro las computadoras personales y el software para el consumidor estarán mejor equipados para realizar transacciones electrónicas seguras, si prospera una nueva coalición de fabricantes de alta tecnología. La recientemente establecida Alianza de la Plataforma de Computación (Trusted Computing Platform Alliance o TCPA), reune una pluralidad de tales grupos que desean poner su sello en la nueva generación de productos para computadoras y asegurar la inter-operatividad entre sus características de seguridad. Para fines del 2000, la TCPA planea emitir una especificación básica de seguridad para todas las computadoras personales, que puede incluir áreas especiales de almacenamiento de información confidencial, detección mejorada de viruses, generadores de claves para encriptación, y controles de privacidad. @ Visite el sitio Web de esta organización, enlazándose a través de SM Online. www.trustedpc.org
· Filtro para Internet.
Está haciendo avances en el Congreso un proyecto de ley de justicia juvenil, que requeriría a las escuelas y bibliotecas a que instalen software de filtro y bloqueo en las computadoras conectadas a la Internet. (Sólo las escuelas que reciben fondos federales tendrían que cumplirla). El software sería usado para bloquear el acceso a pornografía infantil, obscenidades y material considerado dañino para los menores de edad. Diferentes versiones del proyecto han sido aprobados por el Congreso y el Senado. Ahora las versiones deben ser concordadas por ambas cámaras en un comité de conversaciones.
· Se cuestionan los cortes en fondos para la seguridad de computadoras

En la versión final del proyecto de ley para las asignaciones de fondos del Departamento de Energía (DOE), firmada como ley por el presidente, el Congreso cortó los fondos para seguridad informática, de los 35 millones de dólares solicitados por la agencia, a 18 millones de dólares. Los funcionarios del Departamento habían solicitado el nivel original de fondos a la luz del escándalo por el espionaje en las instalaciones de armas nucleares.

De acuerdo a un miembro del Comité de Asignaciones del Congreso, los legisladores estimaron que el Departamento de Energía había presentado una "justificación inadecuada" por la mayor cantidad. Sin embargo, en una audiencia del Congreso llevada a cabo poco después de la aprobación del proyecto de ley, Eugene Habiger, director de la oficina de seguridad y operaciones de emergencia del Departamento de Energía, aseveró que será difícil mejorar la seguridad de las computadoras, debido al corte de fondos en el presupuesto solicitado,

Conforme a su testimonio, el DOE tiene "requerimientos válidos en el área de la ciber-seguridad, para adquirir hardware y equipo de encriptación y para entrenar a nuestros administradores de sistemas ...

Nos han dado una orden, pero no los recursos adicionales para cumplir esa orden".
· ¿ Están los hackers secuestrando los puertos de su impresora?
Es bien conocido ahora que los intrusos de sistemas pueden aprovecharse de puertas traseras dejadas en el software y de la seguridad inadecuada en los puntos de acceso remoto, así como de ataques de fuerza contra las contraseñas, para poder penetrar un sistema. Pero las empresas pueden no darse cuenta que los crackers pueden ordenar a las impresoras de red que lancen un ataque o que lo encubran.

De acuerdo a los miembros de Securi Team, una organización de investigaciones de seguridad basada en la Web, las impresors de una red se están volviendo tan sofisticadas como las computadoras de escritorio y poseen amplias capacidades de comunicaciones TCP/IP.

Aunque típicamente no contienen información confidencial, las impresoras de red pueden "hablar"a otras máquinas, "lo cual hace posible que los atacantes empiecen a lanzar sus ataques desde la impresora", de acuerdo al informe de la organización.

Debido a que la impresora generalmente no es tratada como una estación de trabajo normal, no deberían sorprender las pruebas que los intrusos hicieran allí. Adicionalmente, muchas impresoras no tienen registros detallados, así que rastrear un ataque empleando una impresora, podría ser más difícil.

En los últimos meses, la organización ha reunido numerosos informes sobre vulnerabilidades de la seguridad asociadas a impresoras de los principales fabricantes. Los problemas varían una escala desde conseguir acceso sin contraseña, para obtener el control total de la impresora, hasta ser capaz de iniciar la negación de ataques al servicio. /p>

Como resultado del incremento del riesgo, el equipo recomienda que los administradores de redes consideren a las impresoras como cualquier otra estación de trabajo, aplicando tanto de la misma protección como sea posible.Las contraseñas deben ser cambiadas y se debe vigilar estrictamente el acceso autorizado a la impresora.Más aún, debe configurarse un sistema de detección de intrusos o un "firewall" para bloquear los accesos no deseados.

· El "Backofficer Friendly
Un cierto tipo de software, conocido como "olfateador de puertos", puede ayudar a los administradores de sistemas a descubrir qué servicios en su sistema representan una vulnerabilidad y en dónde podrían sufrir un ataque, pero dicho software no puede indicar si los extraños están probando el sistema en búsqueda de esos puntos vulnerables.

Para llenar ese vacío, Network Flight Recorder, Inc. a cargo por Marcus Ranum, ha introducido el Backofficer Friendly, un servicio del servidor diseñado para engañar y que puede decirle a una compañía cuándo los puertos de la red corporativa han sido revisados por un scanner.Puede aparentar ser un servicio normal y responder a los pedidos, mientras va grabando la dirección IP del sistema intruso, así como las operaciones y comandos que ha enviado. Ranum afirma que la herramienta debe ser entendida como una herramienta para diagnóstico o "informacional", no como un medio para proporcionar las protecciones proactivas que tiene un "firewall".

La herramienta es una de las muchas que han sido producidas en los últimos meses, como una respuesta a las herramientas empleadas por los hackers, como "Back orifice" (orificio posterior), un software que puede monitorear y operar una computadora en forma remota (ver "Charla Tecnológica" de setiembre).Comunmente se sostiene que probablemente Back orifice es sólo la punta del iceberg, que programas escondidos aún más peligrosos van a ser propagados por toda la Internet.Cada vez están siendo buscadas más herramientas como BackOfficer Friendly, para ayudar a los gerentes de seguridad corporativa a determinar la extensión del problema y conocer cómo los crackers intentan sus asaltos.

Otro producto que efectúa similares servicios de monitoreo es AntiSniff, de L0pht Heavy Industries, Inc. un reconocido grupo de ideas para hackers.

Además, organizaciones tales como el Equipo de Respuesta para Emergencias en Computadoras, de la Universidad Carnegie Mellon y el Instituto Nacional de Normas y Tecnología, ofrecen herramientas gratuitas en línea.

@ Enlácese para más información vía Security Management On line Charla sobre herramientas: El "Backofficer Friendly"("Oficial de apoyo amistoso")
· ¿Qué hay en un nombre?

Los programas de software que buscan vulnerabilidades en una red corporativa carecen de términos comunes para referirse a esas aberturas.Y eso le dificulta al administrador de sistemas poder comparar productos o interpretar los hallazgos cuando emplean un programa.

Para evaluar el problema, un grupo de vendedores y académicos han desarrollado lo que se llama la Lista de Vulnerabilidades y Exposiciones Comunes (CVE en inglés).Esta asigna un número a cada vulnerabilidad que puede ser detectada por los productos de seguridad de software.

El grupo quiere que los programadores usen esta lista como un lenguaje estándar de referencia en sus productos de seguridad.Cuando, por ejemplo, un gerente de seguridad corporativa emplea un IDS para probar si una red tiene vulnerabilidades, el informe tendrá un campo adicional de salida conteniendo el CVE para cada problema encontrado. El CVE actuará como un identificador de estándares. Si el gerente de seguridad tiene otros productos con CVE integrado que están leyendo otras plataformas, podrá hacer una referencia cruzada de sus conclusiones y comparar los resultados. Aún para sólo un producto, el grupo espera que el CVE facilite la preparación de informes, al darles a los gerentes de seguridad una herramienta de búsqueda rápida y confiable. El o la gerente podría usar el CVE para buscar todas las vulnerabilidades relacionadas por ejemplo, con un flujo excesivo sobre muelles.

El éxito de CVE depende de si es adoptado ampliamente. Ya está fuera para un inicio tentativo, con algunos vendedores tomando una posición de esperar-y-ver.

Unos pocos vendedores, sin embargo, están planeando integrar la lista al menos a algunos de sus productos. Cybersafe recientemente anunció que su Centrax IDS está ahora integrado con CVE; ISS pondrá la lista en su producto Internet Scanner (Lector de Internet); y el nuevo lanzamiento de HackerShield (Escudo de Hacker) de Bind View, incorporará la lista. Pero Marcus Renum, de Network Flight Recorder, dijo que su compañía sólo trabajará en la integración si hubiese una gran demanda por ella.

Algunos en la industria han mostrado su preocupación en una discusión por e-mail a cargo de Ranum.

Encuentran una falla en el campo de salida del informe, por sus detalles insuficientes y dicen que su forma numérica lo hace menos amigable para el usuario, de lo cual se culpa al consejo editorial, por su falta de representatividad de los verdaderos usuarios finales de los productos de seguridad.

También existe el aspecto de la competencia. La lista se compone de vulnerabilidades para encontrar cuáles son creadas por los productos de los vendedores. ¿Cuánto se puede esperar razonablemente que compartan los vendedores? Ranum, por ejemplo, hizo la observación de que el producto particular de un vendedor podría estar buscando un método particular de ataque que otros productos no buscan y no quiere divulgar esa información al consejo del CVE. Sin embargo, los proponentes se opusieron al argumento, indicando que no es probable que algún producto de seguridad pueda apoyarse en éxitos no revelados, porque no es probable que éstos permanezcan como propiedad de un vendedor en particular. @ La lista está disponible en línea.


 
 Respond to this message   


Forum Owner
Charla tecnologica 04April 27 2004, 3:22 PM 

Charla tecnologica 04
NOTICIAS Y TENDENCIAS
Por; Michael A. Gips
www.securitymanagement.com

Atascamiento de puerta

Esta es la situación: un ladrón entra a una tienda por la Puerta A, comete un delito y luego sale por la Puerta B.Siguiendo el procedimiento, un empleado cierra con seguro todas las puertas exteriores luego de que el ladrón ha escapado.Rápidamente aparecen para investigar los representantes de seguridad de la corporación y de las organizaciones que hacen cumplir la ley. ¿Importa cuál puerta les abren los empleados?

Esta interrogante, recientemente planteada en línea a los miembros de una lista de servicio para discusión de los robos a mano armada, es una de las muchas situaciones relacionadas con robos que no es tomada en cuenta de antemano por el personal en general de las tiendas o bancos.Sólo uno de cada seis profesionales de la seguridad y del cumplimiento de la ley que contestaron en línea, tuvieron la respuesta correcta: a los investigadores se les debe dejar ingresar a través de la puerta por la que entraron los ladrones, porque cualquier huella existente en la perilla exterior de dicha puerta sería poco útil como evidencia.La mejor evidencia estaría en la puerta usada para salir, ya que las huellas del ladrón en ese caso estarían en la perilla de adentro. En consecuencia, los empleados deben mantener a todos alejados de la puerta usada para la fuga.

El problema, de acuerdo al moderador de la lista de servicios John D. Moore, CPP, es que “los entrenados se sienten intimidados por los oficiales de policía que piden que les dejen entra”. Por eso, aunque puedan saber lo que el ladrón ha tocado, los empleados pueden someterse a la opinión de la autoridad policial, incluso si pareciera que la evidencia va a ser afectada.Pero Moore dice que la policía estará agradecida si es que el empleado a les explica su intento de preservar la evidencia.

De acuerdo a Moore, quien entrena a empresas para que puedan tratar los casos de robos a mano armada, la proporción de 1 a 6 entre respuestas correctas e incorrectas para esta pregunta, es típica en la gente que entrena.Por tanto, dice, entrenar en los probables escenarios donde se dé la respuesta es importante para los negocios como lo es reforzar ese entrenamiento mediante escenarios para la práctica.

Un método efectivo que mayor número de instituciones financieras están comenzando a usar, es la distribución de tarjetas enumerando los procedimientos que cada miembro del personal debe realizar.

Inmediatamente después de un atraco, por ejemplo, un gerente de banco podría distribuir una tarjeta a cada uno de cuatro o cinco miembros del personal, con tres o cuatro procedimientos por ejecutar. Las tarjetas también pueden ser fijadas a diferentes estaciones de trabajo para una rápida referencia.

Los empleados cumplen las tareas de sus tarjetas en el orden en que aparecen. De este modo, los primeros items en las tarjetas son los que deben cumplirse inmediatamente, tales como colocar seguros en las puertas y desconectar las alarmas.Moore sugiere plastificar las tarjetas y proporcionar lápices de cera para que los empleados puedan marcar los items conforme se van ejecutando.

Así como con otros aspectos de la prevención y respuesta contra robos, el procedimiento de usar tarjetas debe ser practicado antes de que se pueda confiar en él durante un incidente, dice Moore.

También recomienda que los empleados cambien de papel durante las sesiones de práctica, actuando como si fuese el ladrón, de forma que cada uno vea las cosas desde la perspectiva del criminal.
@ Para inscribirse en la lista de correo del grupo de discusión sobre robos a mano armada, busque el link debajo de “Beyond Print”, en Security Management Online.

¿ Sabía usted que...?

El OSAC (Consejo Asesor de Seguridad en el Extranjero) recientemente publicó un aviso respecto a delitos vehiculares, especialmente robo de carros, en Nairobi, Kenya.El OSAC reporta que el promedio semanal de robos de carros en Nairobi es casi 50 y que los ladrones cada vez más escogen como blancos a los vecindariosen donde viven y trabajan los extranjeros.

El Departamento de Energía de los EEUU hace poco publicó una directiva en la que se definen los procedimientos para que las naciones extranjeras puedan accesar a los sistemas de computación no clasificados del Departamento.Ella establece que cualquier aprobación debe estar basada en una “evaluación documentada del riesgo e identificación de los controles de acces”.@ La directiva está en SM Online.

Respondiendo a la preocupación del público respecto a la privacidad de la información bancaria, la Asociación Americana de Banqueros últimamente invocó a los bancos para que le den la más alta prioridad a la protección de esa información.Con tal fin, la organización ha establecido un grupo de trabajo para la privacidad y ha desarrollado una lista de verificación que pueden usar los bancos para evaluar el nivel de protección de información que ofrecen a sus clientes. @ La lista de verificación y ejemplos de políticas de privacidad bancaria están disponibles a través de SM Online.

La Asociación de Museos de Holanda (NMA), ha publicado la segunda edición de un CD-ROM gratuito, que incluye una auditoría de 800 preguntas sobre la seguridad de museos y que produce un informe de las fortalezas y debilidades del establecimiento.Actualmente sólo está disponible una versión en holandés, pero se está preparando la traducción al inglés y el NMA espera hacerlo ampliamente disponible.@ Para mayor información vaya en Security Management Online.

Estado registra violencia política

McDonalds, Coca Cola, Citibank. Quizá no hay otras compañías que resuman tan bien la presencia de las empresas norteamericanas en el extranjero. Pero tan alta visibilidad expuso a ellas tres así como a compañías como Pepsi Cola, Hewlett-Packard y General Motors, a la violencia política en 1998. Los restaurantes McDonalds fueron un blanco preferido, sufriendo atentados con bombas en Bélgica, Grecia, Chile y Brasil, conforme a un informe recientemente publicado por la Oficina de Seguridad Diplomática del Departamento de Estado de EEUU.

El informe de 48 páginas trata sobre “los más importantes incidentes contra EEUU”, divididos según el tipo (atentados con explosivos, secuestro o vandalismo), el blanco (gobierno, empresas o privados) y la región (Hemisferio Occidental, Europa, Africa al sur del Sahara, Asia del Cercano Este, Asia del Sur, Asia del Este y el Pacífico). Colombia registró muchos de los incidentes anti-americanos (86 de un total de 134), la gran mayoría de ellos atentados con explosivos contra un oleoducto en particular. Grecia, con nueve incidentes, ocupó un lejano segundo lugar.

El número total de incidentes en 1998 fue casi idéntico al número de incidentes en 1997, 135, y la distribución geográfica de las actividades fue similar en los dos años.Siete norteamericanos murieron en cuatro incidentes separados en 1997, mientras que los 12 norteamericanos fallecidos en 1998 fueron resultado del atentado explosivo a la embajada de EEUU en Nairobi, Kenya.

El informe tiene secciones especiales que brindan análisis más detallados de actividad anti-EEUU a raíz de la Operación Zorro de Desierto en Diciembre de 1998 (cuando los EEUU eligieron como blancos a los establecimientos militares y de seguridad en Irak), lo cual originó 154 demostraciones y los atentados con explosivos contra las embajadas de EEUU en Nairobi y Dar es Salaam, en Tanzania.El informe completo se encuentra en Security Management Online.
· A Statistical Overview of 1998
· Western Hemisphere (WH)
· Europe (EUR)
· Sub Saharan Africa (AF)
· Near East(NEA)
· South Asia (SA) and East Asia and the Pacific (EAP)
· Americans in Captivity
· Special Section- Operation Desert Fox

El entrenamiento inicia vuelo

Un singular programa de entrenamiento para los inspectores (“screeners”) en los puntos de control de seguridad de las aerolíneas, que estuvo inicialmente teniendo problemas para levantar vuelo, está ahora listo para alcanzar nuevas alturas.

La meta del programa, de acuerdo a su fundador, el instructor Joe Gonzales del Colegio Comunitario de Miami-Dade (Miami-Dade Community College, MDCC), ha sido brindar entrenamiento de base a los estudiantes para que puedan acudir al aeropuerto listos para el trabajo. Pero el programa, listo desde 1998, ha tenido dificultad para conseguir estudiantes porque sus clases no eran un pre-requisito para inspectores u otro personal de seguridad, ni la constancia de entrenamiento hizo que se elevase el salario inicial, que es bajo.Debido a que los cursos no eran costeados por el aeropuerto o por las aerolíneas, los potenciales empleados tenían muy poco incentivo para inscribirse.

Todo eso está empezando a cambiar, Gonzáles ha asegurado varias fuentes de financiamiento, incluyendo 10 subvenciones de origen público y privado en Miami, lo cual ha permitido que el colegio pueda ofrecer el entrenamiento gratis a una cierta cantidad de estudiantes cada año.Para mejorar adicionalmente el programa de entrenamiento, el cual es certificado por la FAA, la escuela de leyes del “college”ahora completa una investigación de antecedentes de cada estudiante-requerida por la FAA- que cubre los últimos 10 años.De esta manera, después de terminar el entrenamiento, cada estudiante está totalmente investigado y listo para empezar a trabajar.

El programa, que es más completo que la mayoría de los entrenamientos de seguridad ofrecidos por las aerolíneas, también ha sido reconocido por diversas compañías de servicios de seguridad, incluyendo a la Corporación Argenbright, ITS y Globe Security -todas las cuales operan en el aeropuerto de Miami.Por ejemplo, la Corporación Argenbright, una contratista de seguridad que tiene sus oficinas principales en Atlanta, ha accedido a incrementar el salario inicial de cualquier empleado que haya completado el curso de entrenamiento.

Desde el inicio del programa se han graduado 30 estudiantes y la mayoríaha ido a trabajar como inspectores de aeropuerto en el área de Miami. Sin embargo, debido a que se ha eliminado la cuota de ingreso de US $ 480, Gonzales estima que las matrículas crecerán hasta un máximo de 15 estudiantes por sesión. Una vez certificados, esos estudiantes pueden trabajar en cualquier lugar del país.Mientras esta edición de Security Management iba a la impresara, la FAA propuso una regla que exigiriá entrenamiento más extensivo para inspectores.

Por Teresa Anderson, Editora Senior

Lo principal de la pagina

¿No tiene tiempo para estar a la caza de los más útiles informes, lineamientos, estudios y artículos en la Web? Security Management Online reune todo junto en un lugar al alcance de la mano. Aquí un ejemplo de artículos colocados este mes.

Lavado de dinero. La "banca privad," definida como los servicios financieros que se proporcionan a clientes adinerados, se ha ido incrementando en los Estados Unidos.Pero igual ha sucedido con el lavado de dinero en los bancos privados.De acuerdo al testimonio ante el Sub-comité Permanente de Investigaciones del Comité de Asuntos Gubernamentales del Senado, los auditores de la Oficina General de Contaduría de los EEUU (GAO), recientemente examinaron las inspecciones efectuadas por los órganos federales de regulación a la banca privada en general, inspecciones a la banca privada enjurisdicciones extranjeras, barreras que han obstaculizado la vigilancia de la banca en el extranjero y los desafíos futuros a los esfuerzos de los órganos reguladores para combatir el lavado de dinero en el extranjero.

Loa auditores de la GAO hallaron que todas las 20 jurisdicciones extranjeras tienen leyes de secreto que protegen la privacidad de los dueños de las cuentas y que estas leyes planteaban obstáculos formidables para los órganos reguladores federales.Aunque todas estas jurisdicciones estaban involucradas en iniciativas contra el lavado de dinero, la GAO cuestiona la capacidad de estas jurisdicciones para poner en práctica sus leyes.SM Online tiene el informe completo y el testimonio al respecto.

Corrupción.

El Centro de Internet para la Investigación de la Corrupción, que es una iniciativa conjunta de la Universidad de Goettingen (Alemania) y Transparencia Internacional, un grupo de vigilancia de la corrupción, ha preparado un índice de percepciones de corrupción de 99 países alrededor del mundo.

Combinando los resultados de 17 estudios efectuados por 10 instituciones independientes, el índice evalúa la percepción de la corrupción de un país tal como es vista por gente de negocios, analistas de riesgos y público en general.De los 99 países analizados, aquellos considerados como los más corruptos incluyen Camerún, Nigeria, Indonesia, Azerbaiján, Uzbekistán y Honduras.Vistos como los menos corruptos fueron Dinamarca, Finlandia, Nueva Zelandia, Suecia, Canadá e Islandia.

A los Estados Unidos se les percibió como el 18º de los países “más limpio”.El índice puede ser obtenido vía SM Online.

Perros detectores de drogas.

El Servicio de Aduanas de los EEUU recientemente hizo de conocimiento general los datos sobre su programa canino para cumplimiento de las disposiciones anti-drogas.Los perros del Servicio de Aduanas buscaron 224 millones de paquetes, personas y vehículos en el año fiscal de 1999, un incremento de 20 millones sobre 1998.En 11,000 casos los perros olfatearon drogas o dinero en 1999, comparados con las 10, 700 detecciones en al AF 1998.

¿ La droga más comunmente descubierta? Marihuana, la enorme cantidad de 631,909 libras de élla. Los perros también pusieron al descubierto más de 25 millones de dólares en efectivo. Una clasificación estadística completa de los logros caninos se encuentra en SM Online

Prevención del delito.

Los autores de un artículo en el Boletín del Cumplimiento de la Ley, del FBI, argumentan que para prevenir el delito es básico realizar un estudio que identifique las “zonas calientes” para delitos, los “patrones” de delito y las mentalidades delictivas

Es importante concentrarse en las zonas calientes, dicen, porque las investigaciones muestran que el 50 por ciento de las llamadas al servicio provienen de sólo 10 por ciento de los lugares donde se cometen los delitos.Los patrones delincuenciales, entre otras cosas, ayudan a identificar los lugares donde pueden darse hechos críticos, a identificar víctimas y escenas del crimen y a proyectar eventos relacionados al tiempo, dentro de los lugares donde se cometen los crímenes o en las zonas calientes.

Los autores analizan un caso específico en el que jóvenes de un parque de Pennsylvania atemorizaban a los ancianos residentes de un cercano complejo de apartamentos, abusaban del alcohol y las drogas y se dedicaban al vandalismo desenfrenado.Al instalar CCTV e iluminación, colocar letreros, retirar una cabina telefónica usada por los vendedores de drogas y ejecutar otras tareas de mantenimiento, las fuerzas del orden abordaron el problema. La historia completa está disponible via SM Online.

Seguridad de bibliotecas.¿Deberían marcarse los libros y manuscritos raros de gran valor, para ayudar a su identificación y recuperación, aún si el documento será alterado permanentemente? El comité de seguridad de la Asociación de Colegios y de la Sección de Libros y Manuscritos Raros así lo cree y brinda consejo específico sobre cómo hacerlo, en un apéndice a su conjunto de lineamientos de seguridad para libros y manuscritos raros y otras colecciones especiales.

Por ejemplo, los manuscritos medievales y del Renacimiento, los incunables y libros impresos en épocas antiguas deben ser marcados en “el reverso de la primera hoja del texto principal, sobre la parte interna del margen inferior, aproximado a la última línea del text”. Los lineamientos cubren también asuntos tales como el papel del agente de seguridad de la biblioteca, la política de seguridad de la instalación y el acceso de los investigadores de documentación.SM Online lo lleva allí.

Monitoreo electrónico.Muchas de las herramientas de alta tecnología del campo de la seguridad, incluyendo el sistema de posicionamiento global y la verificación de voz, están siendo aplicadas para el monitoreo electrónico de individuos en espera de juicio, con detención domiciliaria, libertad vigilada, libertad bajo palabra y detención juvenil.Un boletín del Centro Nacional Tecnológico para Cumplimiento de la Ley y Establecimientos Correccionales, discute los sistemas de monitoreo electrónico y sus beneficios como su bajo costo.

El Departamento de Libertad Vigilada y Bajo Palabra del Estado de Carolina del Sur encontró que supervisar electrónicamente a un reo en libertad bajo palabra cuesta la mitad de lo que cuesta tenerlo encarcelado. El boletín también analiza las diversas tecnologías empleadas por los sistemas de monitoreo electrónico y los procedimientos para su empleo correcto.Compruébelo en SM Online.

Seguridad durante el viaje.El experto de seguridad en el manejo Tony Scotti ha preparado una página Web diseñada para profesionales que proporcionan transportación segura y sin accidentes a sus ejecutivos y clientes. El sitio tiene dos áreas: miembros y no-miembros.Los no-miembros pueden obtener artículos sobre temas tales como secuestros de vehículos y entrenamiento protectivo para conductores.

Otro sitio, establecido por el experto de seguridad John Pignato, también contiene una sección sobre seguridad durante el viaje, que incluye consejos para mujeres que conducen y para aquéllos que viajan a otro país. El sitio también contiene enlaces con bases de investigación y recursos legales, así como una variedad de otras informaciones. Ambos sitios están enlazados mediante SM Online.


 
 Respond to this message   


Forum Owner
Charla Tecnológica 05April 27 2004, 3:23 PM 

Charla Tecnológica 05
Por DeQuendre Neeley
www.securitymanagement.com

¿Deben las compañías adoptar PKI?

PKI, que se refiere a un esquema de encriptación llamado “infraestructura de clave pública” (public key infrastructure), es publicitada a menudo como crítica para proteger las transmisiones por Internet. Pero algunos expertos se preguntan si se está conduciendo de acuerdo a esta pretensión.

El experto en encriptación Bruce Schneier, entre otros, cuestiona la veracidad de las afirmaciones hechas por los vendedores. Sus preocupaciones derivan de los informes de que las proporciones de adopción de la PKI están decayendo y que el barullo sobre la PKI ha tenido poca sustancia.

"La gente piensa que puede esparcir polvo mágico sobre sus problemas de seguridad y que éstos se irán", dice Schneier sobre la razón por la cual la versión comercial de PKI se volvió rápidamente tan popular. "Desgraciadamente no hay ninguna certeza en esto. La PKI es muy compleja y las PKIs comerciales frecuentemente no hacen lo que los vendedores dicen que hacen."

La PKI está basada en un sistema criptológico que usa un par de claves -una privada, una pública- para codificar y decodificar mensajes. Típicamente, las PKIs están compuestas por certificados digitales, autoridades de certificación (CAs) y autoridades de registro. Los certificados digitales se parecen a los pasaportes electrónicos que se firman digitalmente por el usuario y el emisor, que es la autoridad certificadora. Una autoridad registradora verifica la identidad del usuario; luego la CA emite y mantiene el certificado. Se cree que las PKIs trabajan mejor en autenticación, control de acceso de red y comercio electrónico.

Pero Schneier dice que ha visto compañía tras otra caer presa de esta pretensión, cuando encuentran que la aplicación es una aventura costosa y decepcionante. La mayoría de las compañías, dice, no estaban preparadas para el intenso trabajo de integración requerido y no quedaron satisfechas cuando se dieron cuenta que la PKI no podía ser considerada una completa solución de seguridad.

Diana Kelley, analista del Hurwitz Group, se hace eco de algunas de las preocupaciones de Schneier, agregando que hay también temas no resueltos sobre la compatibilidad cuando deben interactuar las PKIs usadas por compañías diferentes. Aunque la mayoría de los vendedores usa un tipo estándar de certificado, "todavía no hay una interoperatividad completa, lo que puede convertirse en un problema para las compañías”, dice Kelley.

Además, Kelley dice que el rendimiento de la red puede ser afectado por las PKIs. Por ejemplo, cuando los empleados dejan una compañía, el certificado correspondiente debe ser anulado y el certificado anulado debe ser mantenido en una base de datos para que el ex empleado nunca pueda usarlo de nuevo. En las organizaciones grandes, "estas CRLs (listas de anulación de certificados), pueden ser muy largas… El problema es que simplemente usted no puede librarse de alguien; ese certificado tiene que mantenerse anulado”

Es más, la PKI está plagada por varios enlaces débiles que al final pueden socavar la seguridad, dice Schneier. Primero, existe el interrogante de la confianza que se pone en las autoridades de certificación (CAs), y por tanto en los certificados que ellas emiten. Las CAs rechazan cualquier responsabilidad por los certificados y no pueden autorizar cualquier transacción hecha con ellos. Por consiguiente, dice, las CAs no son propiamente unas autoridades confiables. Schneier también es crítico de muchas de las prácticas en la emisión de certificados, las cuales afirma, fueron determinadas sin tener en mente a la seguridad. Por ejemplo, los certificados se emiten después de una ligera verificación de identidad.

Además, dentro de los sistemas de claves públicas, guardar el secreto de la clave privada es crucial. Normalmente, la clave privada se guarda en una unidad de disco duro convencional. A pesar de que está encriptada, su ubicación la hace susceptible a la penetración física y electrónica.

Steve Kruse, quien trabaja en Baltimore Technologies, fabricante de software de PKI, sostiene que la PKI se hará cada vez más necesaria conforme avance la tecnología y las empresas se ven involucradas en transacciones electrónicas más complicadas.

“[Schneier] tiene razón, estamos haciendo gran cantidad de comercio electrónico sin usar PKI. Pero desde una perspectiva de empresa a empresa y para las transacciones más sensibles -más de las cuales van a realizarse en la Internet- existe necesidad de PKI. Usted puede verlo entre los bancos; ellos están invirtiendo fuertemente en PKIs."

Ni Schneier ni Kelly desean que las empresas desechen las PKIs. Más bien quieren que conozcan que la tecnología todavía tiene mucho por madurar. Schneier dice que mientras tanto, otra tecnología puede llenar la necesidad que tiene una compañía. Kelly dice que las empresas deben estar seguras de que tienen una clara necesidad comercial del producto, porque demanda una fuerte inversión. Por ejemplo, si la compañía mueve grandes cantidades de datos sensibles, codifica normalmente los datos o emplea la autenticación de "dos factores", tales como un registro en el proceso y un biométrico, entonces puede ser un candidato para la PKI.

Y, advierte Schneier, las compañías deben recordar las limitaciones de la PKI. "La PKI es el equivalente a las credenciales que tiene en su billetera"‚ dice. "¿Existen usos electrónicos para estas credenciales? Ciertamente. “¿Pero solucionan mágicamente la seguridad? No, aunque esfuerce la imaginación."

Deteniendo la piratería en las subastas

De acuerdo a la Asociación de Software e Industria de la Información (SIIA), casi el 60 por ciento del software intercambiado a través de las subastas en línea es pirateado, un hecho que descubrió después de inspeccionar los tres sitios de subastas en línea más importantes, eBay, ZDNet y Excite. El año pasado los investigadores recibieron aviso de que el software estaba vendiéndose a precios extraordinariamente bajos. Por ejemplo, el Macromedia Director, con un precio sugerido para la venta al menudeo de $999, estaba siendo ofrecido a $28. En otro caso, el Adobe Photoshop 5.0 estaba disponible por $11.99, aunque normalmente cuesta $549.

En respuesta, la SIIA, con base en Washington, D.C., ha publicado un conjunto de recomendaciones para reducir la transferencia de software ilegítimo, que incluyen hacer que los sitios efectúen revisiones detalladas de sus transacciones de software antes y después de que ellas se produzcan. La publicación de la SIIA, Alerta al Consumidor de Subastas en Línea, también enumera señales reveladoras de software ilegal. @ Encuentre el Alerta y los resultados del estudio a través de Security Management Online.

Rentabilidad antes de seguridad

Las empresas ven a la seguridad como un facilitador del comercio electrónico, pero la mayoría están más preocupadas por la rentabilidad que por otros temas relacionados con la Web, como seguridad, confianza y servicio al cliente. Esta es la conclusión de la primera fase de un estudio de cuatro fases realizado por Deloitte & Touche y la Fundación para Control y Auditoría de Sistemas de Información (ISACA).

La Seguridad del Comercio Electrónico: Un Informe Global de Situación, halló que las compañías con alguna forma de negocio en la Web citaron abrumadoramente la necesidad de obtener ganancias para recuperar sus fuertes inversiones en la Web; la mayoría efectuó comercio electrónico para reducir los costos, mejorar la eficiencia, proporcionar una nueva manera de hacer negocios, todas con las esperanzas de mejorar en última instancia. La mayoría también pensó que su actitud respecto a la seguridad era suficiente, aunque los más contentos con la seguridad probablemente no tenían una real política de seguridad. Más aún, pocas eran conscientes de los riesgos y exposiciones en las transacciones de empresa a empresa.

El estudio estuvo basado en 150 entrevistas con ejecutivos de 14 países y en 250 cuestionarios completados. La segunda fase del proyecto definirá las mejores prácticas del comercio electrónico y está prevista para ser concluída a finales de la primavera. El primer volumen está disponible mediante la biblioteca de ISACA. @ Vea Security Management para encontrar el enlace.

¿ Están exagerándose los problemas de seguridad ?
En los meses anteriores al inicio de este año hito, los vendedores de tecnología de seguridad, entre otros en este campo, predijeron una amplia gama de daños, desde incontenibles plagas de virus y festines de piratas informáticos, hasta fallas totales en los sistemas. Como todos saben ahora, muy pocos desastres sucedieron, lo que ha llevado a muchos a cuestionar si realmente los temores estaban justificados y a preguntarse hasta que punto los vendedores exageran la magnitud de los problemas de seguridad para aumentar las ventas.

Esta interrogante fue hecha en una encuesta reciente efectuada por SecurityFocus.com, y la respuesta fue un resonante sí, pero con salvedades. Debido a que muchas compañías tienen poca comprensión sobre cuánto las expone su falta de seguridad, algunos de los preguntados respondieron que los titulares sensacionalistas y las tácticas de venta pueden servir para un propósito si es que causan que las empresas sean más conscientes. También estuvieron de acuerdo en que un experto gerente de TI (tecnología de la información), podía atisbar a través de la llamada “jerga de ventas”.

Nicolás Stampf, un consultor de seguridad francés, dice que la diferencia entre las advertencias legítimas sobre los problemas de seguridad y la paranoia incitadora no está claramente definida. "Como consultor de seguridad, intento que mis clientes conozcan el mundo real", dice Stampf. "Como tal, intento ser tan fuerte como pueda, pero siempre les digo: mi trabajo es venderles máxima seguridad... No me voy hasta que estoy seguro que el cliente entiende totalmente los riesgos que su compañía está enfrentando. Yo no pienso que estoy exagerando en absoluto."

En general, las compañías siempre deben tomar los comentarios del vendedor con un grano de sal, dice el consultor de seguridad Jonathan Day. "Es altamente improbable que 10,000 ciberterroristas, armados con las últimas herramientas de penetración, dispositivos TEMPEST y máquinas lectoras de la mente desciendan balanceándose sobre el sitio Web de su compañía con el solo propósito de voltear su logotipo al revés”.

Pero, apunta, existe una mayor oportunidad para que los reclutadores y competidores estén tratando de encontrar las listas de empleados, que script-kiddies estén intentando borrar las páginas públicas y que los crackers estén tratando de usar sistemas para saltar hacia otros. Estos son los problemas de seguridad más característicos que enfrentan la mayoría de las compañías, por lo que tiene sentido aplicar ciertas prácticas y tecnologías de seguridad.

Rapi-bytes

· Cómo hacer.NTSecurity.net ha establecido una lista de correos Internet para profesionales de seguridad que emplean plataformas Windows, para discutir cómo resolver los problemas técnicos de seguridad. Adecuadamente llamada “How to”, la lista intenta cubrir temas como monitoreo de sistemas, aislamiento de incidentes,contramedidas, administración del usuario, mejores prácticas, herramientas y revisiones de seguridad, anuncios y revisiones de cursos de entrenamiento de seguridad, consejos rápidos y recordatorios. Se alientan las suscripciones anónimas. Para suscribirse, envíe un e-mail a listserv@listserv.ntsecurity.net con las siguientes palabras en el cuerpo del mensaje:

· Estado dice no a votación electrónica A pesar de un temprano optimismo, un grupo de trabajo de California ha concluido que hay demasiados peligros asociados con la votación en línea, para poder proseguir con su aplicación. Preocupado por los riesgos de virus, alteraciones por los hackers y la incapacidad de la tecnología de seguridad existente para efectuar una identificación concluyente de los votantes, el grupo de trabajo ha cancelado la medida, pero sugirió que como alternativa, el estado considere estaciones kiosko de Internet. Entretanto, el gobierno federal todavía está estudiando la factibilidad de un sistema de votación en línea en una escala aún más grande, basado en la infraestructura de clave pública.

· Estándar Infosec actualizado.El Instituto Británico de Estándares, una organización internacional para registro de la calidad, hace poco actualizó y publicó el BS 7799, un estándar para administración de la información de seguridad. El código se ha diseñado para ayudar a las compañías a dar seguridad a la información que es almacenada y transmitida electrónicamente, así como a sus comunicaciones escritas y habladas.La norma también trata sobre tecnologías de seguridad y medidas de protección contra sabotaje provocado por empleados y contra el terrorismo. Por el precio de una auditoría, las compañías pueden solicitar una certificación de tres años.@ Para más información, visite SM Online.

Prestándose de la Inmunología

Metafóricamente, las computadoras y la inmunología han estado relacionadas por casi dos décadas. Los programas antivirus "inoculan", hacen llamar "doctores de discos" e intentan detener la "infección". En realidad, la mayoría de estos programas simplemente buscan hilos de códigos que se asemejena los patrones de códigos malévolos conocidos.El sistema inmunológico natural es mucho más complejo. Pero eso no detiene a dos equipos de investigadores para continuar proyectos que en última instancia pudieran hacer a las computadoras tan eficientes como el cuerpo humano para detectar y luchar contra cualquier tipo de ataque de agentes externos.

IBM y el vendedor de antivirus Symantec se han asociado para trabajar en el Sistema Inmunológico Digital, el cual está principalmente dirigido hacia la detección mejorada de virus, mientras un equipo de investigadores académicos espera extender el concepto a los sistemas de detección de intrusiones, los cuales están diseñados para indicar todas las formas de ataque.

"Los sistemas inmunológicos naturales son capaces de distinguir virtualmente cualquier célula o molécula extraña a las propias células del cuerpo: esto es conocido como discriminación propia-no propia", dice Stephanie Forrest, científica de computación en la Universidad de Nuevo México, que trabaja en el Sistema Inmunológico Artificial.

Forrest dice que del sistema inmunológico se pueden inferir una multitud de conceptos de seguridad, incluyendo su capacidad para adaptar y distribuir el poder combativo hacia la ubicación del ataque. Prestarse estos conceptos, dice, puede conducir al mejoramiento de la seguridad de las computadoras, en vez de intentar simplemente mejorar la ingeniería del software.

El problema, particularmente con los virus, es que una compañía que responde al virus está sólamente haciendo control de daños, mientras el veloz virus probablemente ya se ha extendido a otras máquinas y sistemas. Los sistemas inmunológicos trabajan fuerte para contener y curar los problemas antes de que ellos se extiendan. Este tiempo de reacción es uno de los beneficios básicos del modelo de sistema inmunológico.

En el sistema de Forrest, los cuerpos externos son buscados y destruídos. La red conocería lo que es externo por un proceso que en la naturaleza se llama la selección negativa. Digitalmente eso significa que anticuerpos de la red con receptores sensitivos se desplazarían alrededor regulando la actividad.

El personal del Centro de Investigación Thomas J. Watson de la IBM todavía está probando el Sistema Inmunológico Digital, que trabaja acelerando el proceso por el cual las computadoras reconocen los códigos malos. Según Steve White, jefe de investigación y desarrollo de antivirus, el software patentado detectará cuando un nuevo virus entre a una PC de la red de una organización.

Después el software automáticamente "captura" el virus y lo envía por Internet a un centro automatizado para el análisis de virus. El virus es analizado y la información para detectarlo y curarlo después es derivada y enviada de regreso por Internet a la PC que encontró inicialmente el virus. Al mismo tiempo, el remedio para el nuevo virus se pone a disposición de todos en el mundo. Este proceso, dicen los investigadores, puede ocurrir dentro de minutos de la llegada de un nuevo virus.

Ambos equipos han demostrado los conceptos en los laboratorios; sin embargo, la conversión del proceso a un producto o servicio real, todavía está bastante lejos.


 
 Respond to this message   


Forum Owner
CHARLA TECNOLOGICA 06April 27 2004, 3:24 PM 

CHARLA TECNOLOGICA 06
Por Peter Piazza
www.securitymanagement.com

DESPERTAR CON UNA LLAMADA INALAMBRICA

Conforme se extienda el uso de los dispositivos inalámbricos, como los PDA (asistentes digitales personales) y los teléfonos de tecnología WAP (protocolo de aplicación inalámbrica) y se usen como partes integrales de los negocios, también es probable que aumenten las amenazas contra estos aparatos. Ya han aparecido programas maliciosos como Trojans y virus dirigidos específicamente contra los dispositivos inalámbricos, y los expertos ven mayores amenazas en el horizonte de un mundo inalámbrico que cada vez se conecta más.

El primer virus que atacó a la Palm "no fue una amenaza terriblemente grande, pero fue una llamada importante para despertar a las corporaciones alrededor del mundo al hecho de que los piratas informáticos ahora van a apuntar hacia las Palms y PDAs", dice Tanya Candia, vicepresidente de marketing mundial de F-Secure, Inc., que crea productos para seguridad de datos. "Conforme usemos más tecnología inalámbrica desde lugares alejados, esa será una tierra fértil para los piratas informáticos".

Hasta hace poco, los virus inalámbricos han sido relativamente raros. "La principal razón era de que no había muchos dispositivos inalámbricos, así que los escritores de virus no querían tomarse el trabajo necesario para crear un virus contra ellos", dice William Orvis, especialista de seguridad de la CIAC (Capacidad de Asesoría para Incidentes de Computación), que proporciona apoyo técnico al Departamento de Energía. Además, puntualiza Orvis, no había una forma fácil de introducir un virus en la máquina, hasta que estos dispositivos entraron a la red informática. "Pero eso está cambiando rápidamente", dice.

Vincent Gullotto, director principal del AVERT (Equipo de Respuesta Antivirus de Emergencia), de McAfee B2B, una organización de investigación antivirus, dice, "La amenaza aumentará conforme los aparatos manuales sean conectados con más frecuencia a la Internet". Sin embargo, anota, "Podrían pasar de seis a doce meses antes de que esto se vuelva un asunto serio".

No será tan fácil crear y propagar virus inalámbricos como lo ha sido contra la PC. "La Palm tiene un sistema operativo simple y transparente y no hay muchos lugares para que se escondan los virus", dice Julia Rodriguez, vocera de Palm Inc., aunque acepta que "cualquier plataforma electrónica puede ser susceptible a los piratas informáticos que crean los virus".

Orvis coincide en que es más difícil programar códigos maliciosos para las Palms. Eso "no detendrá a los escritores de virus", dice, pero "los retardará un poco".

¿Qué se puede hacer? Una manera de proteger las PDAs es alentar a los usuarios para que las sincronicen en forma regular, dice Rodriguez, de Palms. Durante la sincronización los usuarios tienen la oportunidad de aceptar o rechazar cualquiera de las nuevas aplicaciones que intenten entrar a la Palm, permitiéndoles revisar estas aplicaciones para asegurarse de que provienen de fuentes conocidas y confiables. Un usuario debe regularmente guardar los datos de respaldo en una PC, agrega, de forma que si la información que está en la Palm se perdiese, ella pueda ser restaurada de manera rápida y fácil.

También se pide que el usuario tenga una saludable dosis de conciencia. "Es el mismo problema que tenemos con los virus tipo correo electrónico", dice Orvis. "La gente simplemente cae en el hábito de oprimir la palabra “yes” (sí) cuando se presenta un cuadro de diálogo y ni siquiera lo leen después.

¿Qué otro consejo deben dar los gerentes de seguridad a los trabajadores que usan dispositivos inalámbricos? "Si usted recibe un ejecutable de alguien, probablemente no es buena idea ejecutarlo, a menos que usted lo espere y sepa que es algo en que puede confiar", dice Orvis. "Practique computación segura", dice Gullotto, "y use su PDA en forma segura. Si usted traslada archivos entre su PC y su computadora manual, asegúrese de explorarlos para virus".

Rapi-bytes

Conozca las reglas.

El senador Orrin Hatch (R-Utah), presidente del Comité Judicial del Senado, ha publicado un folleto llamado "Conozca las Reglas, Use las Herramientas", el cual ofrece consejos a los consumidores y a las empresas para la protección de datos personales en línea. Usted puede enlazarse con el reporte mediante SM Online.

El estado de la privacidad. Aunque muchos países están creando leyes para proteger la privacidad como un derecho humano fundamental, las nuevas tecnologías y las demandas de las fuerzas del orden para tener mayores capacidades de vigilancia podrían estar erosionando ese derecho, conforme un estudio efectuado por EPIC y Privacy International. El estudio revisó el estado de la privacidad en más de 50 países, desde Argentina hasta los EEUU.
@ Puede enlazarse con el informe vía SM Online.
Nuevo estándar criptográfico. Un equipo belga de criptógrafos ganó una competencia organizada por el Instituto Nacional de Estándares y Tecnología para desarrollar una nueva técnica de cifrar. Se espera que el nuevo Estándar Avanzado de Cifrar (AES), que será empleado por el gobierno así como por el sector privado, sea remitido al Secretario de Comercio para su adopción en los primeros meses del 2001, después de un período de 90 días para comentarios del público. @ Se puede enlazar a un análisis del estándar y a un foro para comentarios públicos, a través de SM Online.

Poniendo a la PKI en su lugar

El Acta de Firmas Electrónicas para el Comercio Nacional y Mundial ("E-Sign"), que eliminó una barrera fundamental contra el comercio electrónico haciendo que los contratos electrónicos fueran legalmente aplicables, se puso en efecto en octubre. Pero hacer aprobar la ley puede haber sido la parte fácil.

"Existe una segunda generación de aspectos que al final van a tener que ser abordados: ¿Cómo vamos a poner en práctica todo esto, cómo hacemos para que trabaje y cuáles son las reglas?", dice Thomas Smedinghoff, socio del estudio legal Baker & McKenzie y coordinador de esa firma para la práctica del comercio electrónico en Norte América.

Smedinghoff cree que, en general, el gobierno dejará que el sector privado resuelva los detalles. Pero eso podría tomar tiempo, dada la carencia de estándares e infraestructura, que son los sistemas de soporte para administrar firmas digitales. "Las firmas digitales están en donde la industria automotriz se encontraba en 1905", dice. "No había muchos caminos o estaciones de gasolina, pero con un poco de previsión podríamos fácilmente haber dicho que los automóviles eran la ola del futuro".

La legislación sobre la firma electrónica (E-sign) es tecnológicamente neutral y define en forma amplia a la firma electrónica como "un sonido, símbolo o proceso electrónico, adjunto a, o lógicamente asociado con, un contrato u otro documento ejecutado o adoptado por una persona con la intención de firmar el documento". Dan Buchanan, vicepresidente ejecutivo de operaciones y sistemas de información de la empresa Zions, advierte que las compañías que quieren aprovechar la firma electrónica necesitan darse cuenta que esta neutralidad origina potenciales aspectos problemáticos en su verificación.

"Una firma electrónica puede ser algo tan simple como presionar el botón 'Acepto' o ingresar un PIN", dice. El problema con eso es que pueden funcionar de acuerdo con la ley (de firmas electrónicas) pero podrían causar problemas para ser ejecutadas, "en el caso de que usted tenga que ir a un tribunal y decir 'Yo sé que fue esa persona'. Si sólo presionaron 'Acepto', usted realmente no tiene forma de saber si esa es la persona o no ". Debido a que las firmas digitales identifican a las personas y aseguran la integridad del mensaje, son el tipo de firma electrónica más aplicable en un tribunal de justicia, dice.

La piedra angular para las firmas digitales es la Infraestructura Pública de Claves (PKI), en la cual los usuarios reciben un certificado digital de una autoridad certificadora, que es una organización o compañía independiente y confiable. El certificado contiene información de identificación, un número de serie, una fecha de expiración y dos grupos de bits llamados “claves” (keys). La clave privada sólo tiene el poseedor del certificado. De este modo puede ser usada para generar una firma digital única que el usuario puede emplear para autorizar una transacción, como por ejemplo, un acuerdo para adquirir acciones a cierto precio.

Zions Bank Corporation es uno de los pioneros en la frontera de la firma digital. Como parte de un programa piloto, ahora los consumidores pueden abrir cuentas bancarias y ultimar préstamos por la Internet, actividades para las cuales se requieren firmas. Una subsidiaria de Zions, Digital Signature Trust (DST), una autoridad certificadora, proporciona certificados a los usuarios que les permiten crear firmas digitales.

Pero hacer que la PKI trabaje en forma eficiente puede ser un reto. EasCorp, una cooperativa financiera corporativa, tuvo que enfrentar varios obstáculos durante la puesta en práctica de la PKI. "El sistema de autenticación fue muy fácil de instalar y comenzar a usarse", dice Christopher E. Smith, vicepresidente de sistemas computarizados de información de EasCorp, "pero había gran cantidad de 'sorpresas’".

Uno de los problemas iniciales fue que cuando se revocaba el certificado de un usuario, Smith asumía que el certificado automáticamente dejaría de trabajar. Eso no sucedía. Los servidores de la compañía no verificaban automáticamente las listas de certificados revocados (CRLs), así que los propios programadores de EasCorp tuvieron que alterar ese proceso a la medida de sus necesidades.

Otra dificultad era que el software de PKI no trabajaba en forma confiable con todos los buscadores, así que la cooperativa tuvo que pedirles a sus clientes que empleasen el Internet Explorer. Aún así, Smith dice que varias versiones de Internet Explorer "tienen problemas de comportamiento; parece que existen varias combinaciones de software que originan que los certificados no trabajen".

Otras compañías también han experimentado problemas. Charles Blauner, vicepresidente del grupo de eSolutions de J.P.Morgan, dice que ha sido un reto "para que la gente use los certificados de modo que les de un alto grado de movilidad al usar varios aparatos diferentes y un solo certificado".

No es seguro o conveniente emitir un nuevo certificado cada vez que un cliente quiere usar un nuevo aparato, explica Blauner, así que mientras la empresa prueba un programa empleando tarjetas inteligentes y lectoras, los usuarios móviles llevan certificados en un disco flexible.

"Muchos productos de software, especialmente en el pasado, no estaban preparados para la PKI", dice Lisa Pretty, directora ejecutiva del Forum PKI, un grupo que está trabajando para asegurar que la tecnología PKI pueda funcionar con distintos vendedores y diferentes aplicaciones. "De este modo, muchos de los aplicadores tuvieron que desarrollar sus propios códigos para poder aceptar y verificar los certificados". Ella dice que ha habido un gran progreso en la normalización de los productos de PKI, "pero aún no se ha resuelto el problema".

Algunos de los problemas operativos no son técnicos. Por ejemplo, diferentes autoridades certificadoras (ACs) ofrecen diferentes tipos de cobertura por responsabilidad. "Una AC puede aceptar la responsabilidad si yo pierdo mi clave privada, así que si alguien asume mi identidad, ellos tienen la responsabilidad", explica Buchanan. "Con otras, el riesgo de responsabilidad recae en la parte que confía (tal como el banco que da un préstamo), de modo que quienquiera que acepta la firma está realmente asumiendo el riesgo".

Hay una necesidad de políticas generales para que la gente se pueda orientar, como las que existen para las tarjetas de crédito, dice Buchanan. "A usted no le interesa qué banco emitió una tarjeta de crédito", anota, "porque usted sabe que las políticas y procedimientos generales van a ser seguidos por todos".
@ Se puede establecer contacto con el Fórum PKI, que ofrece un centro de recursos de PKI a los usuarios de cualquier nivel técnico, a través de www.security management.com

FBI le dice a la Industria: comparta sus angustias.

¿Están aumentando drásticamente los delitos de computación? Todos los informes sugieren que así es, dice David E. Green, subjefe principal de la Sección de Delitos Informáticos y Propiedad Intelectual (CCIPS), del Departamento de Justicia de los EEUU. A medida que aumenta la cantidad de personas que usan las redes informáticas, el FBI y otros organismos policiales están iniciando muchas más investigaciones criminales, y las encuestas indican que las corporaciones se encuentran sometidas a ataques cibernéticos con más frecuencia. Pero no es fácil conseguir cifras precisas porque las compañías son renuentes a informar sobre los incidentes. Este reducido nivel de reporte dificulta que los órganos policiales puedan definir las tendencias y construir un caso que pueda ser presentado ante el Congreso en busca de más recursos.

A pesar de los pasos importantes que han dado las organizaciones policiales para contratar a agentes y fiscales capacitados tecnológicamente, el bajo nivel de reportes ha llevado a un dilema, dijo Green a Security Management en una entrevista. "La gente no llama al FBI porque cree que no hay suficientes agentes con conocimientos para resolver los delitos que les afecta, así que los informes sobre delitos cibernéticos siguen siendo bajos", dice. Y eso impide los esfuerzos de la agencia para obtener fondos para entrenar a más agentes en los conocimientos tecnológicos.

¿ Qué deben hacer las compañías?. "Lo mejor es ponerse en contacto con la oficina local del FBI", dice Green. O ellos dispondrán de equipos de protección de infraestructura y contra la intrusión informática, que son expertos en delitos informáticos, o tendrán alguien suficientemente capacitado para hacer algo o para iniciar contacto con las personas apropiadas.

Green puntualiza que hay algunos conceptos erróneos respecto a lo que sucede cuando las víctimas llaman a las fuerzas del orden. Las compañías creen que el FBI "se llevará todas sus computadoras y las devolverá seis meses más tarde, después de que usted se retiró del negocio", dice.

En realidad, conforme a Green, "si usted es la víctima de un delito, las fuerzas del orden no van a destruir su negocio". Su meta es trabajar con usted "para encontrar, en los registros, cuándo y de dónde provino el ataque, quizás identificar la fuente y tomar pasos para desmontar la bomba de tiempo sin destruir la evidencia".

Green alienta a las compañías a que se presenten como testigos cuando sean víctimas de un delito. Es la única forma para que la agencia obtenga pistas que en última instancia puedan llevar a los arrestos. Es la clave para llegar a la raíz del problema, dice, haciendo notar que, "a medida que los agraviados informen a las fuerzas del orden y estos informes vayan en aumento, eso ayudará a la disuasión".
La CCIPS también espera disuadir a los que quieran volverse piratas informáticos, antes de que empiecen. "Una de las cosas más previsoras y dinámicas que hemos hecho es asociarnos con la Asociación de Tecnología de la Información de América en un programa de ética cibernética, para enseñar a los niños el uso responsable de las computadoras", indica Green.

Como una parte del programa, la CCIPS también está animando a los expertos en computación del mundo de los negocios para que asistan a las escuelas y les digan a los jóvenes entusiastas de la computación, que irrumpir indebidamente en redes o sistemas informáticos no es bueno, que es destructivo. "Tenemos que acercarnos a las personas durante su edad formativa", dice Green, "y hacerles conocer que no toda la información ‘ansía estar libre’ y que esto no es inofensivo".


 
 Respond to this message   


Forum Owner
CHARLA TECNOLOGICA 07April 27 2004, 3:25 PM 

CHARLA TECNOLOGICA 07
Por Peter Piazza
www.securitymanagement.com

¿ Vigilar la Web protege a su compañía?

En la pizarra de mensajes de un popular sitio Web para la búsqueda de trabajo fue colocada información altamente confidencial referida a los ingresos de un importante banco de inversiones europeo, como eran los planes de la compañía para despedir a un vendedor principal. Afortunadamente para el banco, los anuncios no fueron descubiertos por los medios de prensa financiera sino por una empresa que recorre la Web buscando referencias a clientes que podrían dañar la reputación de la corporación o revelar información sensible.

Nick Denton, Jefe Ejecutivo de Moreover.com, quien alertó al banco sobre los anuncios, dice que este incidente demuestra por qué las compañías necesitan hacer seguimiento de la Internet. “Incluso ese único aviso en un millar que da en el blanco y contiene información sensible y en general exacta, puede costarle caro a la compañía” en reputación perdida o en negocios perdidos, dice.

Ahora muchas compañías controlan la revelación en línea de información sensible o los programas pirateados, dice Jeffrey Morgan, abogado de Hale y Dorr. “Si usted está trabajando en un proyecto sumamente secreto en un medio altamente competitivo y su subsistencia depende de su propiedad intelectual, entonces tendría sentido emplear los recursos (de la compañía)” para controlar la Web, afirma.

“Hoy en día, no creo que haya una compañía que no debiera vigilar la Internet”, dice Nancy Sells, vice presidenta de eWatch Services, empresa de seguimiento de la Web. Esto es aplicable en particular a las compañías que son de propiedad pública, dice, “debido a las responsabilidades que tienen con los accionistas”.

Mary Waller, gerente de relaciones públicas en la Web para el Banco de América, dice que la compañía emplea eWatch para buscar el nombre del banco o el símbolo bursátil de acciones en los grupos de noticias y emplea un grupo dentro de la empresa para controlar las pizarras de mensajes como Yahoo! Finanzas. Pero la compañía no observa la información sólo desde una perspectiva de defensa. También se ve como una herramienta que proporciona servicios de extensión. “Es una manera de escuchar a nuestros clientes. Si hay muchas quejas respecto a algo, podemos saberlo y hacer los ajustes o tratar los problemas”, dice.

Las compañías que vigilan la Internet pueden localizar fallas con anticipación, concuerda Andrew Shea, vice-presidente de la consultora de gestión de crisis Nichols-Dezenhall. “Llevar el control de lo que se está diciendo sobre una compañía es extremadamente importante, porque mientras más pronto usted se de cuenta de lo que se dice sobre su compañía, más tiempo tendrá para planificar una respuesta efectiva”, afirma.

Las compañías que no le dan importancia pueden sufrir las consecuencias. El año pasado, Intel ignoró la crítica proveniente de la Internet sobre su nuevo microprocesador, sólo para retirarlo posteriormente -a un costo de millones- después de que los problemas fueron confirmados.

El seguimiento también puede identificar otras amenazas, tales como inversionistas inescrupulosos que hacen “subir y bajar” o que utilizan información falsa para inflar los precios de las acciones y después venderlas con ganancias. En otros casos, un competidor puede clandestinamente tratar de quitar el negocio de una compañía al introducir rumores dañinos con respecto a un producto.

Pero las compañías no deben perder la perspectiva cuando reaccionen a los comentarios en línea sobre la compañía. “Los altos ejecutivos son muy sensibles y tienden a reaccionar más de los necesario”, dice la abogada Megan Gray de Baker & Hostetler, quien ha representado a colocadores anónimos de avisos que fueron enjuiciados por colocar comentarios negativos en las pizarras de mensajes para inversionistas. Ella recomienda que se designe a un empleado para que revise las pizarras o los informes de las compañías controladoras. “Eso evita que los gerentes se obsesionen demasiado con los reclamos y desvaríos de la gente que se concentra en algún aspecto de alguna decisión administrativa”, dice. El departamento de relaciones públicas de la Web del Banco de América actúa como un filtro, dice Weller, elevando a la gerencia sólo los asuntos más importantes. Finalmente, afirma Morgan, de Hale and Dorr, los altos ejecutivos deben recordar

Rapi-bytes

Prospera el Fraude por la WebEl fraude con tarjetas de crédito en la Unión Europea -en especial de las transacciones en línea- saltó el año anterior a un 50 por ciento, estimándose en más de $ 550 millones las ganancias criminales, según la Comisión Europea. La Comisión ha propuesto un Plan de Acción para la Prevención del Fraude, que invoca a los países a trabajar juntos para abordar el problema mediante la tecnología, el intercambio de información, programas de entrenamiento, y cooperación. @ Lea más sobre el plan en SM Online.

Protección inalámbrica. La firma vendedora de antivirus Trend Micro está ofreciendo programas gratuitos de protección contra virus para instrumentos inalámbricos. PC-cillin, que está basado en el programa antivirus para computadoras de escritorio de Trend Micro, protege conocidos dispositivos manuales (incluyendo Palm OS y Pocket PC), contra virus, scripts, caballos de Troya y gusanos. Aunque todavía no están muy difundido los programas perjudiciales dirigidos contra instrumentos portátiles, algunos ataques que tratan de probar ese concepto y que se iniciaron el año pasado, indican que los intrusos informáticos apuntarán cada vez más hacia las plataformas inalámbricas. @ Proteja sus dispositivos inalámbricos a través de www.securitymanagement.com

Decepción con las copias de respaldo. Un estudio nacional reciente muestra que casi el 37 por ciento de los usuarios de computadoras de trabajo nunca preparan copias de respaldo de sus datos, y casi el 10 por ciento preparan respaldos no más de una vez por mes.

La encuesta efectuado por Bruskin Research para la Corporación Iomega también revela que casi uno de cuatro usuarios de computadoras ha perdido información a causa de los intrusos informáticos (hackers), virus, cortes de energía o fallas eléctricas.

Se unen los luchadores contra el fraude.

La Red Mundial de Prevención del Fraude contra el Comercio Electrónico (Worldwide E-Commerce Fraud Prevention Network), una coalición que se basa en comerciantes de más de 350 compañías que trabajan para reducir el fraude en línea, ha lanzado un sitio en la Web para brindar recomendaciones e información sobre la lucha contra el fraude. La Red, fundada por compañías tales como American Express y Buy.com, alienta a las empresas en línea para que adopten las mejores prácticas y la tecnología antifraude.

Los artículos disponibles en el sitio cubren una variedad de aspectos de la lucha contra el fraude, que incluyen datos para dar seguridad a los servidores Web, reporte de delitos en línea, y empleo de firmas digitales para prevenir los fraudes. Hay consejos para consumidores sobre compras seguras que los comerciantes pueden mostrar en sus sitios. El sitio también explica cinco maneras de que los comerciantes pueden protegerse contra el fraude cometido con tarjetas de crédito.

Primero, la autorización en tiempo real por una compañía de tarjetas de crédito asegura que la tarjeta no ha sido reportado como extraviada. Segundo, se puede usar un sistema de verificación de la dirección, que compara la dirección dada en el momento de la transacción con la dirección existente en el archivo para esa tarjeta de crédito, puede ayudar a identificar transacciones de riesgo. Tercero, es posible pedir un código de verificación de la tarjeta (un número en la tarjeta de crédito del comprador que no se imprime en los recibos) que pueda validar que un cliente realmente posee la tarjeta que él o ella está usando. Cuarto, los comerciantes pueden emplear programas informáticos para detectar en base a reglas, en los cuales ellos definen un conjunto de criterios (tales como números de tarjeta de crédito o direcciones de despacho erróneos), contra los que se prueban las transacciones. Quinto, se pueden usar programas de modelos estadísticos para analizar bases de datos y calcular el riesgo de una transacción.

Ser miembro de la Red es gratuito para cualquier organización que esté de acuerdo en adherirse a sus principios de seguridad: la información de la tarjeta de crédito debe estar codificada y/o con la contraseña protegida; la transmisión de datos debe ser hecha en forma segura; el acceso a datos sensibles debe ser estrechamente verificado; los programas informáticos de seguridad deben mantenerse actualizados y las barreras (firewalls) informáticas configuradas apropiadamente; el tráfico en la Internet debe ser registrado; el sitio Web de la organización debe ser controlado al menos diariamente; las bases de datos de las empresas no deben estar conectadas directamente a la Internet; y se debe notificar a los órganos policiales si se sospecha un delito. Si se encuentra que los miembros no están cumpliendo se les pedirá que incrementen la seguridad; si no cumplen, se les cancela la membresía.

@ Averigüe más acerca de la red y las herramientas para combatir el fraude, dirigiendo su buscador a SM Online.

Arreglo gratuito de las vulnerabilidades de los programas informáticos

Uno de los pilares para la protección efectiva de la información es la identificación rutinaria de nuevas vulnerabilidades, seguida por las contramedidas para sellar estas aberturas. Si bien esto suena bastante simple, puede ser una verdadera molestia para las compañías que tienen abundantes programas, considerando que cada mes son descubiertas alrededor de un centenar de vulnerabilidades. Pero un servicio gratuito del Instituto Nacional de Estándares y Tecnología (NIST) puede ayudar a simplificar este proceso.

El Juego de Herramientas para Categorización de Ataques por Internet (ICAT) permite que los administradores de sistemas, organismos policiales, investigadores y desarrolladores de programa busquen dentro de una lista de vulnerabilidades, ingresando información sobre sus sistemas y programas operativos.

La lista muestra después los resúmenes de todas las vulnerabilidades que son aplicables a ese programa, comenzando con las más peligrosas. (Se considera que una vulnerabilidad es de “alta gravedad” si permite que un atacante del exterior tenga acceso a la raíz de un sistema).

También se proporcionan enlaces para información sobre la vulnerabilidad y las soluciones pertinentes. En este momento, ICAT contiene más de 2,100 vulnerabilidades de los programas informáticos.

Una herramienta complementaria llamada Cassandra alivia el trabajo. Creada por el Centro de Educación e Investigación sobre Aseguramiento y Seguridad de la Información (CERIAS), Cassandra permite a los usuarios crear perfiles para archivo de los servicios y aplicaciones que usan en sus redes. Periódicamente busca nuevos ingresos en la base de datos del ICAT y envía mensajes electrónicos a los usuarios cuando se descubren vulnerabilidades que corresponden a sus perfiles.

@ Visite ICAT y Cassandra a través de www.securitymanagement.com .

Limpiando los derrames de datos

Las compañías que tienen sitios en la Web necesitan elaborar una política de privacidad para avisar a los visitantes si van a proteger y cómo, la información de los visitantes que pueden recopilar. Sin embargo, la formulación de esa política es sólo la mitad de la batalla; cumplir con ella mientras el sitio cambia es la otra mitad. El primer paso es entender las innumerables formas de que la información de los visitantes podría escaparse de la página Web de la compañía -violando potencialmente de este modo, la política sobre privacidad.

Las revelaciones no intencionales de la información personal, denominadas “derrames de datos”, pueden suceder cuando los visitantes activan el enlace para un sitio externo. Los buscadores automáticamente comunican al nuevo sitio del URL (la dirección de las páginas en la Internet) de donde proviene el usuario, mostrando posiblemente información personal que debió haberse conservado en forma privada. Por ejemplo el URL podría contener un nombre, clave o dirección electrónica, o podría comunicar información confidencial sobre intereses personales (tal como www.medicalsite.com/menshealth/baldness )

Los avisos de publicidad y otros objetos contenidos por un tercero también hacen que el URL sea enviado a un sitio externo, lo que puede igualmente acabar en una filtración de información que podría violar una política de seguridad establecida. Ron Perry, Jefe Ejecutivo de IDecide, compañía de privacidad por la Internet, afirma que esta clase de filtración de datos se puede evitar fácilmente. “Si una página Web tiene un enlace hacia un tercero o a un objeto cargado de un tercero, como una imagen o “applet”, asegúrese que esa página no incluya información personal” respecto a visitantes, dice.

La información personal también puede quedar comprometida mediante el uso de bichos (“bugs”) en la Web. Estas son imágenes muy pequeñas, del tamaño de un pixel (también llamadas GIFs claras), que son invisibles para los visitantes. Cuando se visita una página conteniendo un bicho Web (que está alojado en un servidor diferente al de la página Web), el bicho envía información del usuario, como su URL actual, al interesado -generalmente una empresa de publicidad o mercadeo- que alberga el bicho. Los bichos también pueden emplearse en el correo electrónico HTML, revelando información del lector como su dirección IP (indicador numérico que identifica a cada computadora en la Internet), lo que podría permitir a otros interesados vincular una dirección de correo electrónico y una dirección IP, con un perfil previamente compilado.

Otra manera en que se da la filtración de información es a través de ciertos tipos de formularios Web usados para reunir información personal. Los formularios que utilizan el método de codificación HTML “Get” adjuntan el contenido del formulario al URL de la página resultado (por ejemplo, si Juan registra en un formulario su nombre y edad, el URL de la página resultado podría leerse www.medicalsite.com/get.cgi?name=juan&age=22 ). Si la página resultado contiene objetos o enlaces a terceras partes interesadas, esas terceras partes podrían recibir toda la información que está en el formulario, produciéndose un derrame de información -y posiblemente una violación de una política de privacidad. Los formularios que utilizan el método de codificación “Post”, codifican los datos y no revelan nada de información del formulario (con lo que el URL resultante para el ejemplo previo podría decir ). El representante de IDecide, Ron Perry, dice que este es el método que se recomienda cuando se recoge información sensible.

El recomienda que se capacite a los programadores respecto a los peligros contra la privacidad que son planteados por los “bichos” en la Web y por los formularios inadecuadamente codificados.

Asimismo, “las páginas Web cambian constantemente, así que las compañías tienen que verificar sus sitios Web en forma regular”, para asegurarse que siguen cumpliendo con la privacidad.
@ Lea en SM Online más consejos para el cumplimiento de las políticas de privacidad.

Oigan muchachos, ¿quieren un caramelo?

Todos saben que no se deben abrir los mensajes de correo electrónico que tienen archivos ejecutables, como aquellos que terminan en .exe, incluso si esos anexos vienen de un amigo. Sin embargo, el predominio continuado de virus, sea que prometa un mensaje como “I love you” o una foto de Anna Kournikova, demuestra que lo que todos conocen y lo que todos hacen son dos asuntos totalmente diferentes

Una encuesta reciente de los usuarios de computadoras en el Reino Unido, auspiciado por MessageLabs, que se especializa en depurar mensajes por correo electrónico en búsqueda de virus, mensajes no solicitados y otro contenido malicioso o inapropiado, muestra que todavía falta que se aprendan algunas de las lecciones básicas de seguridad. Casi la mitad de las 150 personas participantes en el estudio dijeron que abrirían un mensaje electrónico titulado “Great Joke” (Estupenda broma), “Look at this” (Mire esto) o “Re: message” (Referencia: mensaje).

Más de un tercio de quienes respondieron afirmaron que abrirían un mensaje electrónico titulado “I love you” (Te amo) si lo recibiesen de una fuente conocida en el Día de San Valentín. Eso es riesgoso porque la mayoría de los virus envían automáticamente copias de sí mismos a todos los que están en un libro de direcciones, asegurándose que el nombre en el casillero “De” sea probablemente conocido e incluso digno de confianza.

Se encontró que el 84 por ciento de las PCs de los entrevistados tenían programas anti-virus. Sin embargo, más de la tercera parte de la gente responsable de mejorar su programa anti-virus lo hizo sólo una vez al mes, y casi la cuarta parte actualizó su programa cuatro veces al año o menos -lo que es apenas adecuado cuando nuevos virus están apareciendo casi todos los días.

@ Lea el reporte completo a través de SM Online.

La Policía de Hong Kong tras el delito cibernético
Aunque los usuarios de la Internet en Hong Kong se han incrementado en 300 por ciento en los últimos dos años, los delitos informáticos sólo aumentaron 9 por ciento el año pasado, luego del brusco aumento del año anterior. Sin embargo, los delitos se están volviendo más técnicos y complicados, especialmente los que involucran la Internet, de acuerdo a la Sección de Delitos Informáticos de la CCB (Oficina de Delitos Comerciales), a cargo de investigar los ciberdelitos.

Raymond Lau Chi-keung, superintendente mayor de la CCB, dijo que los 380 casos de delitos informáticos investigados el año pasado implicaron piratería, fraude, obscenidad, y daño criminal. El considera que el aumento relativamente lento del delito cibernético se debe al trabajo efectuado en la prevención y concientización.

“Los agentes han estado visitando las escuelas para elevar la conciencia sobre los delitos informáticos”, dice “y han dado seminarios en el Ministerio de Justicia y en las cortes judiciales para mantener al día a los fiscales y jueces respecto a las últimas tendencias del delito contra la TI (Tecnología de la Información)”. En Hong Kong este tipo de delito puede acarrear sentencias hasta de 10 años en prisión.

Están en preparación los planes para ampliar la sección, crear un laboratorio forense para delitos informáticos, e incrementar el entrenamiento de los agentes.

¿ Le agobia la “Fasgrolia”?

Si una interminable corriente de fasgrolia le tiene confundido, un diccionario de términos de la Internet preparado por SmartComputing .com puede ser de ayuda. “Fasgrolia” o el aumento constante en el lenguaje de siglas de Internet, como HTTP, DNS y C2C, es sólo uno de los muchos términos que se definen. Se incluyen otros como “emailingerers”, que son los empleados que parecen estar ocupados en el trabajo al escribir montones de mensajes electrónicos personales y navegar en la Web; “internesia”, cuando usted ha encontrado un estupendo sitio Web pero simplemente no se puede acordar dónde, y “moved to Atlanta” (mudado a Atlanta), que es una referencia a los errores 404, Archivos no Encontrados, que quedan cuando desaparecen páginas Web (404 es el código de área de Atlanta).

@ Averigüe cómo evitar “cornea gumbo” y “drownloading” visitando www.securitymanagement.com


 
 Respond to this message   


Forum Owner
CHARLA TECNOLOGICA 08April 27 2004, 3:26 PM 

CHARLA TECNOLOGICA 08
Por Peter Piazza
www.securitymanagement.com

Los eslabones débiles en la cadena de seguridad

Más de un millón de tarjetas de crédito fueron robadas de los sitios dedicados al comercio electrónico y a la banca electrónica en por lo menos 20 estados, anunció en marzo el Centro Nacional de Protección de Infraestructura (NIPC) del FBI.

Los piratas informáticos (hackers) daban a conocer sus vulnerabilidades a las compañías y exigían dinero-hasta $ 100,000-o ellos se aprovecharían de esas aberturas y robarían la información de las tarjetas de crédito. Aunque muchas compañías pagaron, los números de las tarjetas de crédito fueron distribuidos de todos modos. Pero los expertos afirman que los robos pudieron haberse prevenido, ya que las artimañas empleadas para tener acceso a los sistemas, eran bien conocidas y fáciles de arreglar con un programa corrector (patch).

Allan Paller, director de investigación del Instituto de Administración de Sistemas, Uso de Redes y Seguridad (SANS), afirma: “La primera vulnerabilidad (del aviso del NIPC) era el número cuatro en la lista del SANS de las 10 primeras amenazas de seguridad por Internet que publicamos con el FBI en junio último. Las personas aún no prestan mucha atención”. Esa vulnerabilidad, que permite el acceso no autorizado a los servidores Microsoft IIS, fue descubierta inicialmente en 1998, cuando Microsoft describió la artimaña y distribuyó un programa corrector contra ella.

Grupos organizados de piratas informáticos en Rusia y Ucrania usaron cuatro vulnerabilidades dirigidas a servidores que emplean el programa IIS, para obtener acceso a los sistemas. Dos de ellas están relacionadas con el Lenguaje Estructurado de Interrogación (SQL), el cual se usa para disponer que una base de datos busque información. Chris Wysopal, director de investigación y desarrollo en @Stake, una compañía de seguridad de Internet, afirma que algunos investigadores creen erróneamente que los programas cortafuegos (firewalls) son adecuados para proteger las redes contra los intrusos. “Un cortafuegos no le da suficiente protección”, dice, “debido a todas las vulnerabilidades que se pueden alcanzar a través del enlace con Internet que los cortafuegos tienen que dejar pasar. El cortafuegos no sirve para nada en problemas de nivel aplicativo como son los problemas con el IIS o el servidor SQL”, un sistema de administración de bases de datos.

La primera línea de protección, dicen los expertos, es fortalecer los sistemas contra los piratas. Paller dice que algunas vulnerabilidades son “creadas por el programador que no examina el aporte de datos de una expresión SQL en particular, para ver si personas con malas intenciones pueden enviar caracteres especiales a través del SQL”, posiblemente permitiendo que los intrusos cometan acciones no autorizadas contra el servidor o la base de datos. Arreglar estos problemas durante la etapa de programación creará un sistema más fuerte, dice.

Lo siguiente es que los administradores de sistemas deben instalar rutinariamente programas correctores, una obligación que muchos no están cumpliendo, dice Wysopal. “Algunas grandes compañías de conexión con la Web dicen que instalan estos ajustes cada seis meses, lo que significa una falta total de sentido”, indica. Las compañías necesitan un proceso “para asegurar que todos los sistemas vulnerables se corrijan en un período de tiempo razonable, diría en un par de días”, menciona. En la Internet (vea Charla Tecnológica, “Arreglos gratuitos de vulnerabilidades en los programas”, mayo 2001) puede hallar información filtrada y disponible respecto a vulnerabilidades y programas correctores, y también servicios profesionales.

Aunque los expertos están de acuerdo en que la información sensible, como los números de las tarjetas de crédito, debería ser encriptada (como exige Visa a sus comerciantes) o no ser guardada de ningún modo, eso claramente no se realiza, dicen “Calculo que el 98 por ciento de toda la información de las tarjetas de crédito que se conserva en estos sistemas, no está encriptada”, afirma. Pero muchas empresas no parecen tener voluntad para cambiar la facilidad de uso del consumidor por una ganancia en la seguridad, dice Wysopal. “Las empresas no quieren que los clientes tengan que escribir los datos de la tarjeta de crédito la siguiente vez que efectúen una visita”.

@ Lea los avisos del NIPC y la Lista de las Diez Primeras Amenazas de Seguridad en la Internet, preparada por el SANS, a través de SM Online.

Rapi-bytes

Hechos sobre los Fraudes. El Centro de Quejas de Fraude por Internet (IFCC) hace poco emitió un informe detallando sus primeros seis meses de operación. El IFCC, que es una asociación del FBI y el Centro Nacional de Delitos Administrativos, ha registrado más de 20,000 quejas, de las cuales 6,087 se trasladaron a organismos policiales en todo el país. Más de la mitad de los reclamos estaban relacionados al fraude cometido en las subastas; dos tercios representaron pérdidas menores de $ 1,000. California estuvo a la cabeza tanto en quejas como en criminales.

@ Lea el informe completo visitando www.securitymanagement.com

Normas biométricas. El Comité de Normas Acreditadas X9 , perteneciente a la Asociación Americana de Banqueros, el órgano encargado de establecer normas para la industria financiera, ha emitido unas nuevas pautas para el uso de la biometría en esa industria.

Detalla los requisitos para administrar y proteger datos biométricos e identifica las técnicas para asegurar la privacidad y la integridad de la información biométrica. Desarrollado en conjunto con diversos grupos biométricos, la nueva norma podría ser eventualmente usada por otros sectores, como el de atención de salud, en donde se están considerando los sistemas biométricos.

@ Para mayor información sobre las normas, visite SM Online.

Encuesta de seguridad. Las pérdidas financieras debidas a las penetraciones en las computadoras saltaron en cerca del 40 por ciento en relación con el año pasado, de acuerdo a la Encuesta sobre Delitos y Seguridad Informática, que conducen anualmente el Instituto de Seguridad Informática y el FBI. De las 538 compañías encuestadas, no menos del 85 por ciento detectaron penetraciones de seguridad durante el año pasado, con un 70 por ciento de los ataques proviniendo de la Internet. El abuso de la Internet por los empleados fue detectado por el 91 por ciento de los entrevistados, con empleados bajando pornografía, pirateando programas o empleando el correo electrónico de la compañía para uso personal.

@ Aprenda más acerca del informe en www.securitymanagement.com

Texto sobre IDS

El Instituto Nacional de Estándares y Tecnología (NIST) ha lanzado una Publicación Especial sobre Sistemas de Detección de Intrusos (IDS). En términos claros y fáciles de comprender, el informe trata sobre las razones para usar un IDS, los tipos de sistemas que están disponibles, los métodos para configurar un IDS, y las formas más comunes de ataque contra las computadoras.

Según Peter Mell, empleado del NIST y uno de los autores, “el informe es un texto inicial para gente que no sabe mucho respecto a sistemas de detección de intrusos y que quisiera familiarizarse con ellos”.

Además de explicar los cómo y por qué de la detección de intrusos, “el informe ayuda (a los usuarios) a evitar alguna campaña publicitaria que pueda estar llevando a error”, dice Mell. A todas las compañías de IDS les agrada pintar sus productos de la mejor manera posible y al hacerlo sus encargados de mercadeo son un poco más ambiciosos de lo necesario”. Mell menciona que el informe del NIST ha tratado de ofrecer una opinión imparcial de lo que es-y no es-realístico esperar de un IDS.

Al momento de escribir el presente artículo, el informe estaba disponible en borrador, y Mell dice que sufrirá ligeras revisiones como resultado de los comentarios recibidos de varias agencias y organizaciones del gobierno. Finalmente será presentado al gobierno federal como una guía para la seguridad informática, aunque podría aplicarse a cualquier clase de industria o negocio que tenga presencia en la Web.

@ Lea el informe completo a través de SM Online.
Las filtraciones económicas pueden hundir un negocio
¿ Cuánto les cuesta a las compañías cada año la pérdida de propiedad intelectual, información propia y otros intangibles? Por lo menos 5.57 por ciento de sus ingresos totales anuales, de acuerdo a un reciente estudio.

Frank J. Bernhard, director gerente del area de la cadena de abastecimiento y telecomunicaciones del Grupo de Consultoría OMNI, que encabezó el estudio, dice que tal cantidad podría ser mucho mayor, dependiendo del tamaño de la compañía y de la naturaleza de la compañía. Y en un caso como la reciente intrusión informática en Microsoft, en donde fue potencialmente observado el código fuente de futuros productos, el costo puede ser incalculable.

El estudio, iniciado en junio pasado, fue subvencionado por una donación de un grupo de clientes de OMNI para su uso interno. Se estudiaron más de 3,100 compañías con ingresos que van desde $ 10 millones hasta $ 73 mil millones, desde Norte América y Europa de un amplio espectro de industrias técnicas y no técnicas, mediante encuestas y entrevistas profundas con múltiples ejecutivos de cada compañía, junto con datos de fuentes como el FBI y la Oficina de Análisis Económico del Departamento de Comercio.

Los enormes y crecientes costos para las empresas que el estudio reveló tienen diversas causas, dice Bernhard. Pero es generalmente la Internet la principal culpable del aumento de la “filtración económica”.

“Existe un dicho ‘Si lo construimos, ellos vendrán’. Bueno, ellos vinieron y se están yendo con mucho más de lo que esperaban”, dice.

Un creciente número de trabajadores móviles y el aumento de la dependencia de las redes informáticas y sistemas de información, son también responsables de la desaparición de la propiedad intelectual, afirma Bernhard.

Pero las empresas tienen la culpa principal por no crear una escala de seguridad que corresponda a lo que ellos están tratando de hacer, sea como una presencia física o en la Web”, dice Bernhard. “Las compañías no han exhibido una política o autoridad sobre el trato de la propiedad intelectual y la seguridad”, dice “así que necesitan tener en cuenta el manejo de su política en relación con los recursos de la organización, aun antes de considerar la tecnología”.

A continuación, Bernhard indica que las compañías necesitan entender su sistema de riesgos y compensación para los empleados. Si la propiedad intelectual y los datos sobre clientes son las joyas de la corona en una compañía, las empresas necesitan compensar a los empleados por proteger esas joyas.
La encuesta también reveló “una demanda creciente por la autenticación”, dice Bernhard. Pero cumplir con esa exigencia puede ser difícil. Aunque muchas tecnologías de autenticación, como los certificados digitales, se están usando cada vez más, una reciente advertencia de la autoridad certificadora VeriSign de que en nombre de Microsoft había emitido erróneamente certificados a unos estafadores, subraya el punto de Bernhard. (Vea la historia que sigue).

Confíe, pero verifique

La autoridad certificadora VeriSign anunció en marzo que casi dos meses antes había expedido dos certificados digitales a alguien que se hizo pasar como un empleado de Microsoft. VeriSign atribuyó la emisión a un error humano y no dio más detalles sobre cómo fue burlado el proceso de validación de la compañía ( el cual exige que se haga una detallada investigación de la autorización de un solicitante para pedir un certificado), mientras se realiza la investigación policial. Aunque este tipo de error puede ser raro, el impacto pudo haber sido mitigado si las listas de revocación de certificados (CRL) fuesen verificadas en forma automática por programas aplicativos.

Estos certificados digitales incluyen un par de llaves que permite que el titular encripte los datos o muestre la prueba del origen y de la autenticidad de los datos para los documentos que se han enviado con ellos. Son empleados para firmar los programas digitalmente, de tal manera que quien recibe sabe que los programas provienen de una fuente confiable y son seguros si son activados. Los certificados obtenidos en forma fraudulenta podrían ser usados por un atacante para engañar a los usuarios y hacerlos usar un programa que no es seguro. Microsoft ha emitido una actualización que instala una CRL en donde aparecen los dos certificados falsos, de modo que un usuario que encuentre un programa firmado por cualquiera de los certificados verá que ellos han sido anulados. La actualización también pone en funcionamiento la función verificadora de CRL en el Internet Explorer para buscar los certificados de las editoriales de software.

“Hay cosas que se pudieron haber hecho antes que hubieran evitado que esto fuese un problema”, dice Shawn Hernan, miembro del personal técnico de CERT. “En el pasado Microsoft ha escogido no habilitar las características que hubieran verificado automáticamente los certificados anulados, aunque “ésa no tiene toda la culpa. Eso es lo que el público ha estado exigiendo, un acceso fácil de usar y simple, sin obstáculos, para sus sitios favoritos.”

Mahi de Silva, vicepresidente y gerente general de servicios confiables de VeriSign, dice que existen otras razones por las cuales la verificación automática de CRL no ha sido popular. “Usted tiene la posibilidad que la CRL sea grande y podrían existir algunos problemas de retrasos en la red informática cuando el sistema trata de recuperarla”, afirma. “Asimismo, hay desarrolladores de aplicaciones que están preocupados sobre lo que esto significa desde la perspectiva del ancho de banda”.

A pesar de estas preocupaciones, de Silva dice que la verificación automática de CRL se convertirá en algo más extendido. “Toda la infraestructura para la PKI (infraestructura de llaves públicas) observará esto y dirá ‘Esto es algo que necesitamos efectuar para hacer al sistema aún mejor de lo que es hoy’”.

Hernan está de acuerdo que la industria de los programas informáticos puede responder al desafío. “Estoy seguro que la comunidad (de TI) podría responder para desarrollar soluciones inteligentes para hacerla funcionar con una rapidez aceptable”, menciona, “Confío que la verificación de las CRL en forma rápida y a alta velocidad será uno de los resultados de esto”.

@ Lea el Boletín de Seguridad de Microsoft a través de SM Online.

Leyes del comercio electrónico en línea

La Organización de Cooperación y Desarrollo Económico (OCDE) ha preparado un documento con una visión general de las actuales leyes de protección del consumidor y del comercio equitativo, mercadeo justo y requisitos para revelar información aplicados al comercio electrónico en los países miembros de la OCDE, incluyendo a los Estados Unidos, la Unión Europea, Australia y el Japón.

De acuerdo a la introducción hecha por la Secretaría de la OCDE, “El inventario servirá como el punto de partida para reunir e intercambiar información, mientras las políticas e iniciativas del gobierno y del sector privado relativas al consumidor, son revisadas, formuladas y aplicadas en línea”.

Los hipervínculos en las notas de pie de página del documento conducen a los correspondientes sitios Web del gobierno, en donde los lectores pueden hallar más información detallada.

@ Lea el documento completo de la OECD a través de SM Online.

Seguridad de la información amenaza a abogados

Aunque cualquier tipo de empresa puede ser amenazada por intrusos informáticos y virus, algunos expertos afirman que los abogados se convertirán en blancos atractivos en forma creciente. “La mayoría de abogados con los que nos hemos topado no son extremadamente concientes de la seguridad, y hemos observado muchos casos en los que los abogados han sido el blanco directo”, menciona Neal O’Farrell, CEO de Hackacademia, compañía de entrenamiento de seguridad en la Internet.

Los abogados enfrentan algunas responsabilidades singulares de, y desafíos a, la protección de información confidencial. “Los abogados están encargados de conservar segura la información confidencial de sus clientes, y esa información con frecuencia es crítica para los clientes”, dice Jim Calloway, director del Programa de Apoyo Gerencial del Colegio de Abogados de Oklahoma, que brinda asesoría técnica y administrativa a los abogados. “Un abogado que trabaja en un caso penal podría poseer información que puede incriminar al cliente si se hace pública, de modo que tenemos la elevada obligación de proteger la información”. Revelar información sin tener motivo podría llevar a una demanda por conducta ilegal en el ejercicio de la profesión o a medidas disciplinarias por parte de las autoridades que otorgan las licencias de abogado, agrega.

En una firma pequeña, a veces la seguridad es responsabilidad de una persona que no tiene entrenamiento, explica el abogado Bruce Dorner. “Yo soy un abogado solo, así que yo soy el departamento de TI (Tecnología de la Información)”, afirma.
Las firmas más grandes enfocan la seguridad de la información en forma muy similar a la de las grandes corporaciones. Jo Haraf es funcionaria jefa de tecnología de Morrison & Foerster, una firma legal con más de 1,000 abogados alrededor del mundo. “Sospecho que nuestra seguridad que se basa en un servidor y en una red informática es casi la misma que poseen todos los otros [en el mundo corporativo]”, dice, incluyendo programas cortafuegos, programas antivirus y candados para evitar que se roben o se pierdan las computadoras portátiles.

Pero aun cuando los abogados tienen conocimientos tecnológicos, es posible que la información no esté segura. “Una razón por la que la encriptación no es usada rutinariamente por las oficinas de abogados no es que los abogados no tengan la voluntad de hacerlo, sino que los clientes no desean tratar con ella”, a pesar de que la información confidencial pertenece al cliente, dice Calloway. “Esa decisión la toma el cliente, aunque el abogado necesita asegurarse de que el cliente entiende claramente los riesgos que esto involucra”.

Al igual que en el mundo del comercio electrónico, no hay una norma mínima clara para proteger la información digital. “El Colegio Americano de Abogados (ABA) puede publicar reglas modelo o pautas sobre el uso de la tecnología”, dice David Whelan, director del Centro de Recursos de Tecnología Legal del ABA, “pero no podríamos exigir el cumplimiento de esas pautas”. Cualquiera que sean las normas, afirma, tendrían que provenir directamente de los estados, que son los que dan las licencias a los abogados.


 
 Respond to this message   


Forum Owner
Prácticas importantes en el transporte de caudales (Seguridad).May 4 2004, 10:07 PM 


http://www.segured.com/sections.php?op=viewarticle&artid=130



Prácticas importantes en el transporte de caudales
(2434 palabras en este texto)
(leído: 297 veces)



En un primer articulo hacíamos mención a algunas prácticas importantes
para la preparación de un hombre que cumple funciones destinadas al
transporte de valores y su custodia, hoy trataremos de ahondar un poco más
en esas consideraciones a los efectos de clarificar algunos aspectos. Si
bien aquí dejamos expresado que esto es importante para el personal
destinado al transporte y custodia de valores es aplicable a todos los
estamentos de la seguridad.


El tiempo y la experiencia nos da que las mejores medidas que debe tomar
un hombre de seguridad, se basan en la prevención, la observación y la
disuasión, y por último la reacción. Para que estas etapas se cumplan el
hombre deberá estar bien capacitado, por lo cual la capacitación, es la
herramienta fundamental en esta empresa para llegar a un buen puerto.


Aquí podremos estar de acuerdo con esto que expresamos seguidamente:



*Personal entrenado en forma deficiente, difícilmente puede realizar
tareas de prevención u observación, disuasión y reacción o tareas de
seguridad. De nada vale contar con equipos y tecnología de avanzada, si
los portadores o usuarios de los mismos, carecen de la formación o
capacitación necesaria para utilizarla.


Como decimos siempre el hombre de seguridad debe estar preparado física,
psíquica, técnica y jurídicamente para ahondar en estos temas veremos él
porque de este orden que si bien parece estar dispuesto en forma
caprichosa, tiene su fundamento en razones fundadas en la forma de operar
de la delincuencia.


En si cuando tratamos de definir el modo de operar del delito cualquiera
que fuera sus formas, no pretendemos desarrollar el modus operandi de las
distintas bandas que en cada territorio puedan operar, nos referimos a la
esencia del delito, al cual algunos profesionales de la seguridad
denominan cuadrado del delito.

Cuadrado del delito


MOTIVO O TENTACIÓN

OCUPAR MENOR OPORTUNIDAD DE

TIEMPO SORPRENDER.


CORRER EL MENOR
RIESGO.


Aquí y no en forma caprichosa vemos la esencia del cualquier tipo de
delito, cualquiera fuera la instancia que tuviere.
 De esta manera como contrapartida debe oponer cuatro barreras o medidas
 para desalentar, minimizar, hacer desistir al delincuente en su intento.
 Las mismas son las que enunciamos en primera instancia prevención,
 observación, disuasión y por último la reacción. Así entendemos y
 pretendemos en nuestra empresa, que los hombres que realizan la tarea en
 el transporte de valores, lo entiendan y apliquen a los efectos de
 minimizar los riesgos, personales, corporativos y de terceros.

Si se me permite la expresión: ante una acción una reacción. Para
graficarlo de alguna manera.


Si bien dimos forma a lo que pretendemos de nuestros hombres de seguridad,
debemos cuidar además aspectos fundamentales los cuales son: físico. Como
decíamos en nuestro primer articulo es importante no solo por los largos
tiempos en que permanece dentro de la unidad, sino por el mismo hecho de
que la delincuencia aprovecha estas falencias en la preparación física
como factor clave para la comisión del delito.


No es lo mismo enfrentar a una persona en buen estado físico que a aquélla
que no le da el verdadero valor de seguridad que significa tener un buen
estado.


En el tiempo que llevo en la actividad, la mayoría de los delincuentes que
tuve la posibilidad de observar, tiene un estado óptimo en lo referente al
físico como contrapartida ví muchos hombres pertenecientes a la seguridad
privada como publica fuera de estado, en muchos de los casos hasta
podríamos decir obesos.


Cuando decíamos que el hombre debe estar preparado en forma física,
también hacíamos mención a una buena preparación técnica.


Aquí nos vamos detener para ampliar sobre este tema en particular.



Cuando decimos en forma técnica, estamos ahondado no solo en las distintas
técnicas de prevención de seguridad, en los nuevos dispositivos GPS etc.,
en la tecnología, sino también nos referimos a los medios con los cuales
cuenta el hombre de seguridad en el transporte de valores para realizar su
actividad y esto nos lleva a ver desde su equipo de protección individual,
su armamento, su equipo de comunicaciones, sus municiones, como a la
preparación de sus habilidades técnicas para el uso de estos elementos.


Mucho podríamos decir pero quiero llamar su atención a un punto en lo que
se refiere a lo que sucede en el hombre en una situación de enfrentamiento
y muchos no dice, aquí es donde la carga de capacitación debe aplicar el
mayor esfuerzo no solo para beneficio del hombre, la organización sino
sobre terceros, en este punto no podemos escatimar esfuerzos en horas de
capacitación ni técnicas, y fundamentalmente además de lo expresado el
hombre que porta un arma debe saber mediante la capacitación, que sucede
en él durante un enfrentamiento, lo que algunos estudiosos llaman Súper
estrés, no podemos estar ajenos a decir y capacitar a nuestro hombre en
técnicas para superar esta limitación propia del ser humano, no solo
llevarlo a un polígono, enseñarle todo sobre leyes, creo que esta
capacitación toma vital importancia. Ante la cierta posibilidad de un
enfrentamiento nuestro hombre debe conocer que cosas suceden en su
organismo, es llevarlo a que aprenda que no solo tiene que luchar para
defender su vida, sino que también deba luchar con las propias
limitaciones que generan su cuerpo ante una situación de extremo peligro.
Algunas de las cuales destacamos aquí:


Deformación de la visión



1.       Dilatación de pupilas, imposibilidad de enfocar a mas de 1,50
metros, lo que hace imposible también enfocar nuestros aparatos de
puntería.


Deterioro de habilidades motoras



1.       se hace imposible ante un enfrentamiento manejar nuestras propias
manos, las mismas incrementan su peso al máximo, nos pesan una enormidad,
lo que nos resulta fácil de realizar en situaciones normales, como
levantar nuestra mano, sacar un cigarrillo de su atado, encenderlo, son
casi imposibles de realizar, imagínese hacer el recambio del cargador.
2.       Se pierde la habilidad entre la mano y nuestra visión. Las
acciones más simples se hacen complejas en este tipo de situaciones.


Necesidades fisiológicas incontrolables



1. Acciones involuntarias de los conductos de orina y material fecal.



Alucinaciones



1.       Mezcla de la realidad con la ficción.



Imposibilidad de hablar correctamente



1. En virtud de los hechos que vivimos nuestra mente reacciona mucho más
rápido de lo que podemos articular.


Llanto incontrolable


1.       Comprendemos nuestra mortalidad.



Dolores de estómago, vómitos, náuseas, temblores y escalofríos.



También debemos considerar que ante estas situaciones se pierde la noción
de recordar los acontecimientos de los hechos por secuencias. Se tardarán
horas o días, para poder recobrar la información de los hechos.


Nuestro cerebro tarda más tiempo en tomar decisiones bajo estas situaciones.



Se centra el poder auditivo en la situación que se vive descartando los
otros sonidos, se produce una exclusión.


Se pierde la percepción de la profundidad, es como si se reflejara la
imagen en un espejo.


Tomamos conciencia y comenzamos a preocuparnos por la palabra muerte.



Se pierde la percepción del color, se ve como una película en blanco y negro.



Los movimientos nos parecen que se realizaran en cámara lenta, se centra
la tensión a un solo objetivo, descuidando el entorno, se produce el
efecto túnel.


No podemos creer que nos está sucediendo eso a nosotros, efecto de
negación. Incredulidad, confusión.

Todo esto conforma parte de la capacitación de nuestro hombre de seguridad
lo cual es muy necesario para aquellos que diariamente conviven con la
posibilidad de un enfrentamiento armado, muchos capacitadores, centran su
atención a técnicas referentes a extracción del arma, uso de la misma,
tiro de reacción, etc. Si bien es válido y necesario, debemos proveer
también este tipo de capacitación a nuestros hombres para que conozcan a
lo que se enfrentan no solo es un delincuente armado, sino también a sus
propias limitaciones.


De nosotros depende en gran medida brindarle al hombre de seguridad las
armas necesarias para su trabajo y no todas necesariamente pasan por una
pistola, sino también por el conocimiento.


Para lo cual tomo una máxima de la pagina www.tirotáctico.com del
excelente profesional Juan Carlos Ferryera: por todo lo expuesto deberemos
considerar que la mejor forma de sobrevivir a un enfrentamiento armado
sigue siendo una e incontrastable, evítelo siempre que pueda y entrene
para vencer. Potencie su intelecto.

 Fin del articulo


Recuerde!...Ningún arma por sofisticada que sea dará supremacía en un
enfrentamiento sin preparación mental,física y
técnica...Entonces?...Desarrolle el arma mas poderosa...Su intelecto!...
Visite www.tirotactico.com

 

Current Topic - Gerencia de seguridad.