Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las aplicaciones de seguridad y los puntos finales generan cantidades masivas de datos, desde
incidentes de alarma hasta análisis de red, análisis de video y más. Los casos de uso de estos datos
parecen infinitos, pero los datos puros no siempre son la mejor métrica. Para obtener ese apoyo
para los nuevos programas, los líderes de seguridad deben hacer su tarea para diseñar la mejor
presentación posible para los ejecutivos.
¿Cuáles son algunas de las soluciones que sus socios y clientes usuarios
finales están pidiendo actualmente, en particular en lo que respecta a
análisis y big data?
EM. Varía un poco de un usuario final a otro. La seguridad parece ser siempre lo más importante.
Es interesante que si bien la atención se centra en la seguridad, los ejecutivos están mucho más
preocupados por las situaciones de seguridad. Entonces, si ocurre un incendio, un tirador activo o
un incidente de amenaza activa, quieren saber cuántas personas se ven afectadas y dónde se
encuentran. Y ahí es donde pueden entrar la tecnología y los datos. ¿Puedo usar el etiquetado
RFID? ¿Puedo usar el etiquetado inalámbrico y Bluetooth, o puedo usar el reconocimiento facial?
¿O debería usar métodos más convencionales como anti-passback o reunirse afuera? Así que esa
es un área donde los macrodatos y el análisis de datos obtienen mucha tracción.
EM. Toda la información que puedan tener sobre el estado actual y sus necesidades. Siempre les
decimos a nuestros clientes: no sean tímidos, no se preocupen de lo malo o bueno que es. Dinos
todo. ¿Cómo operas? ¿Cuáles son los puntos débiles operativos? Luego, vamos a hablar no solo
con el CSO, no solo con un director o administrador de seguridad, queremos hablar con el guardia.
Queremos hablar con un oficial de seguridad en la recepción. Es posible que incluso queramos
hablar con algunas de sus entidades no relacionadas con la seguridad. Queremos enfocarnos en
establecer cuál es su estado actual de operaciones y luego evaluar la tecnología y los dispositivos.
Eso es realmente lo que nos ayuda a recomendar o elaborar un plan maestro.
Hemos entrado en entornos de usuarios finales donde están pidiendo torniquetes porque están
inundados de gente en esa área, solo para descubrir que su señalización es mala. Todo lo que
necesitan hacer es crear una señal de $ 50. Teníamos un usuario final con señalización que se
desarrolló de la manera correcta, pero apuntaba en la dirección incorrecta. Y eso provocó el 50
por ciento del tráfico no autorizado en el campus. Buscaban una solución de seguridad, pero allí
no había ningún problema de tecnología de seguridad. No lo sabríamos si no nos hubiéramos
sentado y les hubiéramos pedido que explicaran exactamente con qué estaban lidiando y cómo
estaban tratando de resolverlo. El estado actual de las operaciones es muy importante.
La segunda cosa más importante en entornos más complejos hoy en día es el C-suite. ¿Cómo se
comunican contigo? ¿Cómo comunican sus necesidades? ¿Cómo se comunican contigo sobre la
financiación? Cuando queremos presentarnos ante un director financiero, presidente o director
ejecutivo y presentar un plan maestro de seguridad, pasamos entre dos semanas y un mes
preparándonos para esa persona. ¿Qué es lo que les gusta escuchar? ¿Cuáles son sus
preocupaciones? ¿Qué es importante y relevante para ellos? ¿En qué tipo de caso de negocio se
centran?
Puede crear el mejor plan maestro, pero si su C-suite se centra en una prioridad diferente, no
tendrá éxito.
¿Cuáles son algunos enfoques comunes sobre cómo presenta los datos al
C-suite? ¿Cómo varía según el ejecutivo al que está informando?
EM. La mejor manera de medir eso es una serie de preguntas y descubrimiento, pero también
teniendo suficientes puntos de datos.
EM. Cuantifique el riesgo en lugar de ser subjetivo. En un caso, cuando se preparaba para una
presentación sobre cómo asegurar un nuevo edificio, quedó claro que este ejecutivo en particular
estaba interesado en dos métricas: la experiencia del usuario en el edificio y lo que estaban
haciendo otras organizaciones de escala o tamaño similar.
En ese momento, desarrollamos la presentación para hablar sobre la propuesta, pero nos
enfocamos mucho en los datos visuales de cómo sería el viaje de seguridad. Una vez que visualiza
un viaje de seguridad de un empleado, visitante o contratista en su espacio, hace que sea mucho
más fácil de entender para las personas.
Lo segundo que hicimos fue realizar y presentar una evaluación comparativa muy detallada de
organizaciones similares a las de este usuario final. Y no se trataba solo de la cantidad de cámaras.
Fuimos mucho más granulares que eso. ¿Dónde están instalando cámaras? ¿Dónde están
instalando lectores de tarjetas? ¿Qué tipo de sensores están usando?
Al ejecutivo de otro usuario final no le importaban los puntos de referencia. Su enfoque era el
riesgo. ¿Cómo va a solucionar este riesgo para mi organización? ¿Han ocurrido incidentes en
nuestras oficinas? ¿Cómo lo sabes? ¿Cuál fue la gravedad de esos incidentes? Ésos eran los datos
que estaba buscando. ¿Cómo este proyecto de un millón de dólares va a resolver todo eso?
Regresamos y miramos todos los registros de incidentes durante todo el año, identificamos
ubicaciones y creamos un mapa de calor. Le mostramos cómo se ve el perfil de seguridad actual y
qué valor obtiene la empresa de la cobertura de seguridad actual basada en incidentes. Luego
mostramos que si toman estas nuevas medidas, la cobertura de estos incidentes aumentará del X
por ciento al Y por ciento.
No sabría investigar eso si no tuviera una serie de conversaciones sobre lo que es importante para
la audiencia. Lo que siempre recomiendo a nuestros usuarios finales y directores de seguridad es
tener los datos y luego comprender la cultura de su organización y lo que las partes interesadas
consideran relevantes en términos de riesgo y seguridad. Entonces apoye su caso contra esas
prioridades.
EM. La recopilación de datos de alarmas ha sido útil. Los datos de tráfico de red son muy útiles en
estos días para casos comerciales, especialmente cuando se trabaja con TI. Los datos de privacidad
son muy útiles. Una de las grandes preocupaciones que está comenzando a surgir es si algún tipo
de nueva tecnología va a invadir la privacidad del usuario. Por lo tanto, recopilar qué tipo de datos
transmiten los sistemas es fundamental.
Ahora, del otro lado, están saliendo nuevas herramientas analíticas de control de acceso, por lo
que detectan si intento mi placa cinco veces en esta puerta o si estoy conectado con la cámara de
reconocimiento facial y cinco personas atraviesan la puerta conmigo. Creo que va a ser útil porque
entonces no tienes que poner un guardia en la puerta durante 30 días para tener una idea del
comportamiento. Puede recopilar esos datos de manera mucho más fácil y rápida. Eso va a ser de
mucha ayuda.
La mayoría de las OSC parecen querer saber que se preserva mi propiedad intelectual, se preserva
el riesgo de mi reputación y que lo que estoy pagando resolverá un problema tangible.
Claire Meyer es editora gerente de Security Management. Conéctese con ella en LinkedIn o
contáctela en claire.meyer@asisonline.org.