Empresa El peligro de subestimar al enemigo Carlos Burguet Zaragozá Responsable de Planificación y Análisis de Riesgos de la División PIC de Grupo Control L a escritora y Premio Nobel de Literatura en 1938, Pearl S. Buck, acuñó la frase “De todos los peligros, el mayor es subestimar al enemigo”, cuyo significado, más allá de lo puramente semántico, ha cobrado especial relevancia a lo largo del siglo XX, sigue vigente en nuestros días y sin duda alguna perdurará en el tiempo. Cuando hablamos de seguridad, hablamos de la protección de los intereses privados; menospreciar o incluso ignorar los intentos de violación de estos intereses, ya sea de forma física o cibernética, es el mayor de los errores que se pueden cometer. En la División PIC (Protección de las Infraestructuras Críticas) de Grupo Control prestamos una especial atención a las vulnerabilidades de seguridad de nuestros clientes, porque su pleno conocimiento nos permite asesorar sobre las medidas adecuadas para neutralizar la amenaza y las consecuencias de no atender de manera apropiada los flancos débiles del negocio. Éste es el objetivo principal de la Fase 3 “Análisis de Riesgos” del CISIC (Ciclo Integral de Seguridad para las Infraestructuras Críticas), tal y como se introdujo en el número anterior de esta revista. El equipo de Planificación y Análisis de Riesgos (PAR) es el encargado de llevar a cabo todo el análisis de la estructura organizativa del cliente y de los riesgos que soporta la organización, con el fin de valorar y asesorar sobre la implantación de las medidas adecuadas de seguridad que den respuesta a los riesgos observados. Este equipo está formado por profesionales con un amplio bagaje de conocimientos y experiencia en el ámbito de la seguridad y con la más alta acreditación de seguridad de la empresa. Grupo Control acumula años de experiencia en seguridad, lo que nos permite disponer de profesionales al más alto nivel de preparación y conocimientos. La División PIC se nutre de los profesionales más experimentados del 62 Grupo para llevar a cabo todas las fases del CISIC, con el máximo rigor, profesionalidad y confidencialidad. El nexo de unión del equipo PAR con el cliente lo constituye el GTS (Grupo de Trabajo de Seguridad) formado por el propio equipo y directivos de la organización, que trabajarán conjuntamente para valorar los resultados y adoptar las medidas adecuadas. En una rápida descripción de los cometidos del equipo PAR y el GTS dire- mentación y un análisis ROSI (Return Of Security Investment, Retorno de la inversión en seguridad). Somos plenamente concientes de que la inversión en seguridad redunda en beneficios para cualquier organización, pero también lo somos de que los presupuestos deben ajustarse a las necesidades y a la amenaza, evitando el gasto por el gasto con argumentos basados en hipótesis de dudosa probabilidad. Por este motivo, nuestros profe- La inversión en seguridad redunda en beneficios para cualquier organización, pero los presupuestos deben ajustarse a las necesidades y a la amenaza mos que el análisis se inicia con la obtención de datos de la organización objeto. Este muestreo incluye la recogida de datos, tanto internos como externos, que permiten hacer una “radiografía” del estado actual de la seguridad. Con todos los datos obtenidos, se realizará un análisis de riesgos que presentará al GTS con el fin de que se consensúen las acciones adecuadas a llevar a cabo por la organización en función de cada riesgo: œ Aceptar: No actuar, teniendo pleno conocimiento del riesgo. œ Reducir: Tomar las medidas necesarias para disminuir su probabilidad o impacto. œ Transferir: Pasar la responsabilidad a otra organización. œ Evitar: Cancelar la actividad que crea el riesgo. Esta fase del CISIC se culmina con la selección de las medidas de seguridad que se necesitan implementar; extraídas de la reunión con el GTS. El equipo PAR justificará cada una de ellas, realizará un cálculo del coste de imple- sionales presentan en su informe final el análisis ROSI, con el fin de que nuestros clientes asimilen los beneficios de las medidas de seguridad propuestas y los costes de las mismas. El objetivo debe ser el de identificar el punto de equilibrio ideal conforme al presupuesto disponible y la aversión al riesgo. La decisión de las medidas a adoptar pertenece a la dirección, que es, al fin y al cabo, la responsable última de la propia organización, y para eso cuenta con el asesoramiento, los conocimientos y la experiencia de Grupo Control. Para ello estudiamos los riesgos, analizamos las medidas a adoptar, elaboramos los informes y asesoramos a nuestros clientes. Más allá de este análisis de riesgos, la División PIC de Grupo Control puede seguir trabajando en beneficio de la organización en la planificación, implementación y seguimiento de los planes de seguridad adoptados, siguiendo las fases del CISIC que desarrollaremos en los próximos números de la revista. Y es que, tal y como dijo Pearl S. Buck, “De todos los peligros, el mayor es subestimar al enemigo”. S SEGURITECNIA Octubre 2012 PIC INFRAESTRUCTURAS CRÍTICAS