Seguritecnia 389

22 SEGURITECNIA Septiembre 2012 Empresa Londres a finales del siglo XVII. Muy es- pecialmente cuando esa gestión está apoyada por consultores externos que aportan objetividad, validan o ayudan a corregir procesos internos y aportan su experiencia para permitir que el cliente se dedique plenamente a su negocio. Si consideramos que cualquier acti- vidad de una organización implica ries- gos y, de ellos, los de seguridad se cuen- tan entre los que más incidencia podrían tener en la consecución de los objetivos de la empresa, lo más lógico será con- templar la gestión de esos riesgos. En el número anterior adelantábamos que el CISIC o Ciclo Integral de Seguri- dad para las Infraestructuras Críticas creado por Grupo Control tiene en- tre sus pilares el análisis en profundidad como única forma de encontrar la me- jor solución de seguridad. Para llegar a las máximas cotas de se- guridad es necesario planificarla. Planifi- cación que ha de estar cimentada en un análisis o apreciación exhaustiva y minu- ciosa de los riesgos que se ciernen sobre la organización. Cuando la División PIC asume el com- promiso de asesorar a una organiza- ción, el nuevo proyecto requiere de una definición en la que se establezca su al- cance –los activos, personas y procesos objeto de análisis–, los límites –aquello que queda fuera del proyecto– y los cri- terios a seguir durante todo el proceso. ¿Quiénes pueden y deben marcar esa definición? Aquellos que mejor conocen la organización, sus directivos, asesorados por el personal que va a acometer el pro- yecto, quienes por su experiencia pueden contribuir a una definición más precisa. Esta colaboración mutua que se acaba de iniciar continuará a lo largo de todo el proyecto gracias a la crea- ción del Grupo de Trabajo de Segu- ridad (GTS) –auténtico nexo de unión entre los equipos de la División PIC y la estructura de la organización–. Será el elemento fundamental para una me- jor gestión de los riesgos al estar cons- tituido por directivos, consultores de la División PIC y cualquier otra parte ex- terna con intereses en el proyecto. El estudio en profundidad de la orga- nización y el entorno en el que se des- envuelve nos permitirá adquirir un co- nocimiento necesario para acometer cualquier otra fase del CISIC. No es po- sible una adecuada gestión sin el cono- cimiento de su misión, objetivos, proce- sos que desarrolla, medios, sistemas y procedimientos que emplea, flujos in- ternos, cultura, relaciones con agentes y elementos externos y, en definitiva, todo lo que le es inherente. Formado el GTS y adquirido ese cono- cimiento, es necesario definir un Plan de Comunicación y Consulta que posibilite el intercambio y el flujo ordenado de in- formación durante el proceso. Estamos ahora en condiciones de ini- ciar una apreciación metódica de los riesgos, apoyada en herramientas cola- borativas. No en vano, Grupo Control, en su deseo perenne de innovar, ha hecho un considerable esfuerzo por aumentar las capacidades de inteligencia e investi- gación, incorporando a sus procesos he- rramientas que apoyan las labores de los analistas y contribuyen a la toma de de- cisiones de la Dirección. Gracias a esta identificación, análisis y evaluación de los riesgos , podremos hacer compren- der al cliente su naturaleza y magnitud mediante una lista consensuada y prio- rizada de aquellos que requieren trata- miento y recomendaciones sobre la acti- tud que se debe tomar ante ellos. A partir de este momento, la alta direc- ción deberá decidir si continúa la gestión de los riesgos mediante un plan de trata- miento y cuál será el alcance del mismo. S C reemos que han pasado aque- llos días en los que la alta direc- ción de una organización con- sideraba que la inversión en seguridad retraía recursos necesarios para su verda- dero negocio. Atrás han quedado los ar- gumentos que contemplaban tal gestión como: innecesaria, por plantear medidas contra algo que no había sucedido; ab- surda, porque realizan un análisis de im- pacto de riesgos difícilmente cuantifica- bles, ya que rara vez –o incluso nunca– habían ocurrido; e incoherente, porque se sustenta en variables con dependen- cias mutuas tan desconocidas como son las habilidades, recursos, intenciones y motivaciones de enemigos o riesgos, en muchas ocasiones irracionales. La División PIC de Grupo Control es consciente de que las amenazas evo- lucionan en el tiempo, por lo que una apreciación de los riesgos realizada en un momento determinado puede ser distinta a otra llevada a cabo días des- pués. Incluso somos conscientes de que la gestión de los riesgos no es una cien- cia exacta, como también lo somos de que la experiencia ha demostrado so- bradamente que gestionar los riesgos de forma apropiada contribuye a: ▪ Tomar medidas de seguridad en con- sonancia con los objetivos de la orga- nización. ▪ Que Dirección y profesionales de la seguridad utilicen el mismo lenguaje. ▪ Determinar, de la forma más precisa posible, dentro de un estado de in- certidumbre, el punto de inflexión a partir del cual la inversión en seguri- dad deja de ser rentable. ▪ Estar en mejores condiciones de eli- minar, evitar, reducir o transferir las perdidas. Desde luego, así piensan también las grandes aseguradoras desde que el primer señor Lloyd’s vendía café en Juan José Díaz Balaguer / CEO de Grupo Control Empresa de Seguridad Gestión del riesgo Primeras fases del CISIC de Grupo Control