seguritecnia 434

EMPRESAS Y EMPRESARIOS 25 SEGURITECNIA Septiembre 2016 nas empresas para su utilización), sino que además ha permitido identificar y evaluar riesgos conjuntos de amenazas físicas y ciberamenazas que antes no se ha- bían tratado. - ¿Qué sugerencias generales haría al sector res- pecto de la legislación PIC? Se me ocurren tres tipos de sugerencias a hacer. Unas para las empresas, que no limiten sus modelos de or- ganización ni las medidas a adoptar a aquellas ame- nazas y a aquellos activos señalados por la legislación PIC. Las obligaciones derivadas de su cumplimiento son una buena práctica a extender al resto de la em- presa: análisis de riesgos conjunto, considerar amena- zas o activos no incluidos, etc. En cuanto a la Administración, en general, creo que es muy importante en lo que respecta a la seguridad privada armonizar su legislación con la de PIC. Seguir considerando a las empresas como colaboradores ne- cesarios, no sólo como meros sufridores de la Ley. En ese sentido, la Ley de Seguridad Privada (exceptuando el tema no menor de las sanciones) parece seguir en parte ese camino, pero la oportunidad del Regla- mento no se puede dejar pasar. Adicionalmente, me gustaría destacar que, tras el cam- bio de la última Ley de Seguridad Privada, las empresas de asesoramiento y planificación de Seguridad hemos dejado de estar supervisadas por el Ministerio del Inte- rior. Considerando la criticidad de la información mane- jada y la necesidad de asesoramiento experto por parte de los operadores críticos, sería positivo recuperar la fi- gura de la empresa de asesoramiento o una nueva de experto consultor de seguridad, con las obligaciones y derechos que ello conllevaría. S nal del centro que hemos conocido y del que tenemos una magnífica impresión, tanto desde el punto de vista de los conocimientos que han desarrollado como del grado de implicación y compromiso que muestran. En general creo que como legislación de seguridad es muy rompedora, y no solo por los conceptos modernos que incluye desde un punto de vista de organización de la seguridad, sino también desde el propio enfoque de esa legislación y de la estructura de relaciones entre la Administración y las empresas que implica. Es una legislación que trata a las empresas como co- laboradores, no como simples sufridores . Los Planes Es- tratégicos Sectoriales se han realizado con la participa- ción de las principales empresas de esos sectores, escu- chándoles como no se había hecho antes, además de con la participación de los ministerios y organismos im- plicados. También es una legislación que no impone medi- das concretas ni sanciones, sólo impone modelos muy abiertos de organización que permitan garantizar que las empresas responden a los riesgos, pero con crite- rios propios. Finalmente, establece un canal de colaboración mu- tua real, con los Planes de Apoyo Operativo que se conjugan con los propios planes de las empresas (los Planes de Protección Específicos) y con la existencia del CERT de Seguridad e Industria, que ya está prestando servicios reales a las empresas. Desde nuestro conocimiento, la legislación PIC y el propio CNPIC son modélicos en comparación con el resto de los países en Europa. - ¿Hasta qué punto Cuevavaliente Ingenieros está trabajando actualmente en el asesoramiento a las empresas afectadas por la legislación PIC? Por el propio contenido de nuestro trabajo no hace- mos publicidad de estos servicios, pero sí podemos decir dos cosas: hemos generado una base de conoci- miento mutuo y un acuerdo estratégico de colabora- ción con una de las empresas punteras del sector de la ciberseguridad, Deloitte, que nos ha permitido ofrecer y, a veces contratar, importantes servicios de asesora- miento a operadores críticos para la elaboración de los documentos exigidos en la legislación PIC y para la re- organización de sus departamentos de Seguridad. Y, en segundo lugar, hemos tenido la suerte de hasta la fecha haber participado en la elaboración de los PSO y los PPE de una docena de empresas. Lo más importante es que la metodología de aná- lisis de riesgos desarrollada por Cuevavaliente, plas- mada en la aplicación informática GR2Sec, no sólo está siendo muy útil (incluso ya ha sido adquirida por algu-