seguritecnia 436

32 SEGURITECNIA Noviembre 2016 Protección de Infraestructuras Críticas 9. Retorno de la inversión. Si tenemos en cuenta que la seguridad es un proceso de negocio, que debe ser un elemento generador de valor – como el resto de procesos de negocio de una organización– y que nunca debe ser considerado un gasto, sino que debe considerarse una inversión, nos lleva a que es preciso calcular la tasa de retorno de la inversión en seguridad. La cuestión a responder es: ¿cómo calculamos el retorno de la inversión en seguridad en el campo de la protección de infraestructuras críticas? Para dar res- puesta a esta cuestión hay que tener en cuenta que existen condicionantes que impiden aplicar los criterios habituales a la hora de calcular el retorno de la inver- sión en el ámbito de la protección de infraestructuras críticas. 10. ¿Quién paga? La última cuestión que planteo, que tiene mucha relación con la anterior, es ¿quién paga? Las medidas de seguridad que se implanten en una infraestruc- tura crítica tienen un coste y si la me- dida que se implante no tiene un im- pacto directo en la mejora de la ren- tabilidad de la producción, cosa muy habitual cuando hablamos de protec- ción de infraestructuras críticas, este coste repercutirá directamente en los costes de producción del servicio esen- cial y, por lo tanto, en los márgenes del operador crítico, que pueden llevarle a repercutirlos en los usuarios del servi- cio esencial. Para finalizar, sólo recalcar que aún hay muchas cuestiones a las que dar respuesta si queremos proteger ade- cuadamente nuestras infraestructuras críticas y que las respuestas no son sencillas. S pongan de la formación adecuada. Una formación que debe contemplar las ca- racterísticas específicas del objeto de la protección y en el caso del que esta- mos hablando adecuada a las caracte- rísticas especiales de la protección de infraestructuras críticas. Una de las medidas de seguridad más efectivas es la formación y con- cienciación. Una persona sin la forma- ción adecuada es una de las mayores amenazas que existen para el correcto funcionamiento de una organización y, por lo tanto, para su seguridad. Por regla general, a todo el personal que se incorpora a una organización se le proporciona la formación necesaria para que conozca los procedimientos y forma de trabajo de la misma. Pero además es necesario que durante esta formación sea instruido en las medi- das de seguridad que debe observar y en los procedimientos de seguridad que debe aplicar durante su trabajo diario, no sólo en aquellos que son úti- les para minimizar la probabilidad de la materialización de una amenaza, sino también en los procedimientos de res- puesta ante un incidente. Esta forma- ción de seguridad se debe impartir a todo el personal, no sólo al de seguri- dad, y debe ser planificada e impartida teniendo en cuenta las necesidades de seguridad presentes y futuras, con un temario adaptado y específico para cada instalación objeto de protección y para cada perfil específico. La cuestión a la que tenemos que responder es: ¿qué formación necesi- tamos, cuál es el temario apropiado, dónde se imparte, a quién la impar- timos? Dar respuesta a esta serie de cuestiones no es nada trivial, aunque lo parezca. privada, vigilantes de seguridad arma- dos, con las limitaciones en el tipo y uso de las armas que implica la legislación vigente, o por el contrario es necesario dejar en manos de las Fuerzas y Cuer- pos de Seguridad del Estado la protec- ción ante este tipo de ataques. La respuesta a esta cuestión de segu- ridad privada frente a seguridad pública no es fácil. El gran número de infraes- tructuras críticas en las que es necesario ofrecer protección hace pensar que so- luciones como las que se están empe- zando a aplicar en la protección de las centrales nucleares son de difícil aplica- ción a otras infraestructuras críticas. 7. El personal. Las personas son un elemento impres- cindible en cualquier actividad o pro- ceso, sin ellas no es posible realizar nin- guna actividad o desarrollar ningún proceso, por muy automatizado que esté. La intervención humana es nece- saria siempre en algún momento de su ciclo de vida. Por lo tanto, también las personas son un elemento clave en la prestación de los servicios esenciales prestados por las infraestructuras críti- cas y, por tanto, necesitan protección. Pero también hay que tener en cuenta que las personas son el ene- migo más peligroso al que está ex- puesta una infraestructura crítica, es- pecialmente cuando pertenecen a su plantilla o a la de empresas que prestan servicios a dicha infraestructura y, por lo tanto, tienen acceso a la información, a las instalaciones o a los sistemas de la infraestructura crítica. La cuestión a la que necesitamos res- ponder es: ¿cómo damos respuesta a estas dos necesidades? Por una parte, garantizar la seguridad de las personas que prestan servicios a infraestructuras críticas y, por otra, qué medidas toma- mos para protegernos de los posibles “enemigos internos”. 8. Formación. Uno de los pilares en los que se debe basar el diseño de un sistema de segu- ridad eficaz y eficiente son las personas, por lo que es imprescindible que dis- ¿Qué modelo organizativo implantamos para gestionar la seguridad integral? No existe una respuesta única y es la primera decisión a tomar