Las constantes normativas que afectan a la seguridad, tanto desde el ámbito físico como lógico, tienen un elemento común: las personas que las implantan.
Es necesario reforzar la prevención, la protección y la respuesta ante ataques –terroristas o de cualquier otra índole– contra las infraestructuras críticas y estratégicas, principalmente debido a que en los últimos años se ha evidenciado un aumento de este tipo de ataques.
Endesa cuenta un equipo de personas –profesionales altamente especializados– que trabajan a diario para conseguir un entorno mejor. El equipo Endesa siempre actúa desde la responsabilidad y desde el servicio a nuestros clientes y accionistas. La organización apuesta por la innovación en nuestras metodologías y productos, que son los más eficientes en su categoría, así como desde la sólida convicción de estar a la vanguardia en las más novedosas técnicas de producción y control. La compañía tiene el firme convencimiento de que la confianza de nuestros clientes se obtiene solo con la honestidad y la trasparencia de nuestros colaboradores y equipo humano, forjando así un futuro prometedor para la entidad. Endesa cree en la proactividad en el trabajo, donde cada miembro del equipo se enfrenta al mundo interpretando constantemente los escenarios que les rodean y forzándose a ser más resilientes cada día.
Bases del éxito
El modelo de seguridad de las infraestructuras críticas en Endesa se basa en tres pilares fundamentales: la coordinación interna y externa, la normativa y el modelo de control. Estos tres cimientos son la base que permite la protección eficaz de decenas de infraestructuras y de los miles de personas que trabajan en ellas.
La coordinación interna se basa en el Grupo de Trabajo PIC de Endesa, formado por expertos multidisciplinares en la operación y protección de los activos que garantizan la implantación y la disponibilidad de las medidas de seguridad establecidas, así como el apoyo en la confección y revisión de los instrumentos de planificación (Plan de Seguridad del Operador y Plan de Protección), siempre bajo la coordinación de la dirección de seguridad. Este equipo trabaja bajo el amparo de una norma interna de reciente creación que define la metodología de implantación, aplicación y actualización del proceso PIC, que establece la ordenación interna del proceso, que articula organizativamente el modelo y que garantiza la actualización permanente del esquema. El modelo de control, por su parte, debe posibilitar a la dirección de seguridad el seguimiento del estado de cumplimiento del Sistema PIC en Endesa, así como facilitar la gestión en la certificación de las medidas de seguridad para áreas como auditoría interna.
Es fundamental trabajar con unas metodologías claras con las que poder colaborar entre todos los actores por el mantenimiento de la seguridad en las organizaciones. La defensa de los intereses de la empresa pasa por la necesidad de conocer el estado real de implantación de las medidas de seguridad. Es requisito imprescindible para cualquier organización disponer de una información veraz y actualizada del estado de implantación de los controles, y el modelo creado en Endesa permite un crecimiento escalable y adaptable a cualquier organización.
Transformación de la seguridad
Endesa, tras muchos años de gestión y control del área de seguridad corporativa, se enfrenta a un reto importante: certificar las medidas de seguridad que garanticen un adecuado sistema de protección y control en las infraestructuras críticas.
Se partía de un modelo en el que la coordinación era compleja debido al número de interlocutores y a la dispersión de medios utilizados para mantener el contacto con ellos. Este hecho generaba un seguimiento dificultoso, así como un elevado coste de mantenimiento. El acceso a la información más actualizada en la gestión de casos concretos que requiriesen un mayor grado de detalle era lento y exigía de mucho tiempo y esfuerzo.
Gracias al propio esfuerzo de todo el equipo interno de seguridad de Endesa, en colaboración con una empresa líder en seguridad de la información, el Grupo SIA, pudimos transformar nuestro complejo y costoso sistema de seguimiento a un modelo más racional y eficiente.
Los objetivos que nos planteamos en esta transformación inicial estaban claros:
- Tener un mayor control de la situación de las medidas de seguridad implantadas.
- Ahorrar tiempo en tareas administrativas.
- Mejorar las capacidades para la toma de decisiones.
- Tener una mayor implicación de los responsables de la implantación de las medidas (owners).
- Diseñar un proceso de atribución de responsabilidades internas en la organización que permita el fácil ejercicio de cada una de las atribuciones de los responsables partiendo de la premisa de que el resultado debía ser una herramienta cuya principal característica fuera su buena usabilidad.
Identificación
Tal y como comenzaba el artículo, el punto inicial es la correcta identificación de los responsables necesarios para la certificación de las medidas de seguridad necesarias. Por ello, tras un proceso de definición adecuado de las evidencias que se iban a requerir, y en base al gran trabajo que se estaba realizando anteriormente, se seleccionaron aquellas personas que podrían aportar más información sobre los controles.
Como ocurre en las grandes organizaciones, la responsabilidad de la implantación de las medidas de seguridad está muy difuminada. Una de las misiones del Grupo de Trabajo PIC es facilitar las mejores herramientas posibles para que los responsables de implantación de las medidas puedan realizar su cometido con éxito. Por ello, y tras un duro benchmarking de herramientas y metodologías de control, así como un arduo proceso de licitación, se consiguió, en colaboración con el Grupo SIA, crear un modelo simple que permitiera la escalabilidad y el control sin acciones ineficientes.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?