Hace ya unos meses, en este mismo blog, comentábamos la seguridad de los procesos de negocio y de los diferentes factores de riesgo (legal, técnico…) que pueden degradar dichos procesos; hablábamos en ese post del riesgo humano, ya que las personas son un activo crítico de las organizaciones y, como tal, pueden introducir riesgos en éstas, riesgos que como siempre debemos tratar de forma adecuada. Pero el paso previo al tratamiento de riesgos es, como siempre, su análisis, y para analizar estos riesgos debemos ser capaces de determinar amenazas, probabilidades e impactos que pueden causar las pesonas en la organización.

Bajo mi punto de vista, las amenazas derivadas del factor humano son claras: todas las englobadas bajo el paraguas de amenazas corporativas (errores), las derivadas de actividades sociales (accidentes) y las derivadas de actividades antisociales (delitos); incluso rizando el rizo, podríamos hablar del factor humano en las amenazas de origen industrial y, siendo todavía más retorcidos, en las de origen natural. De la misma forma, los impactos asociados a estas amenazas también suelen estar más o menos claros, y estarán —con toda probabilidad— en la parte más alta de la escala de impactos que queramos utilizar en nuestro análisis. ¿Dónde está entonces lo que más nos interesa? En la medida de la probabilidad, como casi siempre…

Dentro de la serie GOTO, comenzada recientemente en este blog, quería dedicar hoy un post a las metodologías de análisis de riesgos; personalmente he trabajado con algunas de ellas -con demasiadas- y, si les digo la verdad, ninguna me convence realmente. Las hay sencillas, las hay complejas (sí, estoy pensando en MAGERIT :), las hay mejores y las hay peores, pero en todas hay aspectos, bajo mi punto de vista, manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas” en otras se le llama “riesgos”? Sinceramente, este es un tema únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?

Hablando ya de cosas más serias, una cosa que me toca las narices es que en ninguna metodología (ni fuera de las mismas) me he encontrado un catálogo de amenazas decente. A día de hoy, que a todos se nos llena la boca hablando de seguridad integral, holística, global o como le queramos llamar, aún no he visto un catálogo de amenazas integral de verdad, que cubra todos los posibles problemas de una organización, sin focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta que esto no exista, mal vamos a la hora de analizar riesgos desde el punto de vista de la protección del negocio: únicamente haremos análisis parciales, y deberemos realizar tres o cuatro visiones diferentes para hacernos una idea del mapa de riesgos de nuestra organización… Ojo, sé que es fácil criticar sin aportar alternativas y que cerrar un catálogo de este tipo es complejo, pero algún día habrá que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente lo colgaré aquí… o no :).

Sin haber acabado aún -espero- la serie de posts dedicada a seguridad sectorial, quiero comenzar con este artículo una nueva serie: la serie GOTO. Muchas entradas de este y otros blogs no generan casi debate (tenemos una información, la estructuramos para convertirla en un post, estamos todos de acuerdo con el contenido del mismo -o no, pero nadie lo dice-, y vuelta a empezar). Eso obviamente es bueno para un libro, pero no para un blog, donde lo que se busca es debatir y polemizar, que cada uno exponga sus opiniones (buenas o malas, pero siempre respetables) y así, entre todos, aprender cosas nuevas y analizar puntos de vista diferentes a los nuestros. Con esta idea surge la serie GOTO, porque… ¿qué hay más polémico que la instrucción GOTO plantada en el código de un programa? Realmente podríamos haber titulado la serie RISC vs. CISC, vi vs. emacs, Unix vs. Windows… y así un largo etcétera, pero hemos decidido llamarla GOTO (si alguien prefiere otro nombre, que lo proponga, que de eso se trata).

Dentro de esta serie, vamos a hablar hoy de los Consultores; más concretamente, de los Consultores de Seguridad, aunque imagino que los comentarios podrían extrapolarse a cualquier otro tipo de consultor: RRHH, financiero… Para mí, al menos hasta hace unos años, un consultor -simplificando- era alguien que sabía mucho de un tema concreto, de forma que podía ayudar enormemente a resolver problemas tanto por el conocimiento de la materia a tratar como, en muchos casos, del negocio en sí. En resumen, un perfil muy valorado en cualquier organización, sin importar si era externo o interno a la misma.

Desde hace unos años utilizamos a diario billetes de euro. Aunque todos los expertos coinciden en que falsificar estos billetes es difícil, seguramente por nuestras manos ha pasado, sin nosotros saberlo, algún que otro billete falso, imitaciones en muchos casos tan perfectas que únicamente prestando mucha atención -o siendo un experto- podríamos haberlas detectado. Los billetes más falsificados han sido los de 20 y 50 euros (en especial los primeros), aunque con la crisis se empiezan a falsificar también billetes más pequeños, y por tanto más fáciles de “colocar”.

Vamos a comentar en este post algunas de las medidas de seguridad de los billetes de euro que a diario circulan por Europa; y para empezar, es necesario hablar del papel del billete de euro. Está compuesto principalmente de fibras de algodón, material con una alta resistencia física, y por tanto de larga duración; este algodón es tratado para obtener una pasta a la que se añaden medidas de seguridad adicionales (fibrillas, colorante, etc.). A simple vista, podemos observar que este papel presenta carteo (el sonido característico del papel moneda), y pasando el dedo o la uña por el billete podemos notar que la tinta es más o menos gruesa en función de la zona del billete; esta última medida de seguridad es debida a la impresión calcográfica del billete en su anverso, técnica de imprenta costosa (no suele ser habitual para el falsificador disponer de una prensa con esta tecnología) que proporciona al billete un relieve característico de hasta 0,14 mm. de altura

Dentro de la serie dedicada a seguridad sectorial, vamos a tratar hoy brevemente aspectos de seguridad en hoteles y establecimientos similares. El principal reto al que nos enfrentamos al hablar de seguridad en hoteles es el propio negocio del sector: la continua fluctuación de viajeros que entran, salen o se alojan en el hotel, 24 horas al día y 365 días al año. Este enorme trasiego de personas define unas amenazas características a la seguridad hotelera: por un lado, las que afectan a la integridad de las personas que hay en el hotel (tanto huéspedes como trabajadores), y por otro las que afectan a la información asociada a los viajeros: protección de datos de carácter personal, medidas antiterroristas… No hablaremos de otra amenaza común, pero aparentemente asumida por todas las cadenas hoteleras: el hurto de pequeños objetos (toallas, pilas, ceniceros…) en la habitaciones por parte de los propios huéspedes.

Desde el punto de vista de las amenazas contra la integridad de las personas, sin duda en los hoteles la principal de ellas es el incendio; si en cualquier ubicación un incendio es preocupante, lo es más todavía en los hoteles, debido a tres características de estos centros: el desconocimiento por parte de los huéspedes de las instalaciones y vías de evacuación, la cantidad de personas que puede haber durmiendo en el momento de producirse un incendio y, por último, las dimensiones globales del hotel y por tanto la cantidad de personas en su interior. Para minimizar riesgos relativos a incendios, en todos los hoteles existen vías de evacuación diseñadas y señalizadas según normativa, así como indicaciones de las mismas en las habitaciones del hotel. Es más que recomendable, al llegar a la habitación, pegarle un vistazo a estas indicaciones y hacernos una idea de qué deberíamos hacer en caso de incendio; como se suele decir, nunca pasa nada, pero cuando pasa es el peor momento para ponernos a leer las indicaciones, buscar las salidas de emergencia, etc.

Dentro de los posts dedicados a la seguridad en las eléctricas (que a su vez se engloba en la serie de Seguridad Sectorial, que todos seguís atentamente en este blog :), toca el turno de los aspectos relativos al transporte, transformación y distribución de la energía para hacerla llegar al usuario final (véase entradas anteriores: [Introducción][Producción][Control]).

El transporte de energía eléctrica se realiza desde las centrales productoras, que hemos comentado en un anterior post, hasta las centrales de transformación, donde se modifican las características para distribuir la energía hasta el usuario final. En esta etapa de transporte se utilizan líneas de alta tensión, con una distribución geográfica muy extensa, lo que ya de entrada implica varios riesgos considerables: por un lado, los relativos a la falta de vigilancia de las líneas (robos, hurtos, sabotajes…) y por otro los relativos a las amenazas naturales (desde tomentas eléctricas hasta desprendimientos que puedan comprometer la línea). El primero de estos grupos no suele ser habitual, a pesar de que las condiciones —por ejemplo, el aislamiento— lo favorezcan, debido por un lado debido a la peligrosidad de las instalaciones (¿quién se atreve a meter mano en una torreta de alta tensión?) y por otro a la escasa repercusión que estos actos tendrían a nivel social: si se produce un ataque a una línea que la deja inutilizada, se distribuiría energía desde otra central. En lo que respecta a amenazas naturales, las instalaciones implicadas en el transporte suelen ser robustas, incorporando desde protecciones contra rayos hasta elementos estructurales frente a avalanchas, por lo que sólo fallarían en el caso de problemas de relativa magnitud.

Para finalizar nuestra serie sobre seguridad en las eléctricas (véase [1][2]), y dado que como ya adelantamos en nuestro primer post el área que hemos llamado “de empresa” no va a ser objeto de un artículo específico —a fin de cuentas, en este caso se comparten casi todos los elementos de seguridad con organizaciones de cualquier otro sector—, vamos a hablar hoy del área funcional de control y los aspectos de seguridad más destacables en la misma.

El área de control está formada por una red de centros con un objetivo muy específico: el control —como su nombre indica— de la calidad de la energía y del tráfico de la misma, en cualquier punto de la cadena, desde las centrales de producción hasta nuestras casas (realmente, no hasta nuestras casas tal cual, pero casi). Aquí, sin duda, los activos más relevantes —aparte de las personas, que siempre son lo más importante— son por un lado los elementos tecnológicos de control y por otro la información que estos elementos manejan, y por tanto la principal amenaza es el sabotaje, tanto físico (atentados o vandalismo contra los centros de control) como lógico (ataques a los sistemas de control, intrusiones…).

Continuando con la seguridad del sector eléctrico que iniciamos el pasado lunes, vamos a comentar hoy aspectos relativos a la seguridad en la producción de energía, sobre todo en las áreas funcionales nuclear, térmica e hidráulica; el área funcional de energías renovables (por ejemplo, parques solares o eólicos) sufre menos amenazas y de menor impacto, siendo quizás el robo el mayor de los problemas a los que se enfrentan estos parques, cuya probabilidad se multiplica por su ubicación en lugares relativamente aislados.

Quizás las amenazas de mayor impacto en la producción eléctrica son las relativas a accidentes (fuego, fugas, explosiones…) y las relativas a terrorismo (bombas —físicas o lógicas, pero especialmente las primeras—, ataques con munición pesada, sabotajes…); en el caso nuclear es tal la preocupación general por el correcto funcionamiento de las centrales, debido a las implicaciones de un incidente, que existen normas nacionales e internacionales para garantizar su seguridad a diferentes niveles. En el caso de España, se considera poco probable un ataque de gran magnitud hacia una central nuclear por parte de ETA —sobre todo porque no resulta fácil para la organización terrorista hacer estallar un artefacto de magnitud sin poner en peligro la vida de sus miembros, y además porque un ataque indiscriminado de esa magnitud podría generar una movilización sin precedentes de repulsa social hacia la banda—; no obstante, las centrales nucleares sí que pueden convertirse en objetivo del terrorismo islámico, además de ser un objetivo prioritario en conflictos bélicos con otros países.

(Véanse las entradas previas de la serie sobre banca y puertos)

Sin duda estaremos todos de acuerdo en que el sector eléctrico en su conjunto, la integridad de sus instalaciones, la disponibilidad del suministro… son elementos básicos para garantizar la supervivencia de muchos servicios profesionales y el bienestar de la sociedad en general (¿alguien imagina pasar unos días sin luz eléctrica en cualquier gran ciudad?). Por todo esto, está sometido a una serie de amenazas que en caso de materializarse causarían un elevado impacto en nuestra sociedad, de ahí que esté considerado Infraestructura Crítica Nacional.

¿Cómo llega luz a nuestros hogares, calles, empresas…? De forma simplificada, en una central de producción eléctrica se transforma algún otro tipo de energía en energía eléctrica; estas centrales suelen ser nucleares, térmicas o hidráulicas, aunque cada vez más están proliferando centrales basadas en energías limpias, como las solares. Esta energía eléctrica se transporta y distribuye a través de líneas de muy largo recorrido, que van desde las centrales de producción hasta las estaciones de transformación; en estas últimas estaciones o subestaciones, se transforma la energía y se hace llegar hasta el cliente final (ya en baja tensión) para su consumo. Obviamente, todo este proceso está altamente controlado desde una serie de centros distribuidos, que velan porque la energía eléctrica llegue correctamente a su destino, detectando problemas en tiempo real y actuando ante los mismos en el menor tiempo posible (lo que podríamos llamar “la seguridad de la energía eléctrica”). Adicionalmente, como cualquier empresa, las eléctricas necesitan de unas instalaciones, personal, infraestructuras… fuera del ámbito de la producción directa: comerciales, directivos, administrativos…

Hace un tiempo solicitamos a nuestros lectores que respondieran a una cuestión aparentemente sencilla:

¿Crees que las organizaciones necesitan una sola figura que concentre la responsabilidad sobre seguridad?

• Si, debe existir una sola figura que concentre esta responsabilidad y que reporte directamente a la dirección. (51%, 33 Votos)
• Deben existir distintas figuras independientes con distintos roles porque p.ej. la LOPD no tiene nada que ver con la seguridad física o la PRL. (32%, 21 Votos)
• No, la responsabilidad sobre seguridad debe estar repartida entre los distintos departamentos. (12%, 8 Votos)
• Es indiferente, no tiene importancia, siempre que estén identificadas las necesidades. (5%, 3 Votos)

Votantes: 65

 Loading ...