Hace unos días, alrededor de un café colombiano fuerte, charlaba con un amigo algo mayor que me reñía por mis artículos, diciéndome:
¡Casi, no me lo puedo creer!…., escribes artículos y hablas de Belén Esteban, de Kim Jong Un comiendo una hamburguesa, de no sé que de una “tienda de chuches”,… ¡Con lo técnico que siempre has sido escribiendo!
Lo senté metafóricamente en mis rodillas y le dije:
“Querido amigo, hace 30 años, cuando escribí mi primer trabajo y acabé el primer borrador, pensé para mí: no es lo suficientemente complejo, lo van a entender mis lectores, no me gusta que me entiendan. Y escribí un segundo y un tercero, y así hasta que me quedé tranquilo de no entender ni yo aquello que había querido expresar, emborrachándome en el verbo, en los giros semánticos y gramaticales, en el exceso del tecnicismo, complicándolo con unas gotas de anglicismos. Llegado a los 50, sólo quiero que me entiendan la idea que quiero compartir con aquél que decida leerme”.
Seguramente no le convencí, pues él es un profesional académico venido de lo militar, muy prolijo en la escritura, padre de muchos artículos también desde hace muchos años.
Lo bueno de todo esto es que en mi ánimo no está el convencerle o el convenceros, sino simplemente en trasladaros casi un cuento de vivencias personales, que a diferencia de mi amigo el escritor, sí he vivido y de las cuales he aprendido en el camino.
En el análisis de riesgos, si no somos capaces de explicar de forma sencilla qué sucesos pueden acontecer, cuándo, cómo y qué daños nos van a suponer, hemos fracasado.
En el entorno PIC, prevalece el estudio y análisis de los riesgos venidos de la mano del hombre, especialmente los intencionados. Véase, es sobre éstos, sobre los cuales debemos empezar a practicar el trabajo de identificación de las personas que nos quieren hacer un daño (a otras personas, a bienes muebles, a inmuebles, al servicio esencial, al servicio estratégico, o a otros servicios).
En nuestro análisis, perfilaremos “al malo”, poniéndole un “nombre y apellidos”, es decir, catalogaremos a aquellos que nos quieran hacer un daño intencionado y los graduaremos de “menos malos a más malos” (delincuente juvenil, ocasional, iniciado, profesional no organizado, delincuente organizado, terrorista, …, algo así, separando de estos perfiles a “otros malos”, asociados a problemas de salud mental, problemas con las drogas, con el alcohol, etc.
Hecho esto, intentaremos conocer la estadística (estos malos,… ¿cuántas veces me han hecho un daño?, ¿dónde?, ¿cómo?, ¿cuándo?); aquí nos daremos cuenta casi siempre, que la estadística (número de veces que un malo nos ha hecho un daño a lo largo de un año y durante x años), no siempre es accesible, ya que habitualmente el vigilante de seguridad produce su Informe Diario en papel, en ocasiones no se recogen los datos con profundidad y en poquísimos casos, se realiza una Memoria anual sobre este tipo de información.
Bueno, pues ¡He aquí el primer drama! ¡No tengo estadística!
Me queda el recurso adivinatorio, basándome en las tendencias. ¿Cuántas veces creo que el malo me va a hacer un daño, de aquí en adelante?
El analista de riesgos, es curioso por naturaleza, debe ser sistemático en el trabajo de recogida de información y de igual modo, analizándola.
En el marco de las PIC, de la Protección de las Infraestructuras Críticas, se obliga al Operador Crítico y por extensión, al analista que estudia los riesgos y las amenazas, a hacer uso de un sistema internacionalmente reconocido, haciendo uso de métricas y números, que lleven a conclusiones matemáticas para determinar valores como la probabilidad, el impacto, el daño…
¡Veis, ya me he puesto técnico!
¡Vamos a decirlo de una forma más sencilla!
El Sistema de Planificación nacional, espera que podamos explicar de forma entendible al CNPIC, cuál es la política de gestión del riesgo de una empresa, qué peligros he señalado, cuáles de ellos son probables que me afecten, cómo voy a intentar que no me lleguen, qué voy a hacer si me llegan.
Si abordas tu análisis de riesgos, se lo das a leer a tu amigo el barman de la cafetería donde desayunas y no lo entiende, necesitas mejorar tu formación en este campo.
Aprende a analizar los riesgos, como un profesional moderno que entierra el Mosler y ve nacer la ISO 31000.
Acabado el artículo, diréis, ¿Y tu tercera mujer?
Pues no lo sé, voy por la segunda, y analizando los riesgos.