Realizar un análisis de esquemas de seguridad para enfrentar los riesgos a los que está expuesta su compañía es el primer paso hacia un análisis completo, que le permitirá tomar decisiones importantes a corto, mediano y largo plazo. Para ello, es fundamental conocer qué es el riesgo, los factores y agentes generadores del mismo.
Análisis de esquemas de seguridad
¿Cómo sé si la eficacia de seguridad de mi empresa puede inhabilitar las acciones de un adversario?
Una de las grandes preocupaciones de gerentes generales, directores y presidentes es saber si las estrategias implementadas por la empresa de seguridad contratada son realmente eficaces; es decir, la preocupación radica en si las estrategias son suficientes para evitar un evento indeseable al interior de la compañía.
¿Qué es el riesgo?
El riesgo es el costo esperado o la pérdida esperada debido a un ataque adversario en una infraestructura determinada, está determinado por la intersección de las consecuencias del ataque, las amenazas o la probabilidad del ataque y las vulnerabilidades del ataque.
Intentar definir qué es el riesgo no es una tarea fácil, ya que como mencionamos anteriormente, hay varias definiciones que generan confusión, incluso dentro de las asociaciones y los profesionales que trabajan en riesgos de seguridad. Aun así, vamos a abordar el tema desde diferentes puntos de vista para llegar a una conclusión más acertada.
La Sociedad Americana de la Seguridad en la Industria (ASIS), en la obra más vendida sobre tema de seguridad, Protection of Assets Manual (POA), define el riesgo como “probabilidad de una consecuencia”.
Igualmente, esta misma institución en su “Guía para el Análisis de Riesgos”, dice que el riesgo es, “la posibilidad de pérdida como resultado de una amenaza, incidente de seguridad o evento”.
Por otra parte, la norma ISO 31000, del Instituto nacional de Normas Técnicas-Incontec, define el riesgo como, “efecto de la incertidumbre sobre los objetivos”, y agrega cinco notas para aclarar el término. Estas notas hablan de “efecto, los objetivos, consecuencias, probabilidad e incertidumbre”, pero se quedan un poco cortas.
Estas dos y otras tantas definiciones son completamente válidas, pero poco les aportan a los encargados del proceso de análisis de riesgo y la gestión del riesgo en las empresas porque son muy conceptuales.
Tal vez, la definición más precisa y sencilla de qué es el riesgo se encuentra en el documento elaborado por los Laboratorios Nacionales Sandia llamado, “A Scalable Systems Approach for Critical Infrastructure Security”, en español, “Un enfoque de Sistemas Escalables para la Seguridad de Infraestructuras Críticas.
Según este documento, “el riesgo es el costo esperado o la pérdida esperada debido a un ataque adversario en una infraestructura determinada, está determinado por la intersección de las consecuencias del ataque, las amenazas o la probabilidad del ataque y las vulnerabilidades del ataque”.
Se puede explicar de la siguiente manera:
R = T x V x C
En donde:
T = Amenaza, es la probabilidad de que ocurra un escenario de “ataque” con el potencial de alterar los sistemas o activos y causar consecuencias indeseables. Las amenazas se caracterizan por sus fines y la probabilidad de que ocurra.
V = Vulnerabilidad, una debilidad en el sistema o activo, que causaría un deterioro o falla por la amenaza (T).
C = Consecuencia(s), son los resultados negativos asociados con el deterioro o falla del sistema o activo(s). Las consecuencias de un ataque se pueden medir por la pérdida de vidas, el impacto económico, la pérdida de la confianza pública u otras métricas.
Factores y agentes generadores del riesgo
Los factores son aquellas situaciones que contribuyen a crear, mantener e incrementar el riesgo, y los agentes generadores son aquellos individuos, grupos u organizaciones que con sus actos materializan las situaciones de riesgo; un claro ejemplo es la delincuencia común y las bandas de crimen organizado.
De acuerdo a esto, realizar un análisis a su esquema de seguridad actual es de gran importancia, entendiendo que los factores de riesgo a los que están expuestas las compañías cambian constantemente. Es necesario que su empresa sea asesorada por un experto en el tema, de lo contrario, será vulnerable a las amenazas que se encuentran tanto al interior, como al exterior de la compañía.
El riesgo empresarial y el análisis de esquemas de seguridad para enfrentarlo
Con la aparición de la norma técnica ISO 31000, versión 2011, la manera como se gestiona el riesgo en las empresas viene cambiando desde su primera versión en el año 2009. Antes de esto la persona encargada de la seguridad, elaboraba, de manera individual, un análisis de los riesgos que presentaba a la dirección de la empresa y a partir de allí, se desarrollaba un plan de mitigación.
Ahora la norma técnica ISO 31000, versión 2018, ya usada en Europa y otros países, indica que cada “propietario del riesgo” al interior de la empresa, tiene la responsabilidad de rendir cuentas y la autoridad necesaria para gestionar un riesgo.
Uno de los temas más curiosos del asunto, es que, como lo dice la norma, el “propietario del riesgo”, en muchos casos no tiene claridad sobre qué es riesgo.
Por otro lado, los libros sobre tema relacionados con riesgo en el sector de la seguridad, en no pocas excepciones, tampoco tienen claridad sobre el tema, todo lo contrario, hay un sin fin de definiciones sobre el riesgo que al final solo genera más confusión.
El riesgo en seguridad es algo que puede definirse y no debería estar ligado a la subjetividad de cada individuo. El hecho de que organizaciones reconocidas estén dando criterios y estándares al respecto permite hacerle un seguimiento y una evaluación para proponer medidas más efectivas para minimizar el riesgo.
Además, en la era de la información, los gerentes o directores generales, a quienes les reportan los gerentes de seguridad están demandando información numérica respaldada para tomar decisiones de una manera más efectiva. Por lo tanto, es recomendable que el gerente de seguridad las reemplace por teorías respaldadas que mejoren la toma de decisiones.
Ponte en contacto con NOVASEP, expertos en seguridad privada en Colombia. Utiliza la tecnología en la seguridad privada a tu favor. Estamos atentos como profesionales a tus requerimientos y a la disposición para ofrecerte los mejores servicios de seguridad privada. Realizamos el análisis de esquemas de seguridad de tu empresa. Contáctanos.
