Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTíCULO DESTACADO
Imagen Gestión de riesgos de seguridad empresarial:  ENFOQUE RENOVADO

Gestión de riesgos de seguridad empresarial: ENFOQUE RENOVADO

Miércoles 01 de Mayo del 2019
Carlos Ramírez Acosta

Basado en la aplicación de principios de gestión del riesgo para atender todos los riesgos de seguridad específicos que pueden amenazar una organización

 

Para los profesionales de seguridad, el año 2018 marcó un hito al renovarse la conceptualización y aplicación de la Gestión de Riesgos de Seguridad Empresarial, conocido originalmente por su nombre en inglés como Enterprise Security Risk Management (ESRM), que se consolidará este año.

La Gestión de Riesgos de Seguridad Empresarial, o bien —ESRM en adelante— se define como la aplicación de principios del riesgo para gestionar todos los riesgos de seguridad, ya sean aquellos relacionados con la información, el entorno ‘cyber’, la seguridad física, la administración de activos, así como la continuidad del negocio, bajo un enfoque integral y holístico, así lo destacaron Brian Allen y Rachelle Loyear, en su interesante obra Enterprise Security Risk Management. Concepts and Applications.

Dado que el término “riesgo” (efecto de la incertidumbre en el logro de objetivos de una organización) es muy amplio en sus acepciones, podemos precisar que un riesgo de seguridad es aquel que amenaza con causar daño a la empresa, a su misión, empleados, clientes, socios, operaciones y reputación. En general, a los activos tangibles e intangibles del negocio.

Por lo que atañe a los principios del riesgo sus fundamentos aluden al cuerpo de conocimientos recogidos en el estándar ISO 31000:2009 Risk Management: Principles and Guidelines (ISO: International Organization for Standardization); y al del Instituto Nacional de Estándares Americanos (ANSI): Principles of Risk Assessment. Ambas normas de buena manufactura técnica impulsan las denominadas mejores prácticas para la gestión del riesgo.

 

MISIÓN, OBJETIVO Y ROL

 

La misión del ESRM es identificar, evaluar y mitigar el impacto de los riesgos de seguridad hacia los activos del negocio, con acciones priorizadas de protección, que permitan a la organización avanzar hacia sus metas empresariales.

El objetivo del ESRM es comprometerse con el negocio para establecer políticas, estándares y procedimientos que identifiquen y gestionen los riesgos de seguridad para la empresa.

El rol del profesional de la seguridad en el enfoque ESRM es la gestión de riesgos de seguridad. Ello implica ser congruente y consistente en la aplicación exitosa del enfoque como parte importante de las decisiones de la protección de activos del negocio para generarle confianza. La ecuación resultante es simple: congruencia + consistencia = confianza.

¿Por qué la congruencia y consistencia en la función de seguridad son importantes? Es así, porque estos elementos de la ecuación, tanto en palabras como en acciones, son a final de cuentas, lo que construye confianza entre el profesional de seguridad y sus usuarios.

Un practicante profesional de seguridad puede implementar el ciclo ESRM en cuatro etapas:

 

1. Identificación y priorización de activos.

2. Identificación y priorización de riesgos.

3. Mitigar los riesgos priorizados.

4. Mejorar y avanzar en el esfuerzo de seguridad a través de:

 

• El análisis de causa raíz (localizar la etiología de los efectos).

• La evaluación continua de riesgos (implica compartir información de inteligencia).

• La respuesta a incidentes (investigación).

 

Un programa maduro de ESRM abarca y conecta —sin tratarse del concepto convergencia— una amplia gama de prácticas de mitigación de riesgos de seguridad, que incluyen temas como seguridad física, seguridad cibernética, seguridad de la información, prevención de pérdidas, resiliencia organizacional, protección de marca, seguridad de viajes, continuidad de negocios, gestión de crisis, gestión de amenazas y prevención del fraude y de violencia laboral. 

El profesional de seguridad debe comenzar con el proceso objeto de riesgo que sea más apropiado en el momento y con frecuencia debe repetir el ciclo. 

En el ESRM, los profesionales de seguridad gestionan los riesgos de seguridad de forma proactiva y, según se requiera, de manera reactiva.

 

1. Identificación y priorización de activos. La valoración de activos puede ser cuantitativa (mediciones numéricas), cualitativa (entrevistas, encuestas y publicaciones de la industria), o una combinación de ambas. La valoración de los activos es compleja. Un análisis de impacto al negocio (BIA) es un proceso ampliamente conocido que se utiliza para valorar los activos y se puede realizar de muchas maneras. En algunas organizaciones, el personal involucrado en la recuperación de desastres, la continuidad del negocio o la gestión del riesgo financiero suelen poseer información útil al realizar el BIA.

 

2. Identificación y priorización de riesgos. El profesional de seguridad puede elegir entre varios métodos de evaluación de riesgos de seguridad. Una forma de desarrollar criterios para la tolerancia al riesgo es preparar una matriz que evalúe la probabilidad de ocurrencia de un evento frente a sus consecuencias. El valor clave de una evaluación de riesgos de seguridad es informar la priorización de riesgos. En el ESRM, el rol del profesional de seguridad no es determinar qué riesgos abordar, sino guiar al negocio a través de un proceso de toma de decisiones sobre riesgos de seguridad con datos y experiencia en la materia.

 

3. Mitigar los riesgos priorizados. Una vez que el profesional de seguridad y las partes interesadas han identificado y priorizado los activos y riesgos, es hora de desarrollar y poner en marcha un conjunto de medidas de mitigación (políticas, prácticas, equipos). Los riesgos pueden ser aceptados, transferidos, reducidos o evitados. Los esfuerzos de mitigación —también conocidos como contramedidas— incluyen toda la gama de dispositivos y prácticas de seguridad, como la planificación de crisis, las operaciones del oficial de seguridad, el control de acceso, la vigilancia por video, la protección del perímetro, la seguridad cibernética, las investigaciones y la evaluación de antecedentes de los empleados. El profesional de seguridad debe entonces gestionar y asegurar la implementación de las medidas de mitigación.

 

4. Mejorar y avanzar en el esfuerzo de seguridad. El profesional de seguridad puede emplear varias formas de mejorar y avanzar en el esfuerzo del ESRM. Tres, en particular, son el análisis de causa raíz, la evaluación continua de riesgos y la respuesta a incidentes. La evaluación continua de riesgos es particularmente conveniente para retroalimentar la seguridad y medir la efectividad de las contramedidas. 

 

Debido a que el ESRM depende de la colaboración con las partes interesadas, el profesional de seguridad debe ser claro y abierto con respecto a los riesgos de seguridad. La transparencia reforzará la confianza. Recuérdese la ecuación: congruencia + consistencia = confianza.

Cabe notar, que ESRM (Enterprise Security Risk Management) no es ERM (Enterprise Risk Management). Este segundo acrónimo tiene que ver con el proceso de un amplio universo de riesgos, tales como el financiero, estratégico, operacional, etc., en el que usualmente son atendidos por áreas de cumplimiento o de auditoría interna, pero no por el profesional en gestión de riesgos de seguridad.

Concretamente, el ESRM se basa en la aplicación de principios de gestión del riesgo para atender todos los riesgos de seguridad específicos que pueden amenazar una organización. No obstante, el ESRM, mi lema es atemporal: “Al prevenir se corrige y al corregir se previene”.  

Imagen hid USA
Imagen hid mexico


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar