Seguridad en América | Post

Todo/a colega de seguridad seguramente ha encontrado muchos textos en español que, al hablar sobre el análisis de riesgos, explican cómo el riesgo es el resultado de la interacción entre una amenaza y una vulnerabilidad. Pero muchas veces se simplifica o se omite el análisis del activo al que corresponde esa vulnerabilidad, lo cual dificulta poder calcular correctamente los costos de perderlo.

Para este análisis, David G. Patterson, CPP, PSP, propone en su manual “Implementación de Sistemas de Protección Física: Una Guía Práctica”, un proceso de cinco etapas:

1.    Identificar los activos.

2.    Clasificar los activos.

3.    Valorar los activos.

4.    Calcular los costos por pérdidas.

5.    Perfilar los eventos de pérdidas.

Tal vez esta lista pueda verse desafiante, pero les aseguro que es más simple de lo que parece.

1)    IDENTIFICAR LOS ACTIVOS

Un activo es cualquier recurso que requiere protección porque la empresa lo considera valioso. Al identificarlos, debemos seguir tres pasos:

•    Paso 1. Definir y comprender las funciones y procesos elementales del negocio.

•    Paso 2. Identificar la infraestructura y los sistemas del sitio y el edificio:

o    Componentes críticos.

o    Sistemas de seguridad de la vida y zonas protegidas de refugio.

o    Áreas seguras y restringidas.

•    Paso 3. Listar los activos de la empresa:

o    Personas.

o    Sistemas de información y datos.

o    Propiedad intelectual.

o    Recursos únicos/raros.

o    Recursos de alto valor.

2)    CLASIFICAR LOS ACTIVOS

Alexis Lárez, CMRP, explicó en 2015 que la clasificación adecuada de los activos de la organización es sumamente importante para “establecer estrategias adecuadas para la mitigación de riesgos, garantizar la continuidad operacional y priorizar su mantenimiento, actualización y sustitución”. Los activos se clasifican respecto a su tangibilidad:

•    Los activos tangibles son aquellos que toman lugar físicamente, tales como edificios, instalaciones, equipos, actividades, operaciones y algunos soportes de información.

•    Los activos intangibles son aquellos que no tienen existencia física, tales como los procesos de la empresa, muchos tipos de información y la reputación/imagen.

Como activos, no debemos olvidar a las personas: son los líderes, colaboradores, distribuidores, clientes, ocupantes y visitantes de la empresa. También se clasifican respecto a su criticidad:

•    Un activo más crítico apoya a llevar a cabo la misión de la organización, interactúa con otros recursos para alcanzar los objetivos, es difícil de reemplazar por su valor o su rareza y presentaría dificultades para mantener la continuidad del negocio si se perdiera.

•    Un activo menos crítico es de menor importancia para el logro de objetivos, tiene baja interdependencia con otros recursos, o es fácil de reemplazar.

Ali Ferrer, CPP, PSP, explicó en 2019: “Si los activos no tienen un impacto en el logro de los objetivos, no son activos críticos”.

3)    VALORAR LOS ACTIVOS

Para ayudar a asignar un valor a los activos críticos y a clasificarlos por prioridad, se consideran los siguientes factores respecto a una posible pérdida:

•    Impacto en los ingresos y en la reputación.

•    Costo de reemplazo.

•    Pérdida de ingresos debido a las funciones perdidas (lucro cesante).

•    Existencia de respaldos y sistemas de redundancia.

•    Disponibilidad de personal suplente.

•    Acuerdos de soporte crítico, líneas de vida en el sitio.

•    Valor de la información crítica o sensible.

4)    CALCULAR LOS COSTOS POR PÉRDIDAS

Con base en la información que se obtenga y considerando los factores del paso anterior, podremos cuantificarlos con una técnica de puntajes basados en la prioridad (asignándoles un número de 1 al 5, por ejemplo). También podemos aplicar la Fórmula del Costo de Pérdidas:

    K = Cp + Ct + Cr + Ci - I

    K =    costo total de la pérdida.

    Cp =    costo del reemplazo permanente.

    Ct =    costo del reemplazo temporal.

    Cr =    costo relacionado total.

    Ci =    costo de la pérdida de ingresos.

    I =    disponibilidad de seguro e indemnización.

Patterson recomienda que el equipo de análisis de riesgos tome posición sobre el peor de los casos y analizar cada riesgo de pérdida con base en la máxima pérdida probable para cada ocurrencia de evento adverso.

Pero yo sugiero que si se quiere aplicar una técnica más compleja y más científicamente sólida, podremos convertir las cifras estimadas en distribuciones matemáticas para realizar Simulaciones Montecarlo; y así contemplar todo el espectro de posibles situaciones, para comprender cuáles variables son las que mayor peso tendrán al ser modificadas para cada activo crítico.

5)    PERFILAR LOS EVENTOS DE PÉRDIDAS

La siguiente etapa fundamental en el análisis de riesgos de seguridad es identificar los tipos de eventos o incidentes que podrían ocurrir en un sitio, basándose en el historial de eventos o incidentes previos en el mismo sitio o en sitios similares, la ocurrencia de eventos delictuales, socionaturales y fortuitos que puedan ser comunes en ese tipo de negocio y otras circunstancias, acontecimientos recientes, o tendencias observadas.

Así, podremos aplicar la Fórmula del Costo de Pérdidas para realizar un Perfil de Evento de Pérdida, que consiste en una lista de los tipos de amenazas que afectan a los activos a proteger. A partir de la misma podremos generar escenarios y dividir sus costos probables entre directos e indirectos.

Los costos directos incluyen:

•    Pérdidas financieras asociadas al evento adverso, tales como el valor de las mercancías pérdidas o robadas.

•    Aumento de las primas de seguros por varios años después una pérdida grande.

•    Costos deducibles en la cobertura del seguro.

•    Pérdida del negocio o interrupción de las operaciones.

•    Costos laborales contraídos como resultado del evento.

•    Tiempo de la gerencia destinado a enfrentar el evento.

•    Indemnizaciones por daños punitivos no cubiertos por seguros normales.

Los costos indirectos incluyen:

•    Cobertura negativa de los medios de comunicación.

•    Percepción negativa a largo plazo de los consumidores.

•    Costos adicionales de relaciones públicas para superar los problemas de imagen.

•    Falta de cobertura de seguros debido a una categoría de riesgo más alta.

•    Salarios más altos necesarios para atraer a futuros empleados debido a las percepciones negativas sobre la empresa.

•    Demandas de accionistas por mala gestión.

•    Baja moral del personal, llevando a paros laborales, alta rotación, etc.

CONCLUSIÓN

Si bien este tema puede expandirse y existen varios otros métodos para llevar a cabo este proceso, espero que les haya servido como guía fundamental.