Gestión
de Riegos de Seguridad Empresarial
Diofanor Rodríguez CPP, PCI,
PSP
Cuando
revisamos el entorno actual de la seguridad y los estándares aplicables en la
seguridad, todos hablan del riesgo, pensamiento basado en riesgos, y un
etcétera sobre el tema.
Cuando
revisamos a fondo todo es llevado a una matriz, que vista de forma rápida, me
muestra la foto de un momento, cuando la dinámica del riesgo está obligando a
que la misma sea dinámica, para poder dar el soporte y el valor agregado que se
le atribuye a esta herramienta.
En
las actuales circunstancias, el modelo de la administración del riesgo deberá
moverse con los cambios que ocurren minuto a minuto en los entornos de
negocios, esto nos llevará a poder cuantificar el costo del riesgo en las
operaciones que desarrollan las empresas modernas.
Por
ello el concepto de PML (perdida máxima probable, por sus siglas en ingles), es
de mucha importancia al momento de administrar los riesgos corporativos,
teniendo en cuenta que cuando se habla de PML se está diciendo que es el valor
máximo sujeto a destrucción bajo un riesgo determinado. Esto visto desde los
seguros está basado en que el PML busca estimar el valor de la cartera
asegurada que será reclamada en caso de siniestro.
Esto
desde ya es un elemento muy importante a la hora de adquirir seguros y la
administración del riesgo contribuye a que no se compren seguros innecesarios.
En
la actualidad el ESRM (Enterprise security risk management) es una guía para
poder ver administrar el riesgo y ver el marco de la administración del riesgo
y no solo una metodología para hacerlo.
Esto convierte al profesional de la seguridad en un verdadero asesor y
no un ejecutor como lo hacemos en el momento.
Lo
que hace que la seguridad se convierta
en un actor estratégico ayudando a los profesionales de seguridad a relacionar las decisiones de riesgo de
seguridad con la estrategia corporativa.
Lo que hace que la seguridad funcione como un facilitador comercial y un
instrumento para ayudar a la organización a
cumplir su misión.
Partiendo
de esta nueva tendencia de la administración del riesgo las empresas Que antes sólo se centraban en medir los
acontecimientos que ocurren, pero no analizaban aquellos que no suceden, ni
tampoco integraban a todas las áreas y unidades de negocio de la compañía,
deberán hacer los análisis más holísticos.
Porque
deberán considerar factores ambientales que van desde la idiosincrasia de una
región, un país, el costo beneficio, el impacto en el mercado y el cumplimiento
con las regulaciones y leyes. Realizar un análisis de los procesos y diversos
factores permitirán una administración mucho más acertada del riesgo.
El
modelo ESRM describe cómo hacer las
cosas y describe lo que se debe hacer.
Pero
no por ello presupone una metodología que cuadricula como se deben hacer las
actividades y las tareas. Más bien ESRM puede ser adaptado en donde no existe
un marco o una metodología definida para la administración del riesgo.
Lo
que hace ESRM en la seguridad es poder mostrar el compendio de dominios que se
tienen como son seguridad física, seguridad de la información y seguridad de
personal.
Esto
obliga a que seguridad encuentre la convergencia de conceptos y criterios en la
organización, es decir, identificar los riesgos de seguridad y su dependencia
con las distintas funciones corporativas.
Esto
genera muchos beneficios a las corporaciones como el hecho de poder alinear los
recursos de seguridad y la estrategia corporativa partiendo de la priorización
eficaz del riesgo.
Otro
elemento importante es que las partes interesadas entiendan la función de la
seguridad corporativa volviéndose participes de esa seguridad.
Lo
que hace que la seguridad sea más efectiva como resultado de la eficiencia más
la eficacia.
ESRM
posee un ciclo que está dividido en cuatro pasos ellos son:
1.
Identificar
y priorizar activos
2.
Identificar
y priorizar riesgos
3.
Mitigar
riesgos priorizados
4.
Mejora
continua
Imagen
tomada de ESRM Draft Guideline Sept. 2018
Cada
uno de estos elemento presupone unas acciones que el profesional de seguridad
deberá realizar y que se describen muy claramente en la Guía de ASIS International,
y que ayudan a transmitir qué
acciones específicas deben tomarse para adoptar ESRM como un proceso de gestión
de riesgos de seguridad.
Cuando
revisamos el ciclo de ESRM podemos desglosar un poco más el concepto partiendo
de lo siguiente:
Identificar y
priorizar los activos:
para nadie es un secreto que todos los activos de una organización tiene una
importancia, pero existen algunos más importantes que otros que de sufrir algún
daño podrían en aprietos a la organización, por ello debemos tener muy claro
cuáles son, qué son, dónde están y por qué son importantes. Todo es basado en
el concepto del impacto que sufriría la organización si se materializará un
riesgo en uno de sus activos estratégicos.
Identificar y
priorizar los riesgos: cuando
ya están identificados y priorizados los activos, nos debemos centrar en el
riesgo entendiendo cuales son las áreas de preocupación, que riesgos se podrían
materializar y generar una afectación al activo que termine generando pérdidas
importantes en la organización. El producto de este paso es la lista de riesgos
con su nivel de importancia.
Mitigar los
riesgos priorizados: en
este paso se proponen la estrategias de cómo sería posible la mitigación de
riesgos priorizados vs los activos priorizados. Esta actividad podría suponer
la realización de una matriz para poder cruzar los riesgos y los activos y su
posible control de mitigación.
Mejora continua: en este paso del ciclo se debe
revisar los controles existentes frente a los riesgos identificados y
priorizados, para poder determinar si esos controles han sido o no efectivos,
lo que nos llevara a realizar investigaciones de eventos, como fueron las
respuestas ante la materialización del riego.
Es
importante entonces poder considerar todos los tipos de riesgos de seguridad,
hacer una verdadera vinculación de todas las parte interesadas, la
transparencia que el profesional de seguridad debe tener con los interesados
del proceso y por último esta le creación de un comité para hablar de apetito
del riesgo y tolerancia del riesgo que permita la toma de decisiones de alto
nivel.
Referencia
ESRM
Draft Guideline Sept. 2018
0 comments:
Post a Comment