La gestión de riesgos cada vez más se afianza como elemento esencial en la protección de activos. El concepto es muy amplio, pero coincide en forma perfecta en el desarrollo de la actividad de seguridad, ya que el objetivo principal de la seguridad es la administración del riesgo, con lo cual se da entonces equilibrio al costo beneficio que aportan las medidas de protección.
Cuando se gestiona el riesgo se busca reducir el número de incidentes que llevan a perdidas, y por ello uno de los objetivos del riesgo es manejar las perdidas eficientemente a un menor costo.
Todo esto nos obliga a buscar un planteamiento estratégico para gestionar los riesgos organizacionales.
Muchos líderes organizacionales, con alguna frecuencia, se inclinan por soluciones rápidas para satisfacer las necesidades de seguridad, lo cual lleva a cometer errores a la hora de identificar adecuadamente los riesgos, pues se deja de lado la identificación de los activos que necesitan protección y cuáles son las amenazas y vulnerabilidades de los mismos. Ello hace que las medidas sugeridas de mitigación se presenten con poca o ninguna idea de por qué se deben usar ciertos procedimientos o equipos, lo que incrementa el costo, sin necesidad, de los sistemas de seguridad.
Por otro lado, existe poca inversión en asesoría de la seguridad, porque a veces, nosotros como profesionales, no aceptamos que hay campos que no dominamos perfectamente. Un ejemplo en este sentido se puede tomar del procedimiento que realizan los Médicos Generales, pues cuando un paciente los visita, ellos lo revisan, le hacen una serie de preguntas y si necesitan enviarlo a imágenes diagnosticas lo remiten, de modo que con tales resultados deciden si le hacen al paciente un tratamiento directo o si lo envían a un especialista. Es claro que el médico no llama y pregunta al especialista por un libro o que le facilite un método para tratarlo. Por el contrario, en seguridad muchas veces, el profesional llama a un amigo para que le preste una herramienta.
En seguridad, se dan decisiones más emocionales que lógicas, lo que demuestra es que no hay investigación, no se identifican los riesgos de forma adecuada, y por ende, la solución no es el desarrollo de una estrategia integral, que está basada en un planteamiento estratégico de la administración del riesgo.
La estrategia entonces se debe dirigir en definir qué es lo que se va a proteger, por qué se protege, y como se protege. En este contexto, la gestión de riesgos, es un proceso analítico y sistemático, mediante el cual las organizaciones identifican, analizan, evalúan y mitigan sus potenciales riesgos y perdidas.
Para ello se debe tener claro que el análisis de riesgos, involucra un proceso y tiene unos componentes. El inicio del proceso busca establecer el contexto del riesgo mediante la comunicación y consulta con las partes interesadas.
Evaluar los riesgos es muy importante y por ello se debe realizar de manera integral, de modo que el resultado sean decisiones sobre las medidas que forman la estrategia de protección de las organizaciones.
En este sentido, se deben considerar los activos. El primer escalón en la evaluación de riesgos es la identificación y valoración de los activos (Gardner 1995). Y aunque parece elemental, muchas veces este paso es obviado, lo que lleva a la desviación de la estrategia de seguridad, pues no es posible implementar un programa de seguridad eficiente sin un conocimiento a fondo de lo que estamos protegiendo o vamos a proteger.
Cuando se habla de activos debemos pensar en tangibles e intangibles, para que sean agregados en la evaluación de riesgos.
Otro elemento importante es tener una visión integral de las amenazas, debido a que las empresas modernas enfrentan una amplia gama de amenazas. Generalmente las categorías de las amenazas son tres a saber, intencionales, naturales y accidentales.
Con ello, en la planeación de la seguridad física, se debe adoptar una perspectiva de todos los riesgos, en busca de mirar el contexto general del riesgo.
Otro elemento no menos importante es la consideración de las vulnerabilidades, entendiendo la vulnerabilidad como la debilidad en el sistema de seguridad. Algunas vulnerabilidades simplemente son las condiciones existentes o las mismas prácticas del negocio.
Cuando se buscan diferencias entre amenazas y vulnerabilidades, podemos decir que las amenazas generalmente están fuera del control de la organización y la vulnerabilidad es una característica de la instalación o la organización.
El análisis de riesgos nos ayuda a identificar las posibles áreas de pérdidas y a implementar las contramedidas para mitigar la posible pérdida.
También debemos pensar en las medidas de protección, porque también hacen parte de la gestión del riesgo, pero estas deben ser pensadas desde la integralidad, sin descuidar el costo beneficio. Cuando pensamos en las medidas de protección hay unas tareas importantes por realizar ellas son: seleccionar, probar, implementar y entrenar.
La mitigación del riesgo implica la selección e implementación de las medidas para hacer frente a los riesgos identificados y priorizados. Existen varios criterios en los que se apoya la estrategia de mitigación, entre las que contamos las “Cuatro D” de la seguridad (disuadir, detectar, demorar y denegar), las cinco vías para enfrentar el riesgo (evitar el riesgo, distribuir el riesgo transferir el riesgo, reducir el riesgo y aceptar el riesgo) y la seguridad en profundidad.
Referencias:
Seguridad física principios (ASIS INTERNACIONAL)
No hay comentarios:
Publicar un comentario