La gestión de riesgos de seguridad es un tema amplio y difícil. ¿En qué consiste? Básicamente se trata del proceso continuo que supone identificar los riesgos de seguridad con el fin de poner en marcha planes para hacerles frente. Se trata de considerar la probabilidad de que se produzcan amenazas conocidas, la forma en que estas amenazas podrían aprovecharse de cualquier vulnerabilidad en la protección de tu seguridad y el impacto que podrían tener en tu organización.
Como nos explica ASIS International: “El término gestión de riesgos es de uso común en otros campos, como los seguros o la I+D empresarial, desde hace muchos años. Sin embargo, recientemente se ha aplicado en la gestión de la seguridad y la protección de activos. El concepto encaja perfectamente, ya que el objetivo principal de la seguridad es gestionar los riesgos equilibrando el coste de los métodos de protección con su beneficio.
Para gestionar el riesgo de forma eficaz, un profesional de la seguridad debe reducir o limitar el número total de incidentes que provocan pérdidas. Uno de los objetivos de la gestión de riesgos es gestionar eficazmente las pérdidas con el menor coste posible. De hecho, muchos profesionales creen que el riesgo es el factor más importante que impulsa el despliegue de la seguridad”.
Las 3 principales categorías de riesgo para la seguridad que hay que tener en cuenta
En la gestión de riesgos, cada amenaza se clasifica en una de las tres categorías siguientes: amenazas físicas, amenazas humanas o amenazas cibernéticas. Veámoslas en el contexto del control de acceso.
- Amenazas físicas – por ejemplo, un delincuente rompe una puerta para entrar.
- Amenazas humanas – por ejemplo, un empleado comete un error o da deliberadamente permisos de acceso a alguien que no está autorizado para ello.
- Amenazas cibernéticas – por ejemplo, alguien se cuela en la base de datos de control de acceso y roba los datos de los empleados o cambia los permisos de control de acceso.
La amenaza de catástrofes naturales es, por supuesto, otra consideración a tener en cuenta a la hora de realizar tu evaluación de riesgos.
En materia de seguridad, los métodos de protección están cada vez más orientados a las TI, por lo que a menudo se produce una convergencia entre los riesgos de seguridad física y los riesgos de ciberseguridad. Por esta razón, es cada vez más importante que los equipos responsables de la seguridad física colaboren estrechamente con los equipos responsables de la informática y la ciberseguridad.
Áreas importantes de atención para tu estrategia de riesgos de seguridad
Elaborar una estrategia de gestión de riesgos de seguridad puede ser una tarea enorme, por lo que resulta útil dividirla en proyectos manejables. Algunas de las áreas clave en las que hay que centrarse son:
- Gestión de emergencias – para que puedas tomar las medidas adecuadas inmediatamente, en el caso de producirse una emergencia.
- Continuidad de la actividad – para que puedas identificar lo que podría afectar a la continuidad de tu actividad, cómo mitigar los riesgos y cómo proteger la continuidad de la actividad en caso de que ocurriese lo peor.
- Seguridad y protección de activos – para que puedas proteger adecuadamente los activos físicos e intelectuales que son valiosos para tu organización.
- Salud y seguridad en el trabajo – para que puedas restringir de forma coherente y precisa el acceso no autorizado a las áreas que presentan riesgos para la salud y/o la seguridad.
- Garantizar el presupuesto – para que puedas invertir en los sistemas de seguridad que hayas identificado.
Esto último puede ser especialmente difícil para los profesionales de la seguridad. En la mayoría de los sectores, se puede presentar una rentabilidad de inversión clara y predecible. En cambio, la compra de tecnología de seguridad casi siempre se considera un desembolso más que una inversión valiosa para los responsables de la toma de decisiones.
El reto consiste en demostrar la magnitud de cada riesgo y los posibles costes, pérdidas y otras repercusiones si no se mitigan con sistemas y procesos de seguridad. No siempre se trata de un coste monetario directo, pero puede tener un efecto dramático en la cuenta de resultados. Un fallo de seguridad puede, por ejemplo, provocar un daño a la reputación que afecte a la fidelidad de los clientes y provoque un descenso de las ventas.
3 requisitos clave a la hora de crear tu estrategia de riesgos de seguridad
1. Pensar de forma clara
Cada organización se enfrenta a riesgos diferentes. Así que el primer paso crucial es saber a qué riesgos te enfrentas ahora y a los que probablemente te enfrentarás en el futuro. Recuerda que debes tener en cuenta los riesgos de seguridad física, los riesgos de seguridad humana y los riesgos de ciberseguridad.
A continuación, es importante planificar cada uno de los riesgos y la forma de mitigarlos. Para ello, existen varios conceptos útiles. Uno de ellos es el de las cinco vías, a través del cual se consideran los riesgos de las siguientes maneras.
- Evitar el riesgo
Es la forma más directa de eliminar el riesgo. Sin embargo, la mayoría de las organizaciones no pueden evitar el riesgo por completo, ya que les impediría cumplir su oferta principal o sus objetivos empresariales. Un banco podría, por ejemplo, evitar el riesgo no almacenando dinero en sus instalaciones, pero el almacenamiento de dinero es una de sus principales funciones empresariales. - Distribución de riesgos
¿Cómo puedes distribuir tus activos valiosos por tu patrimonio para asegurarte de que no se acumulan en una sola zona de vulnerabilidad? Una vez que hayas distribuido tus activos, puedes protegerlos mediante múltiples formas de sistemas y procedimientos de seguridad física así como con tu estrategia general de mitigación de riesgos. - Transferencia del riesgo
El riesgo puede transferirse asegurando la compensación de cualquier pérdida o coste. Un ejemplo de ello es la contratación de un seguro para mitigar el coste de un incidente o pérdida. - Reducción de riesgos
¿Cómo puedes reducir el riesgo? Por ejemplo, reduciendo al mínimo el número de puntos de entrada y zonas comunes que acceden a tus activos valiosos. - Aceptación del riesgo
No todos los riesgos pueden mitigarse. Por eso puede ser útil reconocer que existe un riesgo potencial, pero estar dispuesto a aceptarlo. Por ejemplo, puedes aceptar el riesgo de que alguien entre en la recepción principal, ya que el potencial de pérdida no es demasiado alto.
2. Un enfoque por capas
A continuación, considera cómo vas a estratificar tu seguridad para que tus activos más valiosos, o los que podrían provocar mayores pérdidas, sean los mejor protegidos. Considera la seguridad como una cebolla. De esta manera, el perímetro de un sitio, por ejemplo, sería la piel exterior. Mientras que una cámara acorazada estaría en el centro de la cebolla protegida por capas de seguridad.
Esto puede incluir, por ejemplo
- Capa 1 – una barrera con reconocimiento de vehículos en el perímetro de la finca.
- Capa 2: entrada con tarjeta en la recepción y las zonas comunes.
- Capa 3 – verificación con tarjeta y PIN para entrar en las zonas de mayor seguridad.
- Capa 4 – tarjeta y PIN y/o lector biométrico para una doble o triple verificación para entrar en la cámara acorazada.
3. Las herramientas adecuadas
Una vez que hayas trazado los riesgos de seguridad específicos de tu organización y hayas pensado en cómo estratificar tu protección, es el momento de seleccionar los productos y procesos para mitigar y gestionar tus riesgos. Y también planificar cómo utilizarlos para obtener un efecto óptimo.
Al hacerlo, recuerda que tienes que pensar en los posibles riesgos futuros, así como en los que afrontas ahora. También tendrías que tener en cuenta los siguientes factores para reducir el número de incidentes posibles:
- Ubicación: por ejemplo, la geografía circundante, el terreno y la posición en el emplazamiento.
- Diseño estructural: el tamaño y la forma de los edificios, los lugares y los materiales utilizados.
- Capas o zonas de seguridad: para garantizar que todos los activos reciben el nivel de protección adecuado.
- Zonas despejadas: para la vigilancia, la detección de amenazas y el alejamiento.
- Control de accesos: para controlar el acceso a las instalaciones, los edificios y las salas y ubicaciones dentro de ellos.
- Colocación de los equipos de seguridad: la colocación estratégica puede aumentar drásticamente el rendimiento.
Recuerda que tienes que mitigar de la mejor forma posible las amenazas humanas internas
El mayor tipo de amenaza para una organización es siempre la amenaza humana. Por ello, recuerda que todos los productos y procesos que utilizas deben ser fáciles de usar para garantizar que se manejen de forma correcta, eficiente y eficaz. Los gestores de alarmas, como el gestor gráfico de alarmas AEOS, son realmente útiles para identificar y destacar las amenazas, dándote el mayor tiempo posible para responder en consecuencia.
La formación es clave para asegurarse de que los empleados saben cómo identificar las amenazas, gestionar los eventos y reaccionar adecuadamente para reducir los riesgos que plantea cada amenaza.
Además, ten en cuenta que de nada sirve tener un sistema de seguridad que ofrezca un nivel de protección increíblemente alto si lo maneja alguien que no es de confianza. Por ello, la investigación de antecedentes es vital para garantizar que se trabaja con personas de confianza que tienen las habilidades y capacidades adecuadas. Un sistema con la capacidad de ocultar datos sensibles te ayudará a gestionar esta amenaza, y la opción de realizar una auditoría completa del sistema también te ayudará con cualquier análisis posterior a un incidente.
Un enfoque con visión de futuro es esencial
Las amenazas cibernéticas son cada vez más evidentes y plantean riesgos adicionales, por lo que es vital tener en cuenta los riesgos futuros a la hora de crear tu estrategia. Desde el punto de vista del sistema, es crucial elegir uno sin fin de vida útil, que pueda actualizarse para gestionar las amenazas actuales y futuras. Deberías asegurarte también de que funciona de manera sincronizada con tu estrategia de gestión de riesgos de seguridad, la cual está en constante evolución.
¿Quieres hablar sobre el papel que el control de acceso y el AEOS pueden desempeñar en tu estrategia de gestión de la seguridad?
Sé un experto en seguridad
Te interesan las tendencias tecnológicas sobre gestión de seguridad? Con nuestro boletín de noticias recibirás actualizaciones de nuestro blog de forma periódica.