Hace poco tuve la oportunidad de dictar una sesión de capacitación en beneficio del equipo de Operaciones de una prestigiosa empresa de seguridad con amplia experiencia en el rubro. Puse a disposición del grupo, conocimiento y actualización de términos como activo, vulnerabilidad, amenaza, impacto, gestión del riesgo, retorno de la inversión, etc.

Comprobé que en el área de gestión del riesgo es donde se presenta una dificultad especial y es por ello la existencia del presente ensayo, iniciemos juntos el desarrollo de la administración del riesgo, considerando que en artículos anteriores ya hemos presentado la vulnerabilidad y la amenaza y debido a que el riesgo es inherente a la actividad humana (cualquiera que sea), no vamos a definirlo ni conceptualizarlo, mas bien trataremos de ir un poco mas lejos en su gestión.

La gestión de riesgo tiene dos variables fundamentales, estas son: la evaluación de vulnerabilidades y la evaluación del riesgo, si alguno de estos cálculos falla es probable que nuestro proceso de toma de decisiones no sea el adecuado en la forma mas eficiente y eficaz de tratar el riesgo.

Entonces la pregunta que inmediatamente nos hacemos es ¿Cómo podemos equivocarnos en el calculo de la vulnerabilidad o del riesgo?, existen diversos factores que nos pueden inducir al error y enumeraremos algunos de ellos:

• No medimos objetivamente el rendimiento del programa de seguridad
• No identificamos correctamente los activos ni los procesos críticos
• No identificamos el perfil del evento de pérdida ni el riesgo asociado
• Nos concentramos en los componentes antes que en el sistema de protección para efectos de determinar cuan útil y eficiente es el programa de seguridad
• Basamos la probabilidad de ocurrencia de pérdida en suposiciones o datos inexactos
• Falla en el calculo del impacto de pérdida
• Otras más…

Una vez cuantificado el riesgo y de acuerdo con el grado de apetito de riesgo de la organización, procedemos a tratarlo de la forma más eficiente combinándolo con las famosas 4 D´s:

• Disuadir
• Detectar
• Demorar
• Denegar

Terminado el examen anterior llegamos a cinco vías para gestionar el riesgo de manera eficiente, lo ideal (y optimo), es combinarlas inteligentemente de manera tal que al termino del proceso nos quedaremos con el riesgo residual que en forma obligatoria debe ser reconocido y aceptado por la organización.

Veamos de que manera podemos gestionar el riesgo de manera efectiva:

La primera vía y la mas directa para enfrentar el riesgo es evitarlo. En lo posible trataremos de eliminar cualquier oportunidad que provoque riesgo y que resulte en un evento de pérdida, sabemos en la práctica que esto es imposible debido a que implementar medidas para evitar el riesgo casi en su totalidad negaran a la empresa la capacidad de cumplir con su misión y objetivos.

La segunda vía es distribuir el riesgo de manera que los activos no se encuentren agrupados en un solo lugar físico o exponiéndolos a un solo tipo de amenaza, entonces lo correcto será dispersar los activos de la organización, siempre considerando que esta acción pude aumentar el costo de la operación sin embargo éste sigue siendo moderado en relación con la disminución del riesgo de los activos críticos.

Una tercera vía es transferir el riesgo y el ejemplo mas adecuado es la contratación de un seguro, acepto que no es usual en seguridad hacerlo pero esta modalidad de transferencia del riesgo es clave en nuestra estrategia de gestión del riesgo. Otro ejemplo claro para transferir el riesgo es volviéndonos potencialmente menos atractivos que las instalaciones vecinas o levantando nuestro perfil de seguridad sobre la competencia.

La cuarta y penúltima vía es reduciendo el riesgo a través de medidas de seguridad aplicadas sobre los activos críticos, conseguiremos el propósito reduciendo nuestras vulnerabilidades mediante políticas, procedimientos, educación y conciencia de seguridad en apoyo al programa de protección física.

La quinta vía es aceptar el riesgo, como lo comentamos anteriormente, luego de aplicar las medidas de distribución, transferencia y reducción nos quedaremos con algunos riesgos que son imposibles de reducir y con los cuales debemos de convivir, esta condición nos llevará a trabajar en planes y protocolos de mitigación de contingencias y emergencias.

Como último paso en el proceso de gestión del riesgo nos queda aplicar en nuestro entorno físico, de tecnología de la información y lógico el principio de seguridad en capas también conocido como defensa en profundidad, es decir, colocar una serie de medidas las cuales combinadas con adecuados niveles de seguridad dan como resultado un eficaz plan de Protección de Activos, esto incluye personal de seguridad, electrónica, procedimientos, políticas, conciencia de seguridad, etc.

Siempre y como producto final, luego del proceso de gestión del riesgo, diseñaremos nuestra estrategia integral de Protección de Activos incorporando inteligente y eficientemente las medidas de protección adecuadas al entorno basados en la misión de la organización, su naturaleza, las características físicas propias de la instalación y los resultados de la evaluación adecuada de los riesgos.

Los invito a comentar este articulo y a enriquecer con su experiencia y conocimiento este blog.