Cuando conversamos acerca del riesgo en un sistema de seguridad, sea cual sea el giro del negocio, debemos de emplear términos que sean los mas adecuados para expresarlo y son los siguientes:

• Amenaza: es solamente la combinación de las capacidades de un adversario, es decir: su equipamiento, su motivación, su intención y su probabilidad de ataque.
• Consecuencia: es simplemente el resultado no deseado en sí mismo
• Vulnerabilidad: es la debilidad del programa de seguridad física que podría ser explotada por el adversario

En esta oportunidad vamos a analizar mas de cerca la vulnerabilidad, mas adelante y en documento aparte, comentaremos los otros componentes del riesgo de tal manera que muy pronto podamos empezar a escribir acerca de él y así iniciar un proceso de enseñanza y aprendizaje cuyo objetivo sea darles a los gerentes de seguridad información que puedan aplicar en provecho de su organización.

Voy a tocar a continuación dos tipos de vulnerabilidad: la que corresponde a cada uno de nosotros y vivimos con ella el día a día y la que corresponde a un programa de seguridad física

La vulnerabilidad más cercana que tenemos como seres humanos y en la primera que debemos de ocuparnos se llama EGO, se encuentra ubicado en nuestros miedos y usualmente nos provoca irritación, emociones negativas, mal humor, soberbia, impaciencia, dudas y otras emociones negativas que socaban nuestro yo verdadero. ¿Cómo podemos reducir esta vulnerabilidad intrínseca?, muy fácil y también muy complicado para algunos: respete a todos por igual, sea empático, agradecido, reconozca que no lo sabe todo y que necesita del trabajo de equipo, aplauda las victorias de sus colaboradores y participe en su formación para convertirlos en mejores personas y profesionales, sea leal, integro, sincero y estoy seguro que existen muchas más cualidades innatas que un LÍDER debe poseer; sin ellas es mas complicado poder abordar un buen trabajo aún siendo un profesional exitoso y obtener la victoria en el primer intento.

Ahora pasemos al segundo tipo: para identificar y cuantificar las vulnerabilidades en un programa de seguridad física se hace necesario efectuar una evaluación de vulnerabilidades (vale decir, determinar los puntos débiles con que cuenta nuestro sistema de protección).

La evaluación de vulnerabilidades la emplearemos, en primer lugar, para establecer una línea de base que nos permita verificar cual es el nivel de efectividad de nuestro programa de seguridad física con relación a las amenazas que ya han sido definidas. En segundo lugar, la evaluación de vulnerabilidades la empleamos cuando deseamos saber que tan bien funcionan las mejoras propuestas a nuestro sistema. Es muy divertido cuando escuchamos la presentación de un “experto en seguridad” que nos indica el tipo de cámara de CCTV que debemos emplear, donde debe ser colocada, cuantas cámaras debemos implementar al sistema, pero cuando le preguntamos a que nos enfrentamos (amenaza) y cual es la probabilidad de que ocurra un incidente definido no sabe que decir y acude a respuestas que no satisfacen nuestra necesidad de saber para tomar la decisión mas adecuada.

Hay algo que nunca debemos de olvidar: “todos, sin excepción, todos los programas de seguridad física tienen una debilidad por lo tanto siempre existirá un riesgo”, la única manera de minimizar la vulnerabilidad es verificando que todos y cada uno de los caminos que llegan a un activo se encuentren protegidos y cubiertos por un efectivo programa de seguridad física dadas las amenazas existentes, por esto debemos de evitar concentrarnos en los componentes del sistema, vale decir, debemos de tener una visión holística del programa de seguridad, observándolo como un todo así será más fácil determinar si un ataque efectivo puede explotar tal o cual vulnerabilidad existente.

¿Han escuchado ustedes hablar de la “caracterización” de la instalación?, este es un termino muy usado en ASIS INTERNATIONAL y es igual a llevar a cabo la evaluación del programa de seguridad física de la instalación o mejor dicho: levantar el estudio del sitio. Mediante esta “caracterización” identificamos los componentes del programa de seguridad física en todas las áreas funcionales donde debamos aplicar los principios de detección/demora/respuesta para reunir datos e información que nos permitan determinar su rendimiento dada una amenaza en particular (más adelante escribiré un artículo dedicado exclusivamente a estos principios fundamentales de cualquier programa de seguridad física).

Cuando nosotros hacemos la “caracterización” de la instalación usualmente debemos recorrerla para poder obtener, principalmente, la siguiente información:

• Determinar la distribución y ubicación de los activos en su interior
• Conocer la operación
• Informarnos acerca de las capacidades de producción
• Que tipo de componentes existen en el programa de seguridad física instalado
• Aprovechar de revisar documentación pertinente y entrevistarnos con las personas involucradas directa e indirectamente en la seguridad y el proceso productivo.

Para finalizar y no hacer extenso el presente ensayo, se recomienda hacer pruebas diversas luego de identificar los “estados” de la instalación y de esta manera verificar la efectividad del programa de seguridad física bajo diferentes condiciones, por ejemplo: en horario de operación normal, fuera de horario, en caso de huelga, al presentarse una emergencia, ante un fenómeno climático de magnitud devastadora o en los cambios de turno de operación. Las pruebas a que me refiero son pruebas de evaluación del programa de seguridad física y se concentran en tres tipos:

• De Funcionalidad; vale decir, el equipo esta en su lugar y opera de acuerdo con lo esperado
• De Operatividad; el equipo esta encendido y se viene utilizando de forma correcta
• De Desempeño; se debe medir la capacidad del dispositivo contrastándolo con las diferentes amenazas identificadas

Como ustedes pueden haberse dado cuenta, el paso inicial para un análisis de riesgo bien elaborado es determinar el grado de vulnerabilidad de la instalación y por ende del programa de seguridad física, no podemos avanzar si no obtenemos información precisa de este primer avance de manera segura, objetiva y específica de acuerdo a los recursos que tengamos a disposición, Es muy importante cumplir con el trabajo pero mas importante es ser profesionales en nuestro proceder para brindar un producto de calidad a nuestros jefes y/o clientes.

Los invito a comentar y enriquecer este articulo con sus aportes los mismos que beneficiaran a la comunidad que nos lee diariamente.