Es a veces, preocupante, cuando ingresamos a una instalación y se observan modernos sistemas de control de acceso, CCTV, y con apuestos agentes de vigilancia operando el sistema, sin embargo, el problema radica en ¿Cómo?, poder saber si realmente esos sistemas están montados sobre los reales problemas o amenazas que enfrenta la empresa que les producen grandes pérdidas económicas y pérdidas en la producción por temas de faltas laborales, fraudes, hurtos, robos sistemáticos, desastres naturales, etc.

 

Pero entonces, ¿dónde está el problema?, ¿por qué esos sistemas modernos de seguridad no advierten los problemas de fondo?

La respuesta es una sola, que esos sistemas no han tomado en cuenta los riesgos porque no tienen bases o fuentes externas o internas de captación de información de los problemas, solamente se rigen por inspecciones físicas, reportes de vigilancia y algún otro inadecuado análisis.

 

Muchos profesionales con mucha experiencia, parten de los métodos convencionales de medición o levantamiento de información, pero el tema es que esos métodos ya dejaron de ser vigentes, porque ahora los problemas internos, que antes no afectaban a la normal operación, el día de hoy si afectan, como un tema de acoso laboral, accidentes, fraudes, cyber.

 

En todo caso, para analizar los riesgos en una empresa, se debe confeccionar los estudios de seguridad con las listas de chequeo apropiadas, que permitan advertir si existen en primer término las fuentes o recursos de información. Y luego, una vez advertidas estas deficiencias analizar la información que producen.

 

Las etapas que tenemos que desarrollar son:

 
  • 1ra Etapa: confección de listas de chequeo adecuadas, en donde se consideren preguntas acerca de las fuentes mínimas de captación de información como: si existen fuentes o no, si existen y funcionan o no, si existen procedimientos o no, y si funcionan o no, y demás preguntas relativas a ubicar los recursos de información. Una vez considerada la información tenemos que asignarles valores o pesos a las preguntas, y con ello podemos decir el grado de exposición que de la organización.

  •  
  • 2da Etapa: ésta es una etapa más fina, porque con la información que se obtiene de las fuentes, de la etapa 1, podemos trabajar los informes por su grado de intencionalidad por ejemplo: intento de robo y no se culminó el hecho, síntomas de un robo en proceso, hechos exactos, todo ello es estadísticamente ordenado. Adicionalmente se consideran las fallas del sistema ocasionados por las vulnerabilidades, con todo ello podemos determinar la tendencia del riesgo y recién recomendaríamos, las adecuadas medidas de seguridad y medir el resultado del tratamiento con el mismo sistema.

  •  
  • 3ra Etapa: con el fin también, de calcular el retorno de lo invertido, una variable que complementa la etapa 1, es el retorno de la eficiencia del sistema, llevado a términos monetarios., en ella consideramos las pérdidas que el sistema evitó, dado el anterior daño. También se considera la variable de recuperaciones que el sistema ha confiscado, recuperado en investigaciones internas, en los controles de acceso. Esto se compara con los costos del programa, en una medición semestral o anual. Con ello se genera una medición en el tiempo, en donde se observan las tendencias de mejora o no. En base a ello, se tienen argumentos para mejorar un proyecto.

  •  
  • 4ta Etapa: es la confección del plan de seguridad orientado hacia las deficiencias y riesgos asociados tomando, en cuenta las tendencias de los problemas de la etapa 1 y 3, debemos desarrollar los programas integrales de mitigación. Los cuáles serán medidos en sus resultados a través de las cuantificaciones expuestas.

  •  

Conclusiones finales:

 

Una vez completados los cálculos anteriores, recién en estos momentos podemos calcular todas las métricas convencionales, para el seguimiento de costos, proyectos, personal, resultados, etc.

 

Adicionalmente, podemos, con los resultados presentados, mejorar, cambiar o recomendar un programa de seguridad nuevo, que realmente refleje el tratamiento a las amenazas y lo importante es observar sus resultados estadísticamente.

 

El retorno de la inversión, nos permite sustentar económicamente el programa de seguridad, dado que es la comparación del producto del sistema comparado con los gastos o inversiones. Esto también debe mostrar tendencias positiva de mejora.

 

Para analizar los riesgos en una empresa, se debe confeccionar los estudios de seguridad con las listas de chequeo apropiadas, que permitan advertir si existen en primer término las fuentes o recursos de información. Y luego, una vez advertidas estas deficiencias analizar la información que producen.

Herbert CALDERON Alemán​

Especialista e investigador en seguridad

Ponte en contácto con nosotros para un análisis de riesgo en tu empresa