Hace unos cuantos meses publiqué una versión más resumida de este mismo texto. Me parece que es un excelente punto de partida para ir construyendo un ensayo un poco más elaborado sobre gerencia de seguridad. En esta oportunidad me adentro en el tema de los procesos, y pienso que en el futuro produciré un documento completo.
————
La forma más sencilla para entender un riesgo es verlo como una medida de incertidumbre frente a un futuro esperado. Es decir, qué tanto puede variar la realidad en relación con nuestras expectativas frente al logro de determinados objetivos. Para gerenciar la seguridad, sin embargo, y a fines de hacer cuantificable, el riesgo podemos considerarlo como la probabilidad que una amenaza se aproveche o “explote” alguna debilidad, generando así un daño o pérdida. En otras palabras, el riesgo es la oportunidad que tiene la amenaza de sacar provecho de quién tenga un flanco débil.
En la realidad es casi imposible separar vulnerabilidades de amenazas, por eso existe la gerencia de riesgos; para reducir las probabilidades de pérdida, o en el peor de los casos, minimizar el impacto que tiene el riesgo si se materializa. Volviendo al concepto básico, la gestión de riesgos es en esencia, la reducción de la incertidumbre para el logro de los objetivos propuestos.
A las buenas prácticas en la gerencia de riesgos se le puede llamar Seguridad y tienen entre otros, tres objetivos clave:
- Crear conciencia que el riesgo existe – lo que significa, entender el grado de incertidumbre frente al futuro –
- Reducir las vulnerabilidades – cubrir las debilidades que podamos tener frente a la incertidumbre que “algo” pueda ocurrir –
- Identificar, evadir o neutralizar (si es posible) las amenazas
La seguridad tiene un cuarto objetivo; se trata de hacer a las organizaciones más resilientes y a la gestión del riesgo más proactiva, esto lo que quiere decir es prepararlas para la adversidad, a fin de reducir la exposición frente a fenómenos que eventualmente van a emerger de la incertidumbre y que pueden resultar inesperados. Aquí, entra el análisis de entorno, la gerencia de crisis, la Inteligencia y la formulación de potenciales escenarios futuros.
De acuerdo con la metodología MAPS (que es la que utilizo), la seguridad cumple sus objetivos a través de tres procesos:
- Prevención
- Protección
- Planificación
La Prevención es todo lo que se puede hacer para evitar que los riesgos se materialicen. Este es el proceso de la normalidad. El propósito de la prevención es mantener el estado actual de la realidad, reduciendo, mediante la preparación previa, los márgenes de incertidumbre. La prevención es el espacio para la capacitación y formación de la gente, la creación y fortalecimiento de cultura de seguridad, el establecimiento de políticas, el cumplimiento de normas y procedimientos, las evaluaciones para la identificación de vulnerabilidades y sus planes de remediación, así como aquellas tareas que van a incrementar el grado de certeza organizacional.
La Protección, por su parte, se trata del proceso de control de amenazas, lo que se traduce en la puesta en marcha de todas las acciones que lleven a disuadirlas, detectarlas, retardarlas o neutralizarlas. En este proceso entran todos los sistemas electrónicos, la guardia física y vigilancia, el fortalecimiento de los perímetros e infraestructura, los centros de monitoreo y respuesta, etc. En la protección están los elementos duros de la seguridad, por ello, es en ocasiones donde se invierten más recursos. Algo importante que no debe obviarse es que el proceso de protección sólo, representa el eslabón intermedio, pero no es toda la seguridad. Proteger sin prevenir implica gastar sin invertir, es como construir una casa sin bases que la sustenten.
La Planificación cierra el ciclo de la gestión. Es el proceso para construir resiliencia. De aquí se deriva lo que debe hacerse para que la seguridad sea más eficiente y capitalizar los errores para que no se repitan, y si se repiten, su impacto sea menor. En tal sentido, los análisis de riesgos y forenses, los informes de Inteligencia, la preparación ante crisis, etc. son parte de este proceso. En la planificación está el componente analítico de la seguridad, el que marca la diferencia en la agregación de valor, esto no significa que en los otros procesos no haya análisis o agregación de valor, por supuesto que lo hay, pero es la planificación la responsable de ver a la gestión de riesgos como sistema integrado, que necesita responder al cumplimiento de objetivos, más allá de la incertidumbre o adversidad.
Podemos entender que, a mayor incertidumbre, estamos en un espacio de más riesgos, y por tanto se hace má s necesario prepararnos para gerenciarlos, y así vivir más seguros. Para saber más sobre los modelos para gerenciar la seguridad, les sugiero revisar el libro Carta de navegación para una organización segura, escrito por Morella Behrens y este servidor en 2013 y con una versión actualizada en 2021, conocida como MAPS21. Está disponible en Amazon.
En general, el propósito de la gerencia de seguridad debe ser la transformación de las organizaciones (y las sociedades) en espacios más previsivos y resilientes.
