Una forma sencilla de entender un riesgo de seguridad es considerarlo como la probabilidad que una amenaza se aproveche o “explote” alguna debilidad, generando así un daño o pérdida. En otras palabras, el riesgo es la oportunidad que tiene la amenaza de sacar provecho de quién tenga un flanco débil.
En la realidad es casi imposible separar vulnerabilidades de amenazas; por eso existe la gerencia de riesgos; para reducir las probabilidades de pérdida, o en el peor de los casos, minimizar el impacto que tiene el riesgo si se materializa.
A las buenas prácticas en la gerencia de riesgos se le puede llamar Seguridad y tienen entre otros, tres objetivos clave:
- Crear conciencia que el riesgo existe (asociado con gerenciar la incertidumbre)
- Reducir las vulnerabilidades
- Identificar, evadir o neutralizar (si es posible) las amenazas
La seguridad tiene un cuarto objetivo, que es hacer a las organizaciones más resilientes, esto lo que quiere decir es prepararlas para la adversidad, a fin de reducir la exposición frente a eventos inesperados. Aquí, entra la gerencia de crisis, la Inteligencia y la formulación de escenarios.
De acuerdo con la metodología MAPS (que es la que utilizo), la seguridad cumple sus objetivos a través de tres procesos:
- Prevención
- Protección
- Planificación
La Prevención es todo lo que se puede hacer para evitar que los riesgos se materialicen. En este proceso se ubican entre otros, la capitación y formación de la gente, la creación de cultura de seguridad, el establecimiento de políticas, el cumplimiento de normas y procedimientos, las inspecciones para detectar vulnerabilidades y sus planes de remediación.
La Protección en principio, se trata de todas las acciones que llevan a disuadir, detectar, retardar o neutralizar amenazas. En este proceso entran todos los sistemas electrónicos, la guardia física y vigilancia, el fortalecimiento de los perímetros e infraestructura, los centros de control, etc.
La Planificación es lo que hacer la seguridad para ser más eficiente y aprender de los errores para que no se repitan, y si se repiten, su impacto sea menor. En tal sentido, los análisis de riesgos y forenses, los informes de Inteligencia, la preparación ante crisis, etc. son parte de este proceso.
A mayor incertidumbre, más necesario se hace prepararnos para gerenciar riesgos, y así vivir más seguros. Para saber más sobre los modelos para gerenciar la seguridad, les sugiero revisar el libro MAPS, escrito por Morella Behrens y este servidor en 2013 y actualizado en 2021. En general, el objetivo final de la gerencia de seguridad debe ser la transformación de las organizaciones (y las sociedades) en espacios más previsivos y resilientes.
Puedes bajar aquí un breve ensayo sobre Seguridad Previsiva y Resiliente:
Excelente