Gestión de seguridad

La gestión de la seguridad es la identificación de los activos de una organización , es decir, personas, edificios, máquinas, sistemas y activos de información , seguida del desarrollo, la documentación y la implementación de políticas y procedimientos para proteger los activos.

Una organización utiliza dichos procedimientos de gestión de seguridad para la clasificación de información , la evaluación de amenazas, la evaluación de riesgos y el análisis de riesgos para identificar amenazas, categorizar activos y calificar las vulnerabilidades del sistema. ^[1]

Prevención de pérdidas

La prevención de pérdidas se centra en cuáles son los activos críticos de una empresa y cómo se van a proteger. Un componente clave de la prevención de pérdidas es evaluar las amenazas potenciales para el logro exitoso del objetivo. Esto debe incluir las oportunidades potenciales que promueven el objetivo (¿por qué correr el riesgo a menos que haya una ventaja?). Equilibrar la probabilidad y el impacto, determinar e implementar medidas para minimizar o eliminar esas amenazas. ^[2]

Gestión de riesgos de seguridad

La gestión de riesgos de seguridad aplica los principios de la gestión de riesgos a la gestión de amenazas de seguridad. Consiste en identificar amenazas (o causas de riesgo), evaluar la eficacia de los controles existentes para enfrentar esas amenazas, determinar las consecuencias de los riesgos, priorizar los riesgos mediante la calificación de la probabilidad y el impacto, clasificar el tipo de riesgo y seleccionar una opción de riesgo o respuesta al riesgo adecuada. En 2016, se desarrolló en los Países Bajos una norma universal para la gestión de riesgos. En 2017, se actualizó y se denominó: Norma Universal de Sistemas de Gestión de Seguridad 2017.

Tipos de riesgos

Externo

• Estratégico: Competencia y demanda de los clientes.
• Operacional: Normativa, proveedores y contrato.
• Financiero: FX y crédito.
• Peligro: Desastres naturales, cibernéticos y actos criminales externos.
• Cumplimiento: Se introducen nuevos requisitos reglamentarios o legales, o se modifican los existentes, exponiendo a la organización a un riesgo de incumplimiento si no se toman medidas para garantizar el cumplimiento.

Interno

• Estratégico: I+D.
• Operacional: Sistemas y procesos (H&R, Nómina).
• Financiero: Liquidez y flujo de caja.
• Peligro: Seguridad y protección; empleados y equipos.
• Cumplimiento: Cambios concretos o potenciales en los sistemas, procesos, proveedores, etc. de una organización pueden crear exposición a un incumplimiento legal o regulatorio.

Opciones de riesgo

Evitar riesgos

La primera opción que debe considerarse es la posibilidad de eliminar la existencia de una oportunidad delictiva o evitar que se cree dicha oportunidad. Cuando no se crean consideraciones o factores adicionales como resultado de esta acción que crearían un riesgo mayor. Por ejemplo, eliminar todo el flujo de efectivo de un establecimiento minorista eliminaría la oportunidad de robar el dinero, pero también eliminaría la capacidad de realizar negocios.

Reducción de riesgos

Para evitar o eliminar los conflictos de oportunidades delictivas con la capacidad de llevar adelante la empresa, el siguiente paso es reducir la posibilidad de pérdidas potenciales al nivel más bajo compatible con la función de la empresa. En el ejemplo anterior, la aplicación de la reducción de riesgos podría dar como resultado que la empresa mantuviera solo el efectivo suficiente para un día de operaciones.

Distribución de riesgos

Los bienes que quedan expuestos después de la aplicación de medidas de reducción y evitación son objeto de la dispersión de riesgos. Este es el concepto que limita la pérdida o las pérdidas potenciales al exponer al perpetrador a la probabilidad de detección y aprehensión antes de la consumación del delito mediante la aplicación de iluminación perimetral, ventanas enrejadas y sistemas de detección de intrusos . La idea es reducir el tiempo disponible para que los ladrones roben bienes y escapen sin ser aprehendidos.

Transferencia de riesgo

Los dos métodos principales para lograr la transferencia de riesgos son asegurar los activos o aumentar los precios para cubrir la pérdida en caso de un acto delictivo. En general, cuando se han aplicado correctamente los tres primeros pasos, el costo de la transferencia de riesgos es mucho menor.

Aceptación de riesgos

El resto de los riesgos los debe asumir la empresa como parte de su actividad. Junto con estas pérdidas aceptadas se incluyen las franquicias, que se han establecido como parte de la cobertura del seguro.

Implementaciones de políticas de seguridad

Detección de intrusiones

• Dispositivo de alarma .

Control de acceso

• Cerraduras , simples o sofisticadas, como las de autenticación biométrica y las cerraduras con tarjeta llave .

Seguridad física

• Elementos ambientales (ej. montañas, árboles, etc.).
• Barricada .
• Guardias de seguridad (armados o desarmados) con dispositivos de comunicación inalámbrica (por ejemplo, radio bidireccional ).
• Iluminación de seguridad (foco, etc.).
• Cámaras de seguridad.
• Detectores de movimiento.
• Contenedores IBNS para efectivo en tránsito.

Procedimientos

• Coordinación con organismos encargados de hacer cumplir la ley .
• Gestión del fraude .
• Gestión de riesgos.
• CPTED.
• Análisis de riesgos.
• Mitigación de riesgos.
• Planificación de contingencias.

Véase también

• Gestión de alarmas
• Riesgo de TI
• Gestión de riesgos de TI
• Gestión de seguridad ITIL , un estándar de sistema de gestión de seguridad de la información basado en ISO/IEC 27001
• Seguridad física
• Prevención de pérdidas en el comercio minorista
• Seguridad
• Política de seguridad
• Modelo Gordon-Loeb para inversiones en ciberseguridad

Referencias

1. "Gestione el riesgo de seguridad de TI con un elemento humano". Dell.com . Consultado el 26 de marzo de 2012 .
2. "De la seguridad a la prevención de pérdidas, pasando por la protección de activos minoristas y la mejora de las ganancias". 7 de febrero de 2017.

Lectura adicional

• BBC NEWS | En profundidad. BBC News - Página de inicio. Web. 18 de marzo de 2011. <http://news.bbc.co.uk/2/shared/spl/hi/guides/456900/456993/html/>.
• Rattner, Daniel. "Estrategia de prevención de pérdidas y gestión de riesgos". Security Management. Northeastern University, Boston. 5 de marzo de 2010. Conferencia.
• Rattner, Daniel. "Evaluaciones de riesgos". Gestión de la seguridad. Universidad del Noreste, Boston. 15 de marzo de 2010. Conferencia.
• Rattner, Daniel. "Amenazas internas y externas". Gestión de la seguridad. Universidad del Noreste, Boston. 8 de abril de 2010. Conferencia.
• Manual de gestión de seguridad y protección de activos, POA Publishing LLC, 2003, pág. 358
• ISO 31000 Gestión de riesgos: principios y directrices, 2009, pág. 7
• Norma Universal de Sistemas de Gestión de Seguridad 2017: Requisitos y orientación para su uso, 2017, pág. 50
• Formación en gestión de seguridad y formación TSCM

•  Este artículo incorpora material de dominio público de la Norma Federal 1037C. Administración de Servicios Generales . Archivado desde el original el 22 de enero de 2022. (en apoyo de MIL-STD-188 ).