La gestión de la seguridad es la identificación de los activos de una organización , es decir, personas, edificios, máquinas, sistemas y activos de información , seguida del desarrollo, la documentación y la implementación de políticas y procedimientos para proteger los activos.
Una organización utiliza dichos procedimientos de gestión de seguridad para la clasificación de información , la evaluación de amenazas, la evaluación de riesgos y el análisis de riesgos para identificar amenazas, categorizar activos y calificar las vulnerabilidades del sistema. [1]
La prevención de pérdidas se centra en cuáles son los activos críticos de una empresa y cómo se van a proteger. Un componente clave de la prevención de pérdidas es evaluar las amenazas potenciales para el logro exitoso del objetivo. Esto debe incluir las oportunidades potenciales que promueven el objetivo (¿por qué correr el riesgo a menos que haya una ventaja?). Equilibrar la probabilidad y el impacto, determinar e implementar medidas para minimizar o eliminar esas amenazas. [2]
La gestión de riesgos de seguridad aplica los principios de la gestión de riesgos a la gestión de amenazas de seguridad. Consiste en identificar amenazas (o causas de riesgo), evaluar la eficacia de los controles existentes para enfrentar esas amenazas, determinar las consecuencias de los riesgos, priorizar los riesgos mediante la calificación de la probabilidad y el impacto, clasificar el tipo de riesgo y seleccionar una opción de riesgo o respuesta al riesgo adecuada. En 2016, se desarrolló en los Países Bajos una norma universal para la gestión de riesgos. En 2017, se actualizó y se denominó: Norma Universal de Sistemas de Gestión de Seguridad 2017.
La primera opción que debe considerarse es la posibilidad de eliminar la existencia de una oportunidad delictiva o evitar que se cree dicha oportunidad. Cuando no se crean consideraciones o factores adicionales como resultado de esta acción que crearían un riesgo mayor. Por ejemplo, eliminar todo el flujo de efectivo de un establecimiento minorista eliminaría la oportunidad de robar el dinero, pero también eliminaría la capacidad de realizar negocios.
Para evitar o eliminar los conflictos de oportunidades delictivas con la capacidad de llevar adelante la empresa, el siguiente paso es reducir la posibilidad de pérdidas potenciales al nivel más bajo compatible con la función de la empresa. En el ejemplo anterior, la aplicación de la reducción de riesgos podría dar como resultado que la empresa mantuviera solo el efectivo suficiente para un día de operaciones.
Los bienes que quedan expuestos después de la aplicación de medidas de reducción y evitación son objeto de la dispersión de riesgos. Este es el concepto que limita la pérdida o las pérdidas potenciales al exponer al perpetrador a la probabilidad de detección y aprehensión antes de la consumación del delito mediante la aplicación de iluminación perimetral, ventanas enrejadas y sistemas de detección de intrusos . La idea es reducir el tiempo disponible para que los ladrones roben bienes y escapen sin ser aprehendidos.
Los dos métodos principales para lograr la transferencia de riesgos son asegurar los activos o aumentar los precios para cubrir la pérdida en caso de un acto delictivo. En general, cuando se han aplicado correctamente los tres primeros pasos, el costo de la transferencia de riesgos es mucho menor.
El resto de los riesgos los debe asumir la empresa como parte de su actividad. Junto con estas pérdidas aceptadas se incluyen las franquicias, que se han establecido como parte de la cobertura del seguro.