• Herbert Calderón, CPP, PCI, PSP

Cuantificar el riesgo, antes de preparar métricas en seguridad


“el retorno de la inversión nos permite sustentar económicamente el programa de seguridad, dado que es la comparación del producto del sistema comparado con los gastos o inversión”



Es a veces preocupante cuando ingresamos a una instalación observar modernos sistemas de control de acceso, CCTV, con apuestos agentes de vigilancia operando el sistema, sin embargo, el problema radica en ¿Cómo?, poder saber si realmente esos sistemas están montados sobre los reales problemas o amenazas que enfrenta la organización, que les produce grandes pérdidas económicas y pérdidas en la producción, faltas laborales, fraudes, hurtos, robos sistemáticos, desastres naturales, etc.


Entonces, ¿dónde está el problema?, ¿por qué esos sistemas modernos de seguridad no advierten los problemas de fondo?


La respuesta es una sola, esos sistemas no han tomado en cuenta los riesgos porque no tienen bases o fuentes externas o internas de captación de información de los reales problemas, solamente se rigen por inspecciones físicas, reportes de vigilancia y algún otro inadecuado análisis.


Muchos profesionales con experiencia, parten de los métodos convencionales de medición o levantamiento de información, pero el tema es que esos métodos ya dejaron de ser vigentes, porque ahora los problemas internos, que antes no afectaban a la normal operación, el día de hoy si la afectan, como un acoso laboral, accidentes, fraudes, ciberdelincuencia.


Para analizar los riesgos en una empresa, se debe confeccionar los estudios de seguridad con listas de chequeo apropiadas, que permitan advertir si existe en primer término las fuentes o recursos de información. Y luego, una vez advertidas las deficiencias, analizar la información que producen.


Las etapas que tenemos que desarrollar son:


1ra Etapa: confección de listas de chequeo adecuadas, en donde se consideren preguntas acerca de las fuentes mínimas de captación de información, por ejemplo: si existen fuentes o no, si existen y funcionan o no, si existen procedimientos o no, y si funcionan o no, y demás preguntas relativas a ubicar los recursos de información. Una vez considerada la información tenemos que asignarles valores o pesos a las preguntas, y con ello podemos establecer el grado de exposición de la organización.

2da Etapa: ésta es una etapa más fina, porque con la información que se obtiene de las fuentes de la etapa 1, podemos trabajar los informes por su grado de intencionalidad, por ejemplo: intento de robo y no se culminó el hecho, síntomas de un robo en proceso, hechos exactos, todo ello estadísticamente ordenado. Adicionalmente se consideran las fallas del sistema ocasionados por las vulnerabilidades, con todo ello podemos determinar la tendencia del riesgo y recién recomendar las medidas adecuadas de seguridad y medir el resultado del tratamiento con el mismo sistema.


3ra Etapa: con el fin de calcular el retorno de lo invertido, una variable que complementa la etapa 1, es el retorno de la eficiencia del sistema, llevado a términos monetarios. En ella consideramos las pérdidas que el sistema evitó, dado el anterior daño. También se considera la variable de recuperaciones que el sistema ha confiscado, recuperado en investigaciones internas, en los controles de acceso, por ejemplo. Esto se compara con los costos del programa, en una medición semestral o anual. Con ello se genera una medición en el tiempo, en donde se observan las tendencias de mejora o no. En base a ello, se tienen argumentos para mejorar un proyecto.


4ta Etapa: la confección del plan de seguridad orientado hacia las deficiencias y riesgos asociados. Tomando en cuenta las tendencias de los problemas de la etapa 1 y 3 debemos desarrollar los programas integrales de mitigación, los cuáles serán medidos en sus resultados a través de las cuantificaciones expuestas.


Conclusiones finales:


Una vez completados los cálculos anteriores, recién en esos momentos podemos calcular todas las métricas convencionales para el seguimiento de costos, proyectos, personal, resultados, etc.


Adicionalmente, con los resultados presentados podemos mejorar, cambiar o recomendar un programa de seguridad nuevo que realmente refleje el tratamiento a las amenazas. Lo importante es observar sus resultados estadísticamente.


Finalmente, el retorno de la inversión nos permite sustentar económicamente el programa de seguridad, dado que es la comparación del producto del sistema comparado con los gastos o inversión.


© 2017 Centro de Estudios de Seguridad. Todos los Derechos Reservados

Av. El Derby 055 Centro Empresarial Cronos Torre 1 Piso 7

Tel: 511-716-2734

  • White Facebook Icon
  • White LinkedIn Icon
  • White YouTube Icon