• Luis Gonzales Saponara

La importancia de las métricas de seguridad, el arte de evidenciar la calidad de un programa de segu


“No se puede gestionar aquello que no puede ser medido”



Conocí hace mucho tiempo a un “gurú” de la seguridad que inició su carrera en negocios retail y pasó por diversas empresas, incluida la gran minería, siempre en cargos de gerencia, actualmente trabaja en una marca corporativa internacional; en las distintas oportunidades que le pregunté acerca de cómo sabía él aquello que funcionaba o no al interior del sistema de seguridad se limitaba a decirme que su experiencia le indicaba cuando algo marchaba bien o no. ¿Paradójico no? Se supone que un verdadero profesional con conocimiento y experiencia no solo sabe aquello que funciona o no, en adición, lo analiza, procesa y presenta ratios que indiquen al resto de la organización si el curso de las acciones y decisiones de protección es el correcto. En tal sentido, me parece oportuno compartir con ustedes algunas reflexiones en torno a los diferentes perfiles de jefes de seguridad.


Debemos reconocer que desarrollar métricas en el área de seguridad es más complicado que en el resto de las unidades de negocio de una empresa debido a que, en la mayoría de industrias existe demasiada información relativa, los datos se manejan en forma desordenada y frecuentemente se encuentran en manos de inexpertos (esta condición es independiente de la experiencia acumulada), no es fácil ni existe la practicidad para organizarlos y extraer de ellos información relevante. Otra razón importante es que no se tiene claridad en determinar si la información obtenida será útil para alguien, considerando que deben existir métricas que indiquen: eficiencia, eficacia, mejora estratégica y cada una tiene un público diferente.


Recordemos que cualquier métrica en seguridad debe ser una relación medida entre, por lo menos, dos puntos de referencia y este resultado nos permitirá calcular cuan protegidos estamos, cual es nuestro grado de seguridad, que tan alejado o controlado tenemos el peligro y que hacer para evitarlo.


En nuestro país son cada vez menos los profesionales de seguridad que emplean métricas para comparar la eficacia de los componentes de su programa de seguridad, determinar el rendimiento de su sistema, procesos, personal, procedimientos o protocolos, las razones suelen ser variadas: desconocimiento, negligencia o confianza en los “sistemas” que han venido aplicando. Sin embargo, lo más recomendable y que genera mayores beneficios a la seguridad y por ende a la empresa, es la aplicación de métricas. A continuación, algunas ventajas de contar con métricas de seguridad en nuestra empresa:


Nos permite determinar el riesgo potencial al interior del programa de seguridad

Identificaremos problemas y revelaremos procesos o normas infringidas

Explotaremos las capacidades del sistema de seguridad

Mediremos el sistema de seguridad en relación con parámetros válidos

Exportaremos información confiable acerca del funcionamiento del programa de seguridad

Mejoraremos el rendimiento del sistema

Justificaremos la asignación de recursos al programa de seguridad


Ahora bien, uno de los mayores retos en el tema de desarrollar y presentar métricas es contagiar a la Alta Gerencia que estos datos, tendencias, rendimientos, etc. no solo son útiles en la gestión del riesgo, sino que también presentan el retorno de la inversión, así como el bono del programa de seguridad que normalmente no es cuantificado de manera directa. Por esta razón debemos preocuparnos en encuadrar los datos y mediciones de manera que aporten y sumen en el pensamiento y proceder de cada ejecutivo y colaborador de lo que significa eficacia, eficiencia y rendimiento.


Un punto sumamente importante en la elaboración y presentación de indicadores es que debemos seleccionar adecuadamente el elemento del programa de seguridad que deseamos analizar manteniendo la óptica y proyección de su función básica, vale decir: extraeremos información de seguridad física, gestión de emergencias, seguridad del personal, seguridad de la información, gestión de crisis, etc., conservando sus principios esenciales de funcionamiento, información del fabricante, comportamiento deseado, performance e información de utilidad para nuestra investigación.


El esfuerzo por desarrollar métricas debe iniciar al interior del departamento de seguridad organizando información, colectando datos de interés, clasificando la data y procesándola en documentación relevante, en este punto debemos de verificar si lo que estamos obteniendo es útil para alguien, si es de interés y si es de valor para la organización, por lo tanto el desarrollo de indicadores y métricas debe pasar por el tamiz de la planificación, la reflexión y el examen juicioso para no desperdiciar tiempo, recursos y personas en un trabajo infructuoso y endeble.


Para finalizar, debemos recordar que seguridad compite con las demás unidades del negocio por los mismos fondos y recursos limitados, las métricas de seguridad siempre proveerán información para que la Alta Gerencia analice si su inversión mejoró, si se logró reducir el grado de vulnerabilidad y principalmente si la gestión del riesgo arroja un indicador aceptable para seguir operando, siguiendo los lineamientos trazados por los objetivos estratégicos, misión y visión de la organización.


© 2017 Centro de Estudios de Seguridad. Todos los Derechos Reservados

Av. El Derby 055 Centro Empresarial Cronos Torre 1 Piso 7

Tel: 511-716-2734

  • White Facebook Icon
  • White LinkedIn Icon
  • White YouTube Icon