Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
7 mejores prácticas para realizar una evaluación válida de los riesgos de seguridad
Los riesgos de seguridad son una realidad para todas las organizaciones, independientemente de su tamaño, sector o ubicación. Descuidar la identificación, consideración, evaluación o mitigación de los riesgos de seguridad puede tener graves consecuencias en caso de que se produzca un evento de riesgo y resulte en daños a las personas, la propiedad, la información o la reputación. Ya sea por motivos de cumplimiento, deber de diligencia o deseo de protección, realizar una evaluación de riesgos es un paso necesario para todas las organizaciones.
Sin embargo, las evaluaciones de riesgos no son iguales. Basándonos en años de experiencia revisando evaluaciones de equipos internos, consultores externos, organismos gubernamentales e incluso voluntarios, hemos identificado siete prácticas esenciales que distinguen una evaluación de riesgos válida y aplicable de otra que se queda corta.
- Consultar a una amplia gama de partes interesadas: Una evaluación de riesgos adecuada debe comprender las prioridades y operaciones de la organización, identificar sus activos críticos, considerar los eventos de seguridad pasados y determinar los riesgos probables para la organización. Para abordar estas áreas se necesitan múltiples partes interesadas con diferentes antecedentes. En general, hay que consultar con los departamentos de operaciones, personal de cara al público, recursos humanos, seguridad, salud y protección, jurídico, tecnologías de la información y otras personas con memoria institucional de la organización. Estas partes interesadas aportan diferentes perspectivas, pueden identificar activos críticos y comprender las operaciones cotidianas.
- Considerar tanto la coherencia como la previsibilidad: Los casos de responsabilidad en materia de seguridad suelen depender de la capacidad de la organización para proporcionar medidas de seguridad coherentes y tener en cuenta la previsibilidad de los riesgos. La coherencia suele centrarse en garantizar cierto nivel de medidas de seguridad similares en sitios similares. Por ejemplo, si una ubicación tiene varias capas de medidas de seguridad, pero otra similar no tiene ninguna, se trata de un problema de coherencia. La previsibilidad se refiere a los riesgos que una organización corre o correrá en el futuro. La previsibilidad no se refiere simplemente a lo que ha afectado a la organización, sino a lo que ha afectado a organizaciones similares o a organizaciones de zonas geográficas o sectores similares.
- Comprender los riesgos específicos de cada sector: Los distintos sectores pueden tener riesgos diferentes en función de sus operaciones, equipos in situ, zonas geográficas y normativas. Algunos sectores también exigen o recomiendan metodologías específicas de evaluación de riesgos, como la American Water Works Association (AWWA) J100, la norma ANSI/API Security Risk Assessments Standard 780 del American Petroleum Institute (API) y la norma CIP-014-2 de la Federal Energy Regulations Commission, por citar algunas. Es fundamental que las organizaciones comprendan las metodologías de evaluación de riesgos obligatorias y las mejores prácticas para las evaluaciones de riesgos en su sector.
- Utilizar una metodología reputada y repetible: Aunque el sector no disponga de una metodología recomendada, ésta debe proceder de una fuente reputada y ser repetible, lo que significa que otro experto podría utilizar la metodología para llegar a conclusiones similares (basándose en la información disponible en ese momento). Para las organizaciones sin una metodología sectorial específica, considere la Norma de Evaluación de Riesgos de Seguridad de ASIS International (ASIS SRA 2024). Dado que las Normas y Directrices de ASIS International están certificadas por la Ley de Seguridad, esto puede disminuir la labilidad de una organización en caso de atentado terrorista.
- Documentar la justificación utilizada para la toma de decisiones: Las evaluaciones de riesgos deben estar bien documentadas y conservarse, de modo que la organización pueda justificar su toma de decisiones, revisar las evaluaciones de riesgos tras un incidente o después de un periodo de tiempo específico, y ajustar las evaluaciones de riesgos en función de los cambios en la huella, las operaciones o la misión de la organización, así como de los cambios en las condiciones externas.
- Estar dirigido por un evaluador de riesgos de seguridad con experiencia: Aunque no es necesario que todos los miembros de un equipo de evaluación de riesgos tengan mucha experiencia en evaluaciones de riesgos, el equipo debe estar dirigido por un experto que haya realizado evaluaciones de riesgos de seguridad en el pasado, que tenga experiencia en el sector de la organización y que sea considerado un experto entre sus colegas en función de sus cualificaciones, certificaciones y credenciales. Las evaluaciones de riesgos más defendibles son las realizadas por un equipo multidisciplinar de evaluadores de riesgos experimentados.
- Realizarse con objetividad: Las organizaciones pueden tener que demostrar que su evaluación de riesgos no sólo fue realizada por un equipo de expertos, sino también preparada con objetividad. Las partes interesadas pueden influir indebidamente en el proceso de evaluación de riesgos de seguridad para limitar los gastos derivados de la seguridad, seleccionar las herramientas o proveedores de seguridad preferidos o llegar a conclusiones que no incomoden a la organización. Si el resultado de una evaluación de riesgos ha sido manipulado, no sólo supone un riesgo adicional para las personas y los activos de la organización, sino que también pone en tela de juicio las medidas de seguridad seleccionadas o pasadas por alto.
El mensaje clave es que las organizaciones pueden realizar evaluaciones de riesgos internamente en las condiciones y con el apoyo adecuados. Las organizaciones también pueden recurrir a expertos que realicen evaluaciones de riesgos de seguridad a diario. Asegúrese de que, cuando su organización invierta tiempo y recursos en realizar una evaluación de riesgos de seguridad, tenga en cuenta las necesidades y operaciones de la organización, sea razonable desde el punto de vista de la responsabilidad y se ajuste a las mejores prácticas de seguridad.
En última instancia, las evaluaciones de riesgos de seguridad no son sólo una casilla de verificación reglamentaria, sino un componente crítico de la protección de las personas, las operaciones y la reputación de una organización. Para que sean realmente eficaces, deben abordarse con la experiencia, la metodología y la objetividad adecuadas. Aunque algunas organizaciones pueden tener recursos internos para apoyar este esfuerzo, las evaluaciones más fiables y defendibles suelen estar dirigidas por consultores de seguridad independientes especializados en este trabajo. Estos expertos no sólo aportan una profunda experiencia, sino también una perspectiva imparcial y un conocimiento actualizado de las amenazas en evolución y las mejores prácticas. Cuando se trata de proteger lo más importante, asociarse con los profesionales adecuados marca la diferencia.
Angela Osborne CPP, PSP, PCI
Vicepresidente de Soluciones de Gestión de Riesgos y Emergencias
Angela J. Osborne, PCI, PSP, CPP está especializada en planificación de la gestión de emergencias, evaluaciones de riesgos para la seguridad y evaluaciones de la seguridad física. Ha trabajado con clientes de diversos sectores, como el educativo, gubernamental, sanitario, jurídico, energético, manufacturero e inmobiliario comercial.
Línea directa SBCOakland County AARMAGELLAN Monitorship