Uncategorized

Pasos para definir amenazas en seguridad corporativa

En ediciones anteriores he escrito sobre  el diseño de un Plan de Seguridad Física (PSF) y la forma de integrar sus componentes en un todo para mitigar el riesgo.  Del mismo modo, es importante recordar que el PSF es un sistema integrado por personas, equipos y procedimientos  para protección de activos contra amenazas.

Antes de emprender el diseño del PSF el Gerente o el Administrador de seguridad debe analizar tres aspectos fundamentales:

  • La naturaleza del negocio y sus operaciones.
  • La categorización de activos.
  • La identificación de amenazas.

Para proteger una empresa y sus activos el primer paso radica en conocer contra quien nos vamos a defender, es decir, realizar un análisis de vulnerabilidad para determinar que activos están en mayor riesgo frente a las amenazas ya identificadas. (Fisher, 2013). Basado en ése análisis, el Gerente o Administrador de la seguridad proporciona medidas necesarias para mitigar las amenazas.

businessmen-1513755_640

Cuando se habla de amenaza en seguridad física,  me refiero a actos malévolos intencionales causados por el ser humano. El PSF se diseña para lograr la máxima protección de un activo contra la intrusión humana en áreas no permitidas.

La posibilidad de que criminales o terroristas traten de robar bienes o información, sabotear instalaciones, extorsionar o secuestrar una persona o cometer cualquier otra actividad delictiva en instalaciones públicas y/o privadas crea problemas para la protección de activos. Es decir, la diversidad de amenazas que existen hoy día, amerita que el diseño del PSF establezca un programa complejo para hacer algunas suposiciones sobre las intenciones y capacidades  de adversarios percibidos por el Gerente o Administrador de seguridad. El nivel de rendimiento del PSF depende directamente de la definición de la amenaza. Suponer implica determinar o idear ciertos patrones conductuales que el adversario pueda realizar para vulnerar el PSF.

Para (García 2012), la metodología para identificar  amenazas consta de tres partes:

  1. Listado de información necesaria para definir la amenaza.
  2. Recolección de información sobre la amenaza.
  3. Organización de toda la información recogida para hacerla utilizable.

.- Listado informativo

Antes de gastar tiempo en recolectar información desechable, el personal de seguridad debe decidir el  tipo de información  necesaria para definir una amenaza. La lista puede incluir:

.- Motivación

.- Tácticas.

.-Número de integrantes y capacidades.

.- Metas y objetivos.

La definición de amenaza debe incluir una descripción del adversario. (García 2012), caracteriza los adversarios en tres grupos: Internos, externos, y conjuntos.

.- Recolección de información 

office-594132_640Un entorno específico proporciona información específica sobre una amenaza. En este sentido, deben considerarse las condiciones fuera y dentro de las instalaciones. Las condiciones externas de las instalaciones, tales como la actitud general de la comunidad, un entorno rural o urbano, la presencia de bandas delictivas por la zona o estadísticas de seguridad proporcionan información sobre el tipo de amenazas a enfrentar. Las condiciones internas como fuerza de trabajo, temas laborales, políticas de relaciones laborales, relaciones públicas, camaradería, entre otros también proporciona información sobre el adversario. El Gerente o Responsable de seguridad debe evaluar ambos entornos para forjarse el mejor juicio posible al momento de definir y clasificar la amenaza. Una amenaza externa muchas veces requiere una defensa muy distinta a una interna y/o viceversa.

Para determinar la amenaza, se recomienda buscar información internacional, nacional y regional, dependiendo de la ubicación e importancia de la instalación. Algunas fuentes para este tipo de información incluyen:

  • Fuentes de inteligencia abiertas y cerradas.
  • Análisis de estudios criminales.
  • Servicios de empresas y/u organizaciones profesionales en el tema.
  • Directivas y legislaciones gubernamentales.

.- Organizar la información

organization-1205171_640Una vez recopilada toda la información sobre la amenaza es necesario organizarla de manera que sea utilizable. Es recomendable que el Gerente y/o Administrador de seguridad indexe la información bajo matrices que identifiquen causas y consecuencias. Por ejemplo, existen tablas o matrices de riesgo que dividen al adversarios externos en tres grupos: Terroristas, criminales y extremistas. Posteriormente, para cada grupo se proporciona evaluaciones de la posibilidad de ataques como robos, sabotaje o algún otro evento. Las evaluaciones se juzgan cualitativamente con respecto al nivel de  probabilidad y consecuencia del ataque: Alto, medio o bajo.

De igual forma se debe evaluar  la motivación del adversario. Por ejemplo, una pequeña empresa  es un objetivo más deseado para un criminal común que para una organización extremista, por la magnitud y alcance del objetivo. Por último, se recomienda tabular las capacidades de cada amenaza según la información recolectada. Capacidades más altas deben ser ubicadas en la parte superior del cuadro por ser las más letales.

noticia
Previous post

12Ago2016.- BRASIL: Sospechosos de ataque terrorista en las olimpiadas son arrestados

noticia
Next post

12Ago2016.- VENEZUELA: Se reapertura temporalmente frontera con Colombia

Carlos Morales

Carlos Morales

Carlos Morales es el fundador y director ejecutivo de Strategies Consulting CA. El conduce la estrategia global de negocios de la empresa, además de proyectar los servicios a empresas y organizaciones a nivel nacional e internacional. También supervisa la eficiencia financiera y operativa de Strategies Consulting CA, el desarrollo de soluciones para la seguridad, la innovación de productos; además del crecimiento y las relaciones estratégicas con los clientes

No Comment

Leave a reply