Una variopinta tipología de hechos delictuales que han hecho aumentar la percepción ciudadana de inseguridad, requieren de urgente atención de un trabajo mancomunado entre los entes púbicos y privados, para la creación de soluciones integrales de prevención y reacción, son necesidades urgentes que deben traspasar las fronteras políticas de intereses diversos, en pos de la entrega al país del estado de seguridad necesario para que la sociedad pueda desarrollarse normalmente. 

Consultora Sciat Facere, viene trabajando con un concepto ampliado de la seguridad. Creemos que la evolución de las posibles amenazas o disrupciones al desarrollo normal de las operaciones de una empresa o similar, deben ser enfrentadas desde diferentes aproximaciones, para lograr una visión general pero detallada de aquellas eventuales debilidades que se pueden visualizar.

En seguimiento permanente del conocimiento para mantenernos en vanguardia, SciatFacere ha desarrollado el presente artículo de análisis referido a la real eficacia de la detención de las amenazas o disrupciones en el campo de la seguridad.

Para este cometido hemos migrado a la gestión de riesgos integrales. Pero antes de explicar que es lo que entendemos por eso, pongamos un contexto. 

¿Qué antecedentes hay en Chile sobre seguridad privada?

En Chile, las Empresas de Seguridad Privada deben cumplir con una serie de requisitos estipulados en la Ley 3607 que data de 1981, además de varios Decretos anexos y sus respectivos Reglamentos de Funcionamiento.  En suma, las Directivas de Funcionamiento provenientes de los Estudios de Seguridad Privada, deben ser efectuados por una persona acreditada ante el organismo de control radicado en Carabineros de Chile, Departamento OS10. 

Sin embargo, la evolución de las amenazas y su grado de diversificación sumado a las complejidades de la realidad de la seguridad ciudadana obligan a rediseñar su visión, algo que en nuestro país se encuentra pendiente, con un proyecto de Ley de Seguridad Privada, actualmente en trámite legislativo. 

¿Qué problemas hay en Chile relacionados con la seguridad privada?

Asaltos con una fuerte componente agresiva y con el uso de armas de diferente calibre y poderío, modalidades delictuales importadas, aumento de mafias relacionadas con el narcotráfico, trata de personas, joyas de procedencia ilegal y una variopinta tipología de hechos delictuales que han hecho aumentar la percepción ciudadana de inseguridad, requieren de urgente atención de un trabajo mancomunado entre los entes púbicos y privados, para la creación de soluciones integrales de prevención y reacción, son necesidades urgentes que deben traspasar las fronteras políticas de intereses diversos, en pos de la entrega al país del estado de seguridad necesario para que la sociedad pueda desarrollarse normalmente. 

Estudio de caso; Estados Unidos

Las visiones de países como Estados Unidos, nos llevan a comprender que la seguridad privada en conjunto con la pública deben necesariamente aumentar su enfoque holístico. 

La ONG ASIS Internacional cuya misión publicada en su página web es “la organización líder para profesionales de seguridad a nivel mundial que reúne a más de 38,000 miembros, con presencia en los 5 continentes y con más de 250 capítulos. Fundada en 1955, ASIS está dedicada a incrementar la efectividad y productividad de los profesionales de la seguridad por medio de programas de desarrollo educacional, materiales y recursos enfocados a seguridad, a fin de alcanzar la excelencia de sus servicios”.

ASIS es todo un referente global respecto a la permanente búsqueda de la mayor eficacia de los sistemas y diseños de seguridad, estando presentes en nuestro país, a través del Capítulo Chileno numerado 233. Una variedad de expertos ligados a la seguridad privada nacional se encuentra dentro de su nómina y cada año aumentan más las certificaciones que ASIS ofrece a sus asociados. 

Un informe integral: ONTIC

ASIS International publicó el 17 de agosto del 2022, un artículo que llama a la preocupación por la necesaria actualización de las formas de enfrentar las amenazas. En efecto, la Organización hace referencia a un estudio efectuado por la Consultora ONTIC (Center for Protective Intelligence) quienes se definen como “un equipo global de expertos de seguridad y tecnología dedicados a transformar la seguridad física” que menciona en su párrafo introductorio que “Las amenazas a las organizaciones del sector privado abundan, agravadas por los persistentes problemas políticos, sociales y económicos, pero las empresas estadounidenses no están a la altura. A finales de 2022, el 26% de los ejecutivos de las empresas estadounidenses prevén que pasarán por alto al menos el 51% de las amenazas, y otro 31% cree que pasarán por alto entre el 26% y el 50% de las amenazas antes de que causen daños o perjuicios…”

A continuación, reproducimos íntegramente las conclusiones del último informe ONTIC:

“1era Conclusión

La evaluación y la gestión de las amenazas son fundamentales, pero no está claro qué departamento toma la iniciativa.

Aunque todos coinciden en que la identificación de comportamientos preocupantes, la obtención de que puede haber una amenaza en el horizonte, hacer una evaluación y tomar medidas para mitigar dichas amenazas es muy importante, hay diferencias en cuanto a quién tiene o debe tener la responsabilidad principal de la evaluación de las amenazas en las empresas. Esto podría dar lugar a una mayor confusión en la investigación, evaluación y planificación de las amenazas.

2da Conclusión

Las amenazas son vastas, crecientes, implacables y no serán detectadas

En los próximos seis meses, se prevé que se pase por alto un número significativo de amenazas en empresas estadounidenses. Casi un tercio prevé que no será capaz de identificar entre el 1 y el 25% de las amenazas antes de que causen daños, de las amenazas antes de que causen daños o perjuicios, cerca de un tercio prevé no detectar entre el 26% y el 50% y más de una cuarta parte prevé no detectar el 51% o más.

3era Conclusión 

Las amenazas para las empresas se definen de muchas maneras, no sólo eventos que comprometen la seguridad de las TI y de la red.

Las amenazas abarcan acciones hostiles escritas, verbales o físicas contra otros en el trabajo, eventos que pongan en peligro el cumplimiento de las normas y leyes por parte de la empresa, los fenómenos meteorológicos extremos que afecten a la seguridad e integridad de los edificios y a las condiciones de trabajo y la retórica extrema o el discurso del odio en las redes sociales.

4ta Conclusión

Las estrategias de seguridad del “traje nuevo del emperador” y la fatiga de la violencia en el lugar de trabajo prevalecen.

El concepto del traje nuevo del emperador se utiliza a menudo para describir una situación en la que la gente tiene miedo de criticar algo porque todo el mundo parece pensar que es bueno o importante.

Las empresas emulan un entorno seguro restando importancia a los riesgos y no han abordado el potencial de violencia en el lugar de trabajo. Muchas tienen fatiga por la violencia en el lugar de trabajo, lo que podría dar lugar a no hacer un seguimiento de las amenazas y otros comportamientos preocupantes que deberían investigarse, que deberían investigarse, evaluarse y gestionarse para reducir el riesgo.

5ta Conclusión

Los silos de comunicación y las evaluaciones de amenazas redundantes se mitigarán gracias a la tecnología de software universal.

(Los silos de comunicación son grupos de personas que se forman en las empresas. Los grupos o departamentos sólo hablan entre ellos. No tienen en cuenta los objetivos generales de la empresa).

Los silos de comunicación continúan, y diferentes departamentos evalúan la misma amenaza de forma individual, lo que aumenta la probabilidad de que se tomen decisiones de seguridad sin una información completa.

Pero las empresas estadounidenses también están consolidando activamente sus múltiples soluciones de inteligencia de amenazas de inteligencia de amenazas, monitorización y alertas en una única plataforma de software. Los datos de la encuesta muestran que no puede que el 51% o más de las amenazas que interrumpieron la continuidad de la actividad con resultado de daño o muerte en su empresa en 2022 podrían haberse evitado si la seguridad física recursos humanos, ciberseguridad y TI, y legal y de cumplimiento compartieran y vieran la misma inteligencia en una única plataforma de software.

6ta Conclusión

Las funciones centradas en las personas están en primera línea de protección y mitigación de riesgos.

Los directivos de recursos humanos son cada vez más copartícipes y responsables de la continuidad del negocio y la resiliencia. Aunque los responsables de la seguridad física, la ciberseguridad y las TI, los recursos humanos y los responsables legales, siempre necesitarán sus conocimientos especializados más profundos, el panorama de las amenazas, la adopción de la tecnología y la consolidación, significan que los muros de reticencia están cayendo con el reconocimiento de que el intercambio de datos aumenta la eficacia de todos.”

(Transcrito y traducido del 2022 Mid-Year Outlook State of Protective Intelligence Report, ONTIC)

¿Qué podemos hacer?

En la abundante literatura referida a la gestión del riesgo existente, podemos determinar la mejor fórmula para su manejo, que más nos acomode para aplicarla a nuestra empresa, negocio o cualquier emprendimiento que busque generar utilidades.

El ciclo de la Gestión de Riesgos, es asimismo muy similar su teoría y sus pasos correctamente aplicados nos entregan una ventaja muy útil al minimizar integralmente el peligro detectado.

                    Fuente: ResearchGate

El mayor riesgo de la Gestión de Riesgos

En los casos de estudio y experiencias en terreno, podemos encontrar adecuados análisis y procesos definidos, que permiten generar controles para sostener el nivel de riesgo en un nivel aceptable, según sea el caso.

Sin embargo, la vulneración reiterada al sistema de controles, nos aumenta exponencialmente. Pese a tener controles adecuados las siguientes situaciones nos llevan a sufrir escenarios no adecuados.

• El Control de un proceso que no se actualiza tras modificaciones estructurales, operativas y de toda índole de la empresa, pasa a no cumplir la función de alerta asignada y nos puede llevar a eventos no deseados.
• La ausencia de controles técnicos a los sistemas de emergencia (red incendios, generadores de respaldo) que deberían ser incluido en el proceso de control no son actualizados. Hemos visto planchetas, y hasta hojas electrónicas que llevan el control cuyo ingreso a una rutina lleva a automatizar el control con lo que se denomina “copy paste”, es decir, los operadores de control copian el mismo informe anterior por tiempos ilimitados hasta que se produce el evento. 
• La rutina bajo el concepto de “siempre ha estado así o siempre se ha hecho así” con explicaciones fuera de toda lógica de seguridad. Nos acostumbramos a ver dependencias donde existe equipo crítico abarrotadas de otras piezas o elementos que son dejados “momentáneamente en ese lugar” y olvidados permanentemente. Destacan frecuentemente en este tipo de situaciones, la acumulación de materiales inflamables y otras igualmente peligrosas.

(Abstracto tomado de Consultora SciatFacere)

Pero; ¿qué es la Gestión de Riesgos Integrales?

Muchas veces hemos escuchado o leído del concepto de seguridad integral o gestión de riesgos integral.

Toda actividad empresarial lleva implícito un riesgo. Algunas en mayor medida que otras, pero ninguna se encuentra exenta. El riesgo es parte de cualquier área de negocio, pues en cierta forma lo define y ayuda a ponerle límites.

En el plano corporativo, el riesgo se define como la incertidumbre que surge durante la consecución de un objetivo. Se trata, en esencia; de circunstancias, sucesos o eventos adversos que impiden el normal desarrollo de las actividades de una empresa y que, en general, tienen repercusiones económicas para sus responsables.

Las normas ISO (Organización Internacional de Normalización) estableció para el caso de la seguridad física, entre varias otras guías, la ISO 31000, Valor de la Gestión de Riesgos en las Organizaciones, como una medida de estandarizar los procesos definidos para un normal desarrollo de la gestión.

Esta ISO no es certificable. 

Sciat Facere en base a esta ISO construye un levantamiento cuantitativo y cualitativo en su empresa, presentándole como producto el mapa de riesgos, valoración y estado de funcionamiento. 

Nuestro trabajo termina con el Plan de Mitigación de los descubrimientos que nuestra labor detecta y diseña soluciones específicas para vuestra Organización .

Ejemplo, Gestión de Riesgos Integral para Infraestructura Crítica

Toda empresa de características de infraestructura Crítica o de seguridad de alta complejidad debe contar con una planificación de continuidad de negocios o BCP (Plan de Continuidad de Negocios) el cual debe tener consideradas las contingencias que pueden ocurrir. El llamado “what if’”  (que pasa si?) requiere de una matriz de manejo de riesgos que lleve a los correspondientes planes de mitigación.

La gestión de riesgos integral requiere la unidad de pensamiento de todos los elementos y áreas que componen nuestra empresa para poder sobrellevar un eventual evento. Todos deben participar.

Para entender mejor lo anterior, les desarrollo un riesgo que toda empresa puede eventualmente sufrir y como ello nos obliga a tener una planificación que integre todos los componentes de la organización.

El ejemplo de riesgo a evaluar que exponemos a continuación, es un corte de energía por causas externas. Ante esta eventualidad y teniendo la necesidad de seguir operando; los BCP deberán indicar los equipos que tendrán redundancia, es decir, seguir funcionando con energía otorgada por sistemas de back up, tales como UPS y generadores.

La seguridad es una de las mayores afectadas en este tipo de riesgo. Dado que el 90 por ciento de los componentes de un sistema integral de seguridad son electrónicos, la caída de la fuente de energía afecta directamente. Si poseemos sistemas de ingreso electrónicos, cámaras, y alarmas de activación por apertura indebida o no registrada, el problema es mayor. El equipo de seguridad deberá desplegarse de acuerdo con un procedimiento previamente establecido, para asegurar la continuidad de la vigilancia y control, además de asegurarse que la operación de la empresa no se detenga.

Por ello, en la fase de planificación, debemos saber cuáles sistemas deben ser sostenidos por un back up, es decir una fuente de energía secundaria o terciaria si es del caso.

Trabajando en base al concepto de seguridad integral, la planificación de ingeniería debe determinar las cargas que son críticas puesto deben seguir activas. Entre otros, debemos saber que sistemas seguirán operando, cuanto tiempo podemos sostener estos back ups para definir los niveles críticos que activarán la cadena logística para realimentar los generadores que sostendrán el sistema de emergencia hasta el restablecimiento del suministro energético normal.

El Manager de Seguridad tiene una misión fundamental en este tipo de riesgo. Debe adaptar la configuración de su recurso humano para poder suplir posibles fallas en los sistemas. Lo anterior debe ser entrenado y comprendido por todo el equipo que compone la seguridad de la Instalación.

Los sistemas de seguridad electrónicos tienden en general a resetear su funcionamiento, lo que debe ser monitoreado por la sala de control o SOC debiendo trabajar con los equipos de ingeniería electrónica para suplir algún defecto en ello.

Los detalles expuestos deben ser continuamente testeados y mantenidos con una regularidad que también debe ser incluida como parte de la planificación.

Como se puede apreciar en este esbozo de la problemática abordada en este artículo, la importancia de la seguridad vista desde una visión inserta como parte de la estructura funcional de la o las Instalaciones es primordial para una efectividad en la mitigación y respuesta ante eventos.

La matriz de manejo de riesgos de las infraestructuras críticas o de seguridad de alta complejidad requiere de la integración como he señalado de toda área integrante de la misma.

Existen variados modelos de gestión, disponibles en la web. Uno de ellos es el ESRM (Enterprise Security Risk Management) que es uno de los más completos del mercado.

Fuente: SciatFacere

Conclusiones

La gestión del riesgo en las empresas e Instituciones es primordial para la estabilidad operativa y continuidad del negocio. Para ello, existen diversas fórmulas de trabajo siendo una de ellas, la llamada ESRM por sus siglas en inglés, Enterprise Security Risk Management, que significa Manejo del Riesgo de Seguridad Empresarial.

Este proceso, consta de una serie de etapas, dentro de las cuales la identificación del riesgo que puede afectar a una Empresa, es aquella donde el asesor de seguridad junto a todas las áreas que componen la estructura del negocio, participan entregando sus puntos de vista para lograr una matriz de riesgo acotada y específica.

Existen variadas ISO que cubren casi la totalidad de las tareas posibles de encontrar en una instalación, oficina, empresa u organización. El saber aplicarlas correctamente, es la ciencia a la hora de estar absolutamente consciente de los riesgos que enfrentaremos. 

De acuerdo con lo anteriormente expresado, es de total necesidad el abordar el tema de la gestión de riesgos en forma integral, donde la seguridad es una etapa. Como también lo son otras áreas de cada negocio u organización que se determinen a través de la aplicación de las diferentes ISO que existen disponibles, para tener una real apreciación de la gestión de riesgos. 

Nuestra Consultora, posee las herramientas necesarias para generar el proceso de manejo del riesgo de su empresa, en forma ágil y dinámica, para proponer las mitigaciones que cada cliente requiera, ofreciendo todas nuestras habilidades. Estamos preparados para recibir sus consultas. 

En Sciat Facere;! sabemos hacer