A medida que las organizaciones avanzan hacia 2023 y 2024, los riesgos emergentes continúan surgiendo y los equipos de seguridad deben estar preparados para responder y mitigar las posibles amenazas a las personas, las operaciones y los activos.
Las organizaciones en los Estados Unidos seguirán enfrentando un mayor riesgo de desastres naturales, como incendios forestales en el oeste, tornados en el medio oeste y huracanes en la cuenca del Atlántico.
El aumento de las pérdidas por desastres naturales se puede atribuir a muchos factores, incluido el desarrollo en regiones propensas al riesgo y el cambio climático. Las organizaciones deben estar preparadas para mitigar y responder a los riesgos naturales, incluida la redundancia, los puntos de falla limitados o la posibilidad de cambiar las operaciones.
Además, las organizaciones deben prepararse para los crecientes riesgos humanos y tecnológicos, como amenazas activas, espionaje corporativo, ataques cibernéticos, terrorismo y fallas de infraestructura.
Muchas organizaciones continúan viendo un aumento en los ataques a la infraestructura crítica que respalda las operaciones corporativas y gubernamentales. Se deben realizar esfuerzos continuos para garantizar que los riesgos se identifiquen correctamente y se tomen las medidas de mitigación adecuadas para minimizar las pérdidas potenciales.
Una postura de defensa en profundidad implementa un enfoque de seguridad en capas que combina personas, procesos y tecnología para proteger los activos. Las empresas y las entidades gubernamentales deben desarrollar un enfoque de seguridad en capas para ayudar a detectar, disuadir y responder al riesgo humano y tecnológico.
Realice una evaluación de riesgos personalizada
Si bien muchas industrias enfrentan los mismos peligros naturales debido a la geografía, los riesgos tecnológicos y humanos pueden variar ampliamente según el tipo de industria o el uso de las instalaciones.
Debido a la variedad de amenazas potenciales, los profesionales de la seguridad y los reguladores de riesgos deben modificar la forma en que realizan sus evaluaciones. Es probable que una evaluación única que no tenga en cuenta las operaciones comerciales y las amenazas específicas de la industria no brinde los resultados que los clientes necesitan para mitigar adecuadamente las posibles vulnerabilidades.
En cambio, las evaluaciones deben adaptarse a los sistemas y operaciones de la organización que se está evaluando y adoptar un enfoque de todos los riesgos.
Desarrollar una lista completa de amenazas que podrían afectar las operaciones es el primer paso para evaluar el riesgo empresarial.
Una vez que se hayan identificado inicialmente las amenazas, establecer un radio de revisión para evaluar las ubicaciones ayudará a refinar los posibles riesgos humanos y tecnológicos dentro del área operativa.
Los próximos pasos incluirán la revisión de la demografía del sitio evaluado y el entorno operativo frente a datos de código abierto y de propiedad para garantizar que todas las amenazas potenciales se identifiquen correctamente.
Siempre se recomienda una revisión in situ de seguimiento para verificar la información recopilada y garantizar que los datos de origen sean correctos.
En muchos casos, la lista inicial de amenazas potenciales identificadas por la organización no incluyó los riesgos humanos de operar dentro del radio operativo de revisión definido.
Por ejemplo, el hecho de que el operador de una instalación no identifique la infraestructura crítica (p. ej., oleoductos, subestaciones, líneas ferroviarias) o las instalaciones de materiales peligrosos (p. ej., fabricantes de productos químicos, instalaciones de almacenamiento de petróleo) que operan dentro del mismo espacio geográfico podría generar impactos potenciales en las instalaciones, incluida la necesita refugiarse en el lugar o evacuar.
Comprender el panorama general de amenazas permitirá a los equipos de seguridad desarrollar adecuadamente estrategias de mitigación para ayudar a minimizar el impacto operativo y mejorar la capacidad de restaurar las operaciones.
revisar los controles
Una vez que los evaluadores hayan identificado correctamente las amenazas, el siguiente paso es revisar los controles que tiene la organización para proteger las instalaciones y los activos.
Este paso incluye examinar las medidas para fortalecer los objetivos, los medios implementados para detectar y retrasar las amenazas potenciales y los procesos operativos para responder adecuadamente a las amenazas. Las medidas de mitigación estándar para la mayoría de las organizaciones involucran barreras físicas, tecnologías de seguridad y políticas y procedimientos de seguridad para minimizar el potencial de impactos en las instalaciones y ayudar a los ocupantes a responder adecuadamente a los incidentes.
Esta revisión adopta un enfoque equilibrado para garantizar que las operaciones previstas se puedan mantener sin comprometer la seguridad.
Los controles de seguridad física en espacios públicos o semipúblicos, como escuelas o lugares de culto, adoptan un enfoque muy diferente al de los controles de seguridad en instalaciones de acceso controlado, como centros de datos o centrales eléctricas.
Los profesionales de seguridad que realizan evaluaciones de riesgos deben considerar cómo se utilizará la instalación que se está evaluando para garantizar que los controles existentes (o los controles propuestos) funcionen correctamente. Por lo tanto, es crucial crear una plantilla de evaluación que considere el tipo de uso de las instalaciones y el público objetivo.
Los profesionales de la seguridad deben adoptar un enfoque equilibrado y realizar una investigación adecuada antes de realizar una evaluación de riesgos de las instalaciones. La creación de evaluaciones únicas para cada tipo de uso de las instalaciones producirá los mejores resultados para su organización. La consideración de todos los peligros potenciales determinará las amenazas potenciales a las que se puede enfrentar una instalación.
Una información completa y una revisión in situ de la instalación arrojarán resultados integrales y brindarán al operador de la instalación una visión holística del entorno de riesgo para desarrollar estrategias de mitigación adecuadas para minimizar las pérdidas.