Las organizaciones están continuamente expuestas a una gran cantidad de amenazas en evolución, que crean una multitud de riesgos de seguridad. Los riesgos de seguridad para la empresa no han sido vistos o administrados de manera consistente a través de principios y procesos de administración de riesgos definidos. Un enfoque coherente y holístico permitirá a las organizaciones gestionar eficazmente los riesgos de seguridad y los impactos en el negocio.
Este mes la reunión mensual de ASIS presento la conferencia “Enterprise Security Risk Management: La Nueva Gran Estrategia de la Seguridad Corporativa” impartida por Lic. Rubén Fajardo, CPP, PCI, PSP y el Ing. Arturo Martínez CPP, PCI, enmarcando la práctica de Enterprise Security Risk Management (ESRM) y proporcionó una perspectiva de alto nivel de los conceptos y procesos de administración que se deben utilizar para administrar los riesgos de seguridad para y en toda la organización. Un entendimiento común de la ESRM ayudará a los profesionales y organizaciones a gestionar más eficazmente los riesgos de seguridad.
ESRM es un enfoque cíclico e iterativo para administrar todos los riesgos de seguridad en una empresa utilizando los principios establecidos de administración de riesgos.
El ESRM debe estar completamente integrado en los procesos corporativos en todos los niveles de la empresa y por todos los profesionales de riesgos de seguridad. Por lo tanto, la audiencia es cualquier persona involucrada con la identificación, comprensión y/o administración de riesgos de seguridad, que incluye:
- Líderes empresariales: los ejecutivos y gerentes de toda la organización obtendrán una mejor comprensión de las mejores prácticas aceptadas por la industria relacionadas con la administración del riesgo de seguridad empresarial.
- Profesionales de la seguridad: los profesionales de la seguridad en todos los niveles encontrarán en estos principios de ESRM un conjunto de prácticas comunes y repetibles, que ayudarán a identificar, cuantificar, priorizar y administrar el riesgo de seguridad de una manera consistente.
- Profesionales de auditoría y riesgos: este documento proporcionará un marco común de prácticas generalmente aceptadas relacionadas con la gestión de riesgos de seguridad en una empresa.
El objetivo de un programa de ESRM es crear un proceso iterativo para administrar los riesgos de seguridad en todos los aspectos de la empresa.
Un programa ESRM completamente integrado contempla:
- Evaluar continuamente TODOS los riesgos de seguridad que enfrenta la organización.
- Cuantificar y calificar las amenazas que enfrenta la organización, independientemente del vector.
- Documentar y establecer planes de mitigación.
- Identificar y documentar los procedimientos de aceptación de riesgos.
- Documentar el “apetito de riesgo” de la organización.
- Gestionar los incidentes cuando se produzcan.
- Proporcionar procedimientos de análisis de causa raíz y presentación de informes.