El proyecto es el desarrollo y despliegue de un modelo para la Gestión Integral del Riesgo y las Seguridades (prevención + protección) basado en una metodología de planificación, desarrollo y gestión de aplicación específica.
Un modelo Integrado, que contemple el catálogo de riesgos más amplio y transversal, con flujos de información interdepartamentales y sostenible de seguridad, con el objetivo de proporcionar una serie de herramientas y soluciones en sus diferentes posibilidades, en forma de aplicaciones tanto documentales como procedimentales.
Un modelo de recursos integrales e integrados, con el objetivo de que los Departamentos de Seguridad sean más de gestión global y resilientes, proyectando una mayor eficacia, sostenibilidad y viabilidad económica.
Veamos esquemáticamente la realidad de nuestro proyecto de establecer un Decálogo de objetivos y acciones a acometer en materia de seguridad en los distintos sectores o áreas de actividad:
AUDITORÍA DE SEGURIDAD
Desarrollo de un esquema de auditoría para las organizaciones, un modelo de realización de los Informes previos y las pruebas necesarias para conocer el estado actualizado de la gestión del riesgo y sus seguridades física y lógica, para preparar a la organización para acometer acciones de respuesta, actuación y resiliencia.
POLÍTICA DE SEGURIDAD Y CULTURA DE SEGURIDAD
Disposición de herramientas y protocolos para la elaboración de la Política General de Seguridad de la organización y de su marco de gobierno, para garantizar la protección integral e integrada del conjunto de activos, instalaciones o sistemas de su propiedad o bajo su gestión, así como para la implementación de una cultura de seguridad.
IDENTIFICACIÓN, CLASIFICACIÓN Y EVALUACIÓN DEL RIESGO
Identificar áreas de especial sensibilidad o preocupación y establecimiento de un proceso de desarrollo de perfiles de riesgo para los activos de información, activos e instalaciones, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).
Igualmente, se completará este capítulo con la identificación, análisis y evaluación de las correspondientes vulnerabilidades derivadas del entorno, ubicación y diseño de todas y cada una de las infraestructuras de la organización.
APLICACIÓN Y MONITORIZACIÓN DE LA GESTIÓN DEL RIESGO
Desarrollo de la plataforma para la identificación, clasificación y evaluación de riesgos, amenazas y vulnerabilidades para la infraestructura e instalaciones de la organización, basada en diferentes estándares como la Norma ISO/IEC 31000 y normativas específicas de aplicación, con el aprovechamiento y la adaptación a las instituciones de las experiencias en la seguridad en entornos corporativos.
IDENTIFICACIÓN DE ESCENARIOS DE AMENAZA
Identificación de escenarios de especial amenaza y vulnerabilidad en áreas de preocupación o sensibles extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el capítulo anterior.
DISEÑO DE MEDIDAS Y PLANTEAMIENTO DE LAS SEGURIDADES
Evaluación, aplicaciones y criterios para la selección e implantación de tecnologías específicas, protocolos, procedimientos y medios de protección, tanto de Seguridad Física y Operativa como de Seguridad Lógica, para alcanzar el nivel de prevención y protección requerido en la organización.
PLANES DE SEGURIDAD
Elaboración de los planes que preparen a la organización para la respuesta ante incidentes o ataques que puedan provocar una alteración o parada en sus actividades, mejorando la gestión de crisis, contingencia y continuidad, así como su correspondiente programa de implantación, mantenimiento y actualización.
Establecimiento de programas de seguimiento y actualización de los planes estratégico, operativos y de contingencia.
MONITORIZACIÓN, CONTROL Y SEGUIMIENTO
Diseño e implementación de las bases del conjunto de políticas para la Seguridad en la organización conforme a la norma ISO/IEC 27001 y otras de aplicación para: diseño, implantación y mantenimiento de procesos para gestionar y asegurar eficientemente la confidencialidad, integridad y disponibilidad de los activos, minimizando a la vez los riesgos de la Seguridad Lógica o Ciberseguridad.
CONCIENCIACIÓN, FORMACIÓN Y COMUNICACIÓN
Herramientas para la implementación de un sistema y programas de Concienciación y Formación específica en Seguridad y Gestión del Riesgo, de todos los empleados de la organización desde directivos hasta operativos, así como la obtención, en caso necesario, de las correspondientes habilitaciones de Seguridad por la autoridad competente.
La formación y la gestión del tiempo de los diferentes empleados y perfiles de la organización y la gestión de la comunicación también son clave.
Establecimiento de los programas y procedimientos de Comunicación interna y externa para la prevención, protección y resiliencia.
LEGISLACIÓN Y NORMATIVA
Modelo para la determinación y monitorización de cumplimiento del marco normativo y legislativo que sea de aplicación, así como evaluación de la conveniencia de implementación y aplicación en la organización de normativas específicas como la Ley de Seguridad Privada, la Ley NIS (Ciberseguridad), la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad (ENS), el Reglamento General de Protección de Datos (RGPD), la Ley de Prevención de Riesgos Laborales, etc. para alinear a la organización con su correspondiente cadena de valor.
En resumen, en planteamiento esquemático de este Decálogo de objetivos y acciones a acometer en materia de la Gestión Integral del Riesgo y las Seguridades, en los distintos sectores o áreas de actividad, es un nuevo planteamiento y redefinición y, sin duda, una nueva oportunidad para avanzar en la Seguridad Global de un mundo de retos colectivos y futuro incierto, con necesidad de entender las nuevas dinámicas sociales, económicas, energéticas y tecnológicas para propiciar el desarrollo de ese amplio concepto de la nueva seguridad global que va a estar presente de ahora en adelante.
Implementar y adoptar una gestión integral del riesgo con estrategias robustas de reducción de las amenazas, además de ser es una inversión proactiva para la resiliencia, ofrece una serie de ventajas para las organizaciones como son: la reducción de las interrupciones, la mejora en la toma de decisiones, el ahorro de costes, la mejora de la eficacia y la mejora de la garantía reputacional y la continuidad del funcionamiento.
Los números son de Peggy und Marco Lachmann-Anke en Pixabay