DTR010 Estrategias para la administración de Riesgos

Downloadable PDF Resources

  1. English
  2. English/Spanish
  3. English/Russian

This module will take you through Estrategias para la administración de Riesgos.

  1. Introducción
  2. Etapa 1: La Evaluación De Riesgos
  3. Etapa 2: El Control de Riesgo
  4. Etapa 3: Planificación de Contingencia
  5. Resumen
  6. Puntos Principales

 

La información contenida en este documento hace parte del programa Deltar
‘Nivel 4 Curso de Gestión Avanzada de Riesgos y Crisis’

Introducción

Para cualquier director de seguridad, sea cual sea su papel y sea cual sea el tamaño de la operación del cual son responsables, existen tres problemas fundamentales de los cuales ellos se ocuparán, y es probable que la gran mayoría de su trabajo diario pueda ser clasificado claramente en una de esas tres categorías.

El primer problema es, “cuáles son los problemas de los cuales necesito ocuparme?”. El segundo problema es, “Que debe hacer yo sobre esto?”, y la tercera pregunta es, “qué debo hacer si sale algo mal?”. Para poner esto en términos más técnicos, nosotros estamos hablando de la evaluación de riesgos, control de riesgo y finalmente un plan de contingencia. Este módulo introduce estos tres conceptos básicos, y muestra cómo actuar como fundación para todos los manejos de operaciones de seguridad.

Introduction

For any security manager, whatever their role and whatever the size of operation that they are responsible for, there are three fundamental issues that they will be dealing with, and it is likely that the vast majority of their daily work can be clearly classified as belonging in one of those three categories.

The first issue is, ‘What are the problems that I need to deal with?’. The second issue is, ‘What should I do about it?’, and the third question is, ‘What do I do if something goes wrong?’. To put this into more technical terms, we are talking about Risk Assessment, Risk Control and finally Contingency Planning. This module introduces these three basic concepts, and shows how they act as the foundation for all security management operations.

Etapa 1: La Evaluación De Riesgos

El propósito de la evaluación de riesgos es tomar todos los millares de riesgos posibles o potenciales que puedan ocurrir, y darles una cierta clase de valor comparativo. Esto permitirá que decidamos cuáles de ellos son más serios, y cuales necesitan de ser manejados activamente. La verdad es que si tomamos cualquier simple situación como: caminando de nuestro hogar a la estación de tren, o entregando un paquete de su almacén a un cliente, por ejemplo hay literalmente centenares de escenarios posibles que se podrían considerar como riesgos, la calle que está cerrada o del metro de transporte que tiene interrupciones, hasta teniendo un tobillo torcido o siendo asaltado, y en un fuerte atentado terrorista.

Como un ejemplo, una evaluación de riesgos realizada en una fábrica pudo identificar amenazas posibles realistas tales como trabajadores que robaban mercancías; una avería eléctrica que pararía la cadena de producción; un agujero en la valla que rodea la fábrica; una llamada por teléfono con amenaza de bomba; actividad sospechosa fuera del portón principal; un atentado terrorista importante en alguna parte cerca, pero que llevaría a la policía a poner un cordón de seguridad alrededor de la fábrica de modo que nadie pudiera entrar, o una avería en el sistema del control de acceso.

Esta es la primera fase de una evaluación de riesgos, en que hemos identificado amenazas potenciales. Sin embargo, esta es solamente la primera parte del proceso, porque entonces necesitamos una manera de ponerlas en una cierta clase de orden.

La manera aceptada de hacer esto es crear una matriz del riesgo, sobre la base de dos medidas: Probabilidad (la probabilidad de un evento que ocurre) e impacto (la interrupción que el evento tendría en nuestras operaciones si ocurre). Ambas medidas pueden extenderse de impacto del punto bajo (inverosímil, bajo) al alto (muy probablemente, de alto impacto).

Usando este sistema, podemos dar a diversas amenazas diversos valores basados en combinaciones diferentes de probabilidad y de impacto. Estas se pueden analizar en cinco secciones:

La matriz del riesgo se ha dividido en cinco zonas distintas de riesgo, sobre la base de los valores de la probabilidad/impacto. Cada uno de estas áreas identifica una diversa clase de problemas, que requerirían diferentes formas de soluciones.

Stage 1: Risk Assessment

The purpose of the Risk Assessment is to take all of the thousands of possible or potential risks that might occur, and to give them some kind of comparative value. This will allow us to decide which of them is more serious, and which need to be actively managed. The truth is, that if we take any simple situation – walking from our home to the train station, or delivering a package from your warehouse to a client, for example – there are literally hundreds of possible scenarios that could be considered as risks, from the road being closed or the tube being disrupted, to a twisted ankle or being mugged, and on to a major terrorist attack.

As an example, a risk assessment carried out in a factory might identify realistic possible threats such as workers stealing goods; an electrical breakdown that would stop the production line; a hole in the fence; a phoned-in bomb threat; suspicious activity outside the main gate; a major terrorist attack somewhere nearby, but which would lead to the police putting a cordon around our factory so that no-one could get in, or a breakdown in the access control system.

This is the first stage of a Risk Assessment, in that we have Identified Potential Threats. However, that is only the first part of the process, because we then need a way of putting them into some sort of order.

The accepted way of doing this is to create a Risk Matrix, based on two measures: Likelihood (the likelihood of an event occurring) and Impact (the disruption that event would have on our operations if it did occur). Both of these measures can range from Low (unlikely, low impact) to High (very likely, high impact).

By using this system, we can give different threats different values based on diffeent combinations of Likelihood and Impact. These can be broken down into five sections:

The Risk Matrix has been divided into five distinct Risk Zones, based on the Likelihood / Impact values. Each of these areas would identify a different class of problems, which would require different forms of solutions.

Etapa 2: El Control de Riesgo

El propósito del control de riesgo es minimizar la probabilidad de cualquier evento indeseado identificado que ocurre, y minimizar el impacto de cualquier evento indeseado que ocurra.

Una vez que hemos identificado los riesgos y les hemos dado un valor comparativo del riesgo, podemos entonces identificar esos riesgos que se puedan manejar lo más fácilmente posible a través de nuestros sistemas de seguridad. Por ejemplo, si hemos identificado que la falta de control de acceso significa que la gente desautorizada está caminando alrededor de nuestras instalaciones, la introducción de un mostrador de recepción y/o de un sistema de teléfono de entrada podría ser una manera de solucionar ese problema.

Para asegurarse de que las medidas de control sean más eficaces y puestas en sitio, cada amenaza identificada debe llevar a la introducción de un protocolo específico de seguridad / procedimiento.

Por ejemplo, si usted está trabajando en una situación donde la posibilidad de un paquete o carta bomba se considera más que normal, esto sería identificada durante el proceso de la evaluación de riesgos. Como parte de sus medidas de control del riesgo, usted entonces desarrollaría protocolos de seguridad específicos para maximizar la probabilidad de identificar un paquete bomba, y para minimizar el efecto si cualquier paquete/carta bomba pudiera ser enviada. Esto pudo implicar poner todo el correo entrante en una ubicación separada lejos de las oficinas principales. Usted puede también que se haya asegurado de que toda la sala de correo y personal de la recepción tengan un entrenamiento específico para enseñarles a cómo identificar los paquetes sospechosos y qué hacer si encontraran uno. (El personal de la recepción también necesita tener el entrenamiento en caso de que alguien entregara un paquete sospechoso, o ellos mismos con la contratación de una de las principales compañías logísticas).

Si un paquete sospechoso fue encontrado, usted podría entonces aislar el área mientras que llama un equipo de la policía especializada. Como esta fue identificada como amenaza potencial de alta-probabilidad durante su evaluación de riesgos, usted debe haber desarrollado buenas relaciones con las unidades policiales, que serían conscientes de la amenaza y bien pueden haber participado en ejercicios mutuos con su personal para responder ante un paquete sospechoso. Todas estas acciones serían desarrolladas en respuesta a la identificación inicial de una amenaza de alto impacto.

Ha habido varios ejemplos de paquetes/letras bombas en el Reino Unido, y una compañía pudo ser blanco porque está trabajando en la industria farmacéutica, o puede ser asociada con políticos o con asuntos nacionales que aumenten la probabilidad de un ataque. En 2007, una sola persona envió siete cartas bombas en el Reino Unido a las compañías asociadas con DNA pruebas y a diversas organizaciones de tráfico. El frente de liberación animal también ha utilizado letras bombas, como también organizaciones árabes que apuntan a blancos judíos e israelíes, así como los periódicos de lengua Árabe en el Reino Unido.

Las primeras dos etapas de cualquier programa de manejo de riesgos, nombrados como evaluación de riesgos y control de riesgos, están diseñados para prevenir la ocurrencia de un incidente. La tercera etapa, planificación de contingencia, le prepara para reaccionar y para responder tan eficazmente como sea posible cuando sucede algo. En algunos modelos de gestión de riesgos Americanos, la diferencia entre la evaluación de riesgos y las etapas dinámicas del control de riesgo, y la etapa reactiva de la planificación de contingencia se describe como “A la izquierda de la explosión” y “A la derecha de la explosión”.

Stage 2: Risk Control

The purpose of Risk Control is to minimise the likelihood of any identified unwanted event occuring, and minimise the impact of any unwanted event that does occur.

Once we have identified the risks and given them a Comparative Risk Value, we can then identify those risks that can be most easily managed through our security systems. For example, if we have identified that the lack of access control means that unauthorised people are walking around our premises, the introduction of a Reception Desk and / or an entry-phone system could be one way of solving that problem.

In order to ensure that the most effective Risk Control measures are put in place, each identified threat should lead to the introduction of a specific Security Protocol / Procedure.

For example, if you are working in a situation where the possibility of a parcel or letter bomb is considered greater than normal, this would be identified during the risk assessment process. As part of your risk control measures, you would then develop specific security protocols to maximise the likelihood of identifying a letter-bomb, and to minimise the effect if any letter bomb that might be sent. This might involve screening all incoming mail at a separate location away from the main offices. You might also have ensured that all mail-room and reception staff had undergone specific training to teach them how to identify suspicious packages and what to do if they were found. (Reception staff would also ned to undergo the training in case someone hand-delivered a suspicious package, either themselves or using one of the major logistical companies).

If a suspicious package was found, you could then isolate the area whilst a specialist police team was called. As this was identified as a high-likelihood potential threat during your Risk Assessment , you should have developed good relationships with the police units, who would be aware of the threat and may well have taken part in joint-exercises with your staff to respond to a suspect package. All of these actions would be developed in response to the initial identification of a high-impact threat.

There have been a number of examples of letter bombs in the UK, and a company might be targeted because it is working in the pharmaceutical industry, or it may be associated with political or national issues that increase the likelihood of attack. In 2007, a single person sent seven letter bombs in the UK to companies associated with DNA testing and various traffic organisations. The Animal Liberation Front have also used letter bombs, as have Arabic organisations targeting both Jewish and Israeli targets, as well as Arab-language newspapers in the UK.

The first two stages of any risk management programme, namely Risk Assessment and Risk Control, are designed to prevent an incident occuring. The third stage, Contingency Planning, prepares you to react and respond as effectively as possible when something does happen. In some American risk management models, the difference between the proactive Risk Assessment and Risk Control stages, and the reactive Contingency Planning stage is described as ’Left of Bang’ and ‘Right of Bang’.

Etapa 3: Planificación de Contingencia

El propósito de la planificación de contingencia es permitir que el equipo de seguridad recupere el control de la situación, y volver a una situación operativa normal, tan rápidamente y con eficacia como sea posible.

Una vez que un incidente ha ocurrido, está claro que tendrá un impacto negativo en el funcionamiento normal de la operación, ya sea que alguien olvida la llave de la puerta delantera, originara interrupción en la cadena de suministro normal – o una tubería de agua que estalla en la oficina arriba, e inunda completamente la sala de control. Esto es exactamente lo que sucedió en la sala de control principal de la policía momentos antes de las Olimpiadas de Londres….

Algunos de los problemas son resueltos “A la derecha de la explosión” estas situaciones serán explicadas más detalladamente en el módulo de manejo de crisis, pero es de mérito observar que cuando sale mal algo, su solución consistirá en casi ciertamente una mezcla de opciones pre planeadas y las respuestas que usted ha ya creado “en el camino”. Mientras que la naturaleza del problema se pone más clara, y usted recopila más información, la eficacia de la preparación del pre-incidente comenzará a hacer efecto.

La efectividad del manejo de crisis es basada en la habilidad de cómo manejar la transferencia de información alrededor de un número de diferentes de partes interesadas, tomar decisiones bajo presión, despliegue de equipos y después recibir información desde ellos una vez que han evaluado la situación ellos mismos. Hay también la necesidad de tratar consecuencias secundarias, es decir, efectos colaterales del problema inicial que entre ellos mismos se convierte en problemas para su equipo manejador de incidentes.

La capacidad para responder eficazmente ante un evento inesperado es, en gran medida, la última prueba de una eficacia para los directores de seguridad.

Stage 3: Contingency Planning

The purpose of Contingency Planning is to allow the security team to regain control of the situation, and return to to normal operational status, as quickly and effectively as possible.

One an incident has occurred, it is clear that it will have a negative impact on the normal running of the operation, whether it is someone forgetting the key to the front gate, disruption of your normal supply chain – or a water-pipe bursting in the office above, and flooding your whole control room. This is exactly what happened at the main police control room just before the London Olympics….

Some of the issues involved in responding to a ‘Right of Bang’ situation will be covered in more detail in the Crisis Management module, but it is worthwhile noting that when something does go wrong, your response will almost certainly consist of a mixture of pre-planned options and responses that you create ‘on the hoof’. As the nature of the problem becomes clearer, and you gather more information, the effectiveness of the pre-incident preparation will start to kick in.

Effective crisis management is based on the ability to manage the transfer of information around a number of different stake-holders, make decisions under pressure, deploy teams and then receive information from them once they have assessed the situation for themselves.There is also the need to deal with Secondary Consequences, that is, the knock-on effects from the initial problem that will in themselves become problems for your incident management team.

The ability to respond effectively to an unexpected event is, in many ways, the ultimate test of a security manager’s effectiveness.

Resumen

El papel del procedimiento del manejo de riesgos es dar al director de seguridad las herramientas para crear los programas viables y realistas del manejo de riesgos capaces de responder a los millares de incidentes potenciales que puedan ocurrir posiblemente. La verdad es que la gran mayoría de directores de seguridad pasan el tiempo tratando con las mismas pocas situaciones que ocurren periódicamente (y a menudo diariamente) una tarea que se repite. Un programa eficaz para el manejo de la seguridad debe poder identificar y predecir normalmente los incidentes que se pueden tratar usando procedimientos operativos estándares, aquellos que necesiten un de alto nivel de manejo y de toma de decisiones, y aquellos que se puedan clasificar como crisis y que podrían afectar potencialmente y significativamente la organización y sus actividades.

Summary

The role of the Risk Management procedure is to give the security manager the tools to create viable and realistic risk management programmes capable of responding to the thousands of potential incidents that could possibly occur. The truth is that the vast majority of a security manager’s time is taken up dealing with the same few situations that occur on a recurring (and often daily) basis. An effective security management programme should be able to identify the predictable normal incidents that can be dealt with using Standard Operating Procedures, those that need a higher level of management input and decision-making, and those that can be classified as crisis and which could potentially impact significantly on the wider organisation and its activities.

Puntos Principales

  • El manejo de riesgos poseen tres partes principales: La evaluación de riesgos, control de riesgos y planificación de contingencias
  • El valor del riesgo se basa en probabilidad e impacto
  • La evaluación de riesgos identifica posibles riesgos, y les da un valor de riesgo
  • El control de riesgo consiste en protocolos introducidos para manejar los riesgos identificados en la evaluación de riesgos
  • La planificación de contingencia hace referencia a las opciones de respuesta que son accionadas cuando un evento indeseado ha ocurrido
  • La planificación de contingencia también trata los efectos secundarios que pueden afectar la organización como resultado de un incidente indeseado
  • Risk Management has three component parts: Risk Assessment, Risk Control, Contingency Planning
  • Risk Value is based on Likelihood and Impact
  • The Risk Assessment identifies possible Risks, and gives them a Risk Value
  • Risk Control consists of Protocols introduced to manage the risks identified in the Risk Assessment
  • Contingency Planning is concerned with the Reponse Options that would be triggered if an unwanted event did occur
  • Contingency Planning is also concerned with Secondary Effects that can impact on the organisation as a result of the unwanted incident