En la actualidad, nos encontramos ante un escenario de cambio constante, donde las estrategias tradicionales de seguridad ya no son suficientes para enfrentar los desafíos complejos de la seguridad empresarial. La digitalización, la inteligencia artificial y otros avances tecnológicos están transformando las operaciones empresariales a una velocidad vertiginosa.
Las amenazas, desde el ciberespionaje hasta el terrorismo, se están diversificando y volviéndose más sofisticadas. Ante este escenario, el modelo de Enterprise Security Risk Management (ESRM) sirve como un enfoque proactivo y dinámico que prepara a las empresas para enfrentar estos desafíos en tiempo real.
Iván Ballesteros, CPP de ASIS International, destacó en su ponencia en Security Forum 2023, la importancia crítica del enfoque de ESRM como una estrategia integral y adaptable para abordar los retos de seguridad empresarial en un mundo en rápido cambio. Ballesteros argumentó que ESRM no solo prioriza y alinea eficientemente las iniciativas de seguridad, sino que también se muestra versátil al aplicarse a múltiples ámbitos, desde la seguridad física hasta la cibernética.
Priorizar la seguridad empresarial con el modelo ESRM
Durante su intervención en Security Forum 2023, Ballesteros puso en primer plano la idea de que la seguridad debe ser una prioridad de la estrategia empresarial, y no una mera táctica aislada o un anexo. En el modelo ESRM los ejecutivos, en colaboración con expertos en seguridad, identifican y priorizan activos críticos, luego alinean los recursos de seguridad para proteger esos activos de manera más eficiente.
Las políticas de seguridad en el modelo ESRM son flexibles pero rigurosamente formuladas. Ballesteros subrayó la importancia de diseñar políticas de seguridad que sean extensiones de la misión, visión y valores de la empresa, garantizando que sean tanto efectivas como culturalmente compatibles.
En el enfoque ESRM, la comunicación proactiva se eleva al nivel de estrategia corporativa. Ballesteros abogó por la implementación de sistemas de información y entrenamiento que lleguen a cada rincón de la organización, desde la junta directiva hasta el empleado de base.
El modelo ESRM no solo ayuda en la identificación y mitigación de riesgos, sino que también mejora la toma de decisiones al proporcionar datos y análisis más precisos. Las decisiones sobre asignación de recursos, implementación de políticas y reacción ante incidentes son más informadas y eficientes. La adopción del enfoque SRM genera economías de escala, ya que los recursos de seguridad se concentran
«El valor del incidente puede ser muy superior al propio incidente. A veces no pensamos que dedicarle recursos a un incidente pequeño significa dedicarle más recursos que lo que ha significado para la empresa del propio incidente», aclaró Ballesteros.
Las organizaciones que adoptan ESRM son inherentemente más resilientes. Están mejor preparadas para adaptarse a cambios en el entorno de riesgos, reaccionar eficientemente a incidentes imprevistos y recuperarse más rápidamente.
Pasos para la implementación de ESRM
La implementación de ESRM es un proceso que comienza con una evaluación exhaustiva del paisaje de riesgos. Posteriormente, se desarrollan estrategias y se asignan recursos. Este proceso es cíclico, lo que permite adaptaciones rápidas a cambios en el entorno de riesgos, entre las etapas de implementación se realiza:
- Evaluación del paisaje de riesgos: identificación de activos, evaluación de vulnerabilidades y análisis de amenazas.
- Desarrollo de estrategias: creación de políticas y procedimientos basados en la evaluación inicial.
- Asignación de recursos: basada en las estrategias, se asignan los recursos necesarios para su implementación.
- Monitoreo y evaluación: a través de KPIs y métricas, se evalúa la eficacia de las estrategias implementadas.
- Revisión y ajuste: los resultados del monitoreo se utilizan para ajustar y afinar las estrategias existentes, comenzando un nuevo ciclo de implementación.
El ESRM es más que una metodología; es una filosofía que puede transformar la forma en que las empresas ven y manejan la seguridad. A través de una mejor identificación y mitigación de riesgos, una comunicación más efectiva y una cultura de seguridad más fuerte, las empresas no solo se protegen mejor, sino que también se posicionan para el éxito en un mundo cada vez más complejo e incierto.
