enes

News

Métricas para la Administración de la Seguridad

Nos encontramos a mediados del mes de septiembre, las reuniones para la asignación de presupuesto del año fiscal entrante se tornan cada vez más prolongadas, pesadas y de alguna manera puede sentirse en el ambiente la lucha interna entre las diferentes funciones corporativas. Es la hora, el presidente ejecutivo (CEO) cita por una única vez en el año al director de seguridad (CSO) para que enseñe los resultados de su gestión y exponga necesidades. En la sala de juntas podemos ver como el Vicepresidente de Operaciones (COO) mira con desdén al visitante, de la misma forma el Vicepresidente de Marketing (CMO) situado justo al lado de la directora de Recursos Humanos (CHRO) se acomodan profundamente en sus asientos. El funcionario irrumpe el silencio con un lánguido —“Señores, la operación de seguridad requiere la adquisición de nuevos vehículos, el sistema de CCTV está obsoleto, es crítica la instalación de un nuevo sistema de control de accesos…” — y una lista de requerimientos, que más parece una carta de deseos a San Nicolás se descubre en esa primera diapositiva. No bien a iniciado su discurso, el CEO le interrumpe y haciendo poco caso a su presencia se dirige impaciente al COO cuestionando sobre el estado de la seguridad. Con un aire confiado y grave el ejecutivo se apresura a responder: —“Igual que siempre, como todos los años, bajo control…”—. Un segundo después el director de seguridad se encuentra fuera del recinto con un presupuesto anual de operación igual o menor al del año que termina. ¿Le suena familiar la escena? De hecho, ¿Lo han invitado a ud. alguna vez a una de estas reuniones? Parece que quienes deciden por la gestión de seguridad son aquellos que no han recibido formación ni tienen experiencia y, que muy seguramente, serán los primeros en exigir resultados y estarán frente a la puerta del CSO cuándo los problemas agobien y el monto por seguros se dispare haciendo desaparecer las provisiones anuales sobre el beneficio por acción proyectado. Pero bueno, ¿y qué hacer al respecto? Como consultores en seguridad intentamos mostrar a nuestros clientes lo que una juiciosa e inteligente política de medición y registro de eventos, comúnmente conocida como métrica, puede ofrecer cuándo de mostrar y soportar resultados se trata. Justificando así el presupuesto actual y el gasto en inversión necesario para tratar los riesgos y mantener la continuidad del negocio (PAYNE, 2006). Pretendo en este artículo, exponer la forma como en Zehirut construimos estos indicadores, mostrarle algunos de los que normalmente implementamos y comentarle cuán útiles pueden llegar a resultar.

Empecemos entonces hablando un poco de las métricas y como crearlas. Las ciencias administrativas nos enseñan que los indicadores son medidas cuantificables de algún aspecto de un sistema o empresa (GARCIA, 2008). Para el caso específico del diseño de indicadores del área de seguridad tratamos de buscar cifras que muestran el desvío o deterioro en una situación que podría afectar el desarrollo de modelo de negocio de nuestro cliente. Vemos, por ejemplo, como la pérdida de reputación, el robo de información o la merma en los inventarios aparecen cuándo la protección a las personas, a la propiedad o a la información es vulnerada (BRENNER, 2010). De igual forma, entendemos que los indicadores deben poder permitirnos hacer comparaciones con una escala considerada modelo o con números similares provenientes de otras empresas del mismo sector en un periodo de tiempo determinado (THOMPSON 2010). Para su construcción analizamos la situación desde tres diferentes perspectivas: una técnica, otra operativa y una estratégica. Esto nos permite plantear el diseño desde diferentes aproximaciones. Así, desde la perspectiva técnica nuestra preocupación consiste en garantizar la fiabilidad, validez y generalización de la información que es tomada como fuente. Desde la perspectiva operativa, intentamos hacer que los datos señalen un balance resultado/costo que sume valor a la operación, minimizando tiempos entre la ejecución de los hechos y su registro y buscando una menor distorsión del contenido por alteraciones en la comunicación. Ya desde una perspectiva estratégica entendemos los indicadores como una herramienta para mostrar la rentabilidad de cada dólar invertido en seguridad, hacemos que las acciones emprendidas en el plan de protección de activos apoyen a la misión y la visión corporativas e intentamos que los contenidos sean dados de forma privilegiada a ciertas personas o círculos propietarios del proceso de toma de decisiones. Desde una óptima más práctica, propiamente sobre el papel, intentamos ser rigurosamente científicos dejando toda intuición de lado. Buscando datos que puedan ser probados, replicados y que expliquen los hechos y su causalidad. Asimismo, intentamos contar una historia nombrando los recursos de negocio puestos bajo amenaza, describiendo los incidentes ocurridos, cuantificando el valor de los elementos perdidos o que se encuentran en riesgo y señalando las consecuencias si se llegase a materializar un riesgo. Diseñamos métricas que miren hacia atrás en el pasado usando series históricas y otras que se adentren en el futuro utilizando pronósticos y tendencias estadísticas. Buscamos indicadores que intenten responder a las preguntas: ¿En dónde hemos estado? y ¿Hacia qué lugar vamos? (CAMPBELL 2006). Por último, entendiendo que la comunicación es un verdadero reto, trabajamos con colegas informáticos, el personal de estadística y la gente de diseño tratando de convertir fríos datos en atractivas gráficas que convierte cada segundo de trabajo en oro. Al final programamos reuniones periódicas para enseñar al consejo de directores el desarrollo de la situación de seguridad vista desde nuestra particular perspectiva, vamos siempre hacia ellos. Conseguimos de esta forma jugar en nuestro propio terreno, trayendo a los participantes hacia una zona preparada.

Utilizando las condiciones anteriormente expuestas, un grupo de investigación de la sociedad americana para la seguridad de la industria (ASIS) encabezado por el Profesor Peter Ohlhausen, condujo en 2014 un estudio que permitió señalar y clasificar 16 indicadores ampliamente utilizados por los directores de seguridad de las más grandes empresas de los Estados Unidos de América y Canada, muchos de los cuales han sido aplicados con éxito en nuestras intervenciones. Permítame presentarle algunos y explicarle a manera de ilustración su uso, utilidad y aplicación. El primero de ellos y la mejor valorado está relacionado con el tiempo y eficiencia del proceso de confiabilidad del talento humano, especialmente lo relacionado al proceso de reclutamiento. Se trata aquí de medir el tiempo transcurrido desde que una vacante es solicitada, hasta el momento en que la persona es puesta en función después de ser verificada. Los ahorros en tiempo muerto conseguidos a nivel operacional son grandes y la oportunidad de controlar quién y cómo se entra a la empresa es única. Un segundo indicador está relacionado con la determinación de un nivel de riesgo de los lugares, plazas aledañas y zonas donde se realiza la operación y la promoción/venta del producto o servicio. Este indicador es ampliamente utilizado para el diseño de canales de distribución y la compra o alquiler de puntos de venta. Existe aquí una muy buena oportunidad para mantenerse actualizado sobre lo que ocurre en el área y tener una última voz al momento de decidir si entrar o no en zonas de alto riesgo. El tercer indicador señalado en el estudio está ligado a la contabilidad de robo de teléfonos móviles. Estos aparatos suelen combinar gran valor y oportunidad para su sustracción. La contabilidad de estos incidentes señala como faro que apunta al cielo sobre la presencia de ladrones actuando dentro o en los alrededores de las unidades de negocio. Aquí la oportunidad de explotar las relaciones con las autoridades y obtener reconocimiento es considerable. El cuarto indicador es el relacionado con el estudio de la merma calificada de desconocida. En el ámbito de los comerciantes mayoristas, bodegueros y detallistas este indicador permite hacer un seguimiento a las pérdidas no generadas por maltrato a la mercancía que seguramente apuntan a la identificación de brechas o explotación de vulnerabilidades no cubiertas en el programa de protección de activos. El estudio de la merma permite justificar y soportar el presupuesto de inversión en seguridad facilitando la visión de la secuencia “contramedida – reducción de pérdida”. Un quinto indicador es el relacionado con la detección temprana de posibles incidentes. Se produce cuándo los departamentos de compras, crédito, ventas o seguridad identifican y/o bloquean intentos de fraude. Esta métrica —calificada como previsora— nos permite ser avisados ante una posible marea entrante de ataques. A estos le siguen otros indicadores como las ventas versus los incidentes versus el gasto en seguridad, los resultados de las auditorias de seguridad, los aportes del departamento de seguridad al ambiente de salud ocupacional, los reportes de actividad del departamento de seguridad, las evaluaciones internas de desempeño, reducciones en los tiempos de parada de la producción debido a incidentes relacionados con la seguridad, la identificación de violaciones a la propiedad intelectual, el cálculo del uso de espacio físico en oficinas de la empresa, el registro de incidentes y las investigaciones realizadas a clientes, proveedores y empleados. Como denominador común, todos hablan al unísono de la actividad de seguridad como garante de la misión corporativa, siendo esta la intención y objetivo último. Como uds. pueden apreciar, la información de patrullajes, rondas y respuesta a llamadas es tenida en cuenta pero no se convierte en el eje central de los reportes. Intentamos así recurrentemente tocar y participar de las diferentes áreas funcionales de la empresa.

Indicadores de gestión

Los indicadores son diseñados para que cumplan con tres perspectivas.
En la gráfica, las calificaciones dadas a diferentes indicadores por parte de los gerentes de seguridad (Tomado de OHLHAUSEN, 2014).

Permítanme finalmente hablarles un poco de la utilidad encontrada en este esfuerzo. En Zehirut nuestra preocupación es que los gerentes vean la función de seguridad como centro de producción, intentamos demarcarnos de la antagónica y tradicional visión de centro de costos. Pretendemos que cada indicador muestre el valor generado a la empresa, no una lista inexpresiva con descripción llana de actividades. Por supuesto que para que todo esto funcione, trabajamos fuerte y desde el primer momento en el desarrollo de objetivos estratégicos de seguridad de alto impacto alineados a la razón corporativa (GARCIA 2006). Según nuestra experiencia, esta orientación expone la oferta de valor de la seguridad y soporta dócilmente la inversión. Asimismo nos ha permitido mantener una contabilidad de resultados y mostrar el alcance de hitos en ruta al cumplimiento de objetivos. Como sea, nuestras métricas son los vehículos por medio de los cuales los programas de seguridad pueden demostrar un impacto medible en la estrategia, en la organización, en las finanzas y en el tratamiento del riesgo operacional que usualmente lleva al cumplimiento de la promesa de beneficios para accionistas y propietarios. Paralelamente, nos ha permitido demostrar hechos y sustentar teorías que —de ser expuestos de otra forma— seguramente hubiesen sido resueltos bajo la óptica de gerentes y administradores. También nos ha permitido comunicarnos en el mismo lenguaje de los empresarios, persuadiendo con argumentos válidos y confiables que usualmente conducen a buenas y cuidadosas conclusiones. A manera de corolario, el uso de los indicadores en seguridad fortalece la influencia en los procesos de medición y control, en las políticas de negocio, en la colaboración para conseguir beneficios para la empresa, en las decisiones de inversión y en el alineamiento central para obtener tanto ventajas estratégicas como financieras.

Imágenes de referencia.

 

 

 

 

 

 

 

Referencias / Bibliografía:

  • Brenner, B. (2010). Security metric techniques: How to answer the ‘so what?’ CSO Online. Retrieved from http://www.csoonline.com/article/602901/security-metric-techniques-how-to-answer-theso-what-.
  • Campbell, G. (2006). How to use metrics. CSO Online. Retrieved from http://www.csoonline .com/article/220980/how-to-use-metrics.
  • Campbell, G. (2007). Measures and metrics in corporate security: Communicating business value. Framingham, MA: CSO Executive Council.
  • Campbell, G. (2011). Metrics for success. Securityinfowatch. Retrieved from http://www.securityinfowatch.com/article/10517904/metrics-for-success.
  • Garcia, M. L. (2006). Vulnerability assessment of physical protection systems. Boston, MA: Butterworth-Heinemann.
  • Garcia, M. L. (2008). The design and evaluation of physical protection systems (2d ed). Boston, MA: Butterworth-Heinemann.
  • Guidelines and Metrics Working Group, ASIS Defense and Intelligence Council (2012). “Watch us build an effective security performance metric that will work for you and your boss, then build your own, or influencing effective corporate management behavior through compelling performance metrics,” presentation at the ASIS International 58th Annual Seminar and Exhibits, Philadelphia.
  • Ohlhausen P. et Al, (2014). Persuading Senior Management with Effective, Evaluated Security Metrics. ASIS Foundation.
  • Payne, S. (2006). A guide to security metrics [White Paper]. Retrieved from http://www.sans.org/ reading_room/whitepapers/auditing/guide-security-metrics_55.
  • Thompson, H. (2010). Practical security metrics: Effective security practices series. Retrieved 2013, June 10 from http://www.microsoft.com/en-us/download/details.aspx?id=1537

 

Cinco Ideas para Lesionar la Corrupción