Kit de herramientas para compradores de SCC: la importancia de un plan de gestión de riesgos al adquirir CCTV

En una publicación reciente, dimos la bienvenida al lanzamiento del “Kit de herramientas para compradores de CCTV” del comisionado y sus pautas útiles para los usuarios finales cuando buscan adquirir CCTV. La caja de herramientas destaca la creación de un plan de gestión de riesgos como un factor clave para una inversión exitosa (consulte las páginas 13-16). Pero, ¿cómo se hace esto?

En primer lugar, la evaluación de riesgos se produce a través de los conceptos de «probabilidad» e «impacto». El Kit de herramientas para compradores presenta escalas simples de probabilidad e impacto que van de 1 (muy bajo) a 5 (muy alto). Pero, ¿cómo se puede estimar la probabilidad de que suceda algo? ¿Cómo se ve un impacto «alto» en su negocio? ¿Simplemente adivina o la gestión de riesgos de su empresa es más completa?

El kit de herramientas para compradores se alinea muy bien con el espíritu de NW Security Group; el Toolkit lo alienta implícitamente a trabajar en equipo con expertos en el campo, quienes pueden ayudar a su empresa a implementar el enfoque recomendado por el SCC. En NW Security Group, trabajamos con nuestros clientes para desarrollar escalas de probabilidad e impacto apropiadas y fáciles de usar, y estas pueden variar considerablemente de una empresa a otra. Por ejemplo:

Probabilidad: Aquellos en el entorno de un proyecto a menudo encuentran útil emplear terminología cualitativa, por ejemplo, «Es casi seguro que ocurra durante la vida del proyecto». Por el contrario, una instalación de fabricación puede encontrar una definición cuantitativa más utilizable, por ejemplo, para una línea de producción: «Tasa de ocurrencia: 1 de cada 1000 productos». Otros ejemplos incluyen porcentajes (»

Impacto: Ofrecemos una variedad de escalas de impacto para los clientes, ya que hay muchas áreas en las que un negocio puede sentir el impacto: desempeño operativo, pérdida de ingresos, demora del proyecto, lesiones del personal, interrupción operativa, control de calidad, daño a la reputación, etc. Además, las empresas (o incluso partes de la misma empresa) sienten el impacto de formas muy diferentes: una pérdida financiera única de £ 9.000 podría tener un impacto «muy bajo» para una gran multinacional, pero «muy alto» para una PYME. Un corte de energía de cuatro horas podría ser un riesgo tolerable para una parte de la empresa, pero podría constituir una interrupción crítica del servicio para otro departamento.

Buscar el asesoramiento de expertos de un proveedor independiente y adoptar las soluciones adecuadas mediante un enfoque de gestión de riesgos es, a largo plazo, el mejor retorno de la inversión para su negocio.

En general, a las personas les resulta más fácil estimar el impacto que la probabilidad. A menudo, puede ser sencillo calcular el impacto de un evento, si ocurriera, pero puede ser muy difícil estimar la probabilidad de que ese evento ocurra.

Si su escala de probabilidad es genérica o está mal diseñada, esto podría hacer que su estimación de «probabilidad» casi no tenga sentido. En un ejemplo de la vida real, la escala de probabilidad de una organización consistía en: “1 en 100; 1 en 1.000; 1 de cada 10.000; 1 en 100.000; 1 en 1.000.000 «. ¿Qué tan útiles son estas opciones para articular la probabilidad de, por ejemplo, un robo o una violación de datos? ¿La distinción entre “1 en 1,000” y “1 en 10,000” es clara o significativa? En términos prácticos, para estos escenarios, esa escala es inútil. Las evaluaciones de riesgo suelen ser subjetivas, por lo que es importante definir escalas que ayuden a los usuarios a realizar evaluaciones realistas. Para los ejemplos anteriores de robo y violación de datos, a los usuarios les puede resultar más fácil seleccionar un valor entre: “Es probable que ocurra todos los meses; cada pocos meses; todos los años; cada pocos años; rara vez, si es que alguna vez. »

Desde la perspectiva de la alta dirección, una escala de probabilidad mal definida deja el proceso de gestión de riesgos expuesto al abuso. Un gerente que desee obtener más fondos para las medidas de seguridad física puede exagerar deliberadamente la probabilidad de un riesgo. Alternativamente, un gerente que desee una vida tranquila puede presentar una imagen optimista en la que todos los riesgos departamentales son verdes, subestimando deliberadamente la probabilidad de que ocurra un riesgo. Ambos ejemplos se han encontrado en el pasado y siempre implicaron manipular la puntuación de probabilidad; es más fácil «manipular» una estimación de probabilidad que una evaluación de impacto.

Apoyamos firmemente el enfoque recomendado por la SCC para la gestión de riesgos. Con demasiada frecuencia, nos encontramos con empresas que lamentan haber gastado sumas significativas en una solución que no era la adecuada para ellos; En este y muchos otros casos, buscar el asesoramiento de expertos de un proveedor independiente y adoptar las soluciones adecuadas a través de un enfoque de gestión de riesgos es, a largo plazo, el mejor retorno de la inversión para su negocio.