seguritecnia 441

30 SEGURITECNIA Abril 2017 Seguridad Corporativa H ace solo unos meses, ASIS In- ternational adoptó el ESRM ( Enterprise Security Risk Mana- gement o Gestión de los Riesgos de Se- guridad en la Empresa) como una prio- ridad estratégica global para la organi- zación, y acordó aplicar este concepto en toda su doctrina, programas y servi- cios. Lo está haciendo como parte de la profunda revisión y reorganización que está llevando cabo tras cumplir 60 años (fue constituida en 1955) como organi- zación líder mundial. Pero este asunto no es nuevo para ASIS, pues a través del Co- mité de CSO ( Chief Security Officers ) lle- vaba trabajando desde 2010 en lo que ahora representa el eje principal de lo que algunos denominan “el momento de interrumpir el antiguo modelo de se- guridad”, en el que por cierto determina- dos colectivos parecen encontrarse muy confortables. Ese mismo año, ASIS publi- caba los resultados de una encuesta ti- tulada La Gestión de los Riesgos de Seguri- dad en la Empresa: cómo los grandes ries- gos llevan a grandes acciones , cuyo título es una adaptación de lo escrito por el fi- lósofo griego Heródoto 400 años antes de Cristo. El ESRM es a la vez una filosofía y un sistema de gestión diseñado para permi- tir a los profesionales de seguridad ges- tionar los riesgos que afectan o pueden afectar a sus organizaciones con un mo- delo alejado de los anteriores paráme- tros, incluida la compartimentación en silos. El ESRM es una extensión del ERM ( Enterprise Risk Management o Gestión de Riesgos en la Empresa), creado en 2003, que puede ser definido como un en- foque de gestión basado en el riesgo y que integra conceptos de control in- terno del modelo COSO, del acta Sabar- nes-Oxley y de la planificación estraté- gica, entre otros. De hecho, el ERM nace por la necesidad de los grupos de inte- rés de conocer el amplio espectro de riesgos complejos a los que se enfren- tan hoy en día las organizaciones y sa- ber que éstos son gestionados adecua- damente. Después de los escándalos de Enron y Arthur Andersen en 2002, es- trechamente conectados entre sí, entre otros anteriores, algunos contemporá- neos y más posteriores, los reguladores y las agencias de rating incrementaron su escrutinio sobre los procesos de iden- tificación y tratamiento del riesgo en las empresas. Pero si bien el ERM opera teórica- mente sobre el universo de riesgos (fi- nancieros, estratégicos, operativos y le- gales y de cumplimiento –hasta 39 en las cuatro categorías–), en realidad no presta la necesaria atención a aquellos riesgos relacionados tradicionalmente con segu- ridad. Precisamente el ESRM surge para asegurar que éstos son también ade- cuadamente identificados, considerados y tratados por las organizaciones, que cada día están expuestas a un mayor nú- mero y más complejos riesgos derivados de unas amenazas en evolución perma- nente. Amenazas impensables, no vis- tas con anterioridad y que conducen fre- cuentemente a reacciones y decisiones apresuradas. Un entorno donde la se- guridad se ha transformado en un ele- mento extraordinariamente importante y parte vital de la estrategia de una orga- nización. Enfoque holístico Al contrario que el ERM, el ESRM no de- fine una estructura organizativa; el de- partamento de Seguridad puede o no estar integrado en un modelo ERM y operar bajo los criterios establecidos por el ESRM. Respecto de la convergencia entre la seguridad física y la seguridad ló- gica, que se refiere a una integración, el ESRM no lo hace ni a estructuras organi- zativas ni a líneas de reporte y es en rea- lidad un concepto mucho más amplio. Con su enfoque holístico, el ESRM debe integrarse en todos los niveles y proce- Juan Muñoz CPP CSMP CSyP / Presidente de ASIS España El nuevo paradigma