Gestión de Seguridad Patrimonial

BIENVENIDOS
Gestión de Seguridad Patrimonial
 OBJETIVO GENERAL

El Participante al finalizar el curso identificarán los

elementos necesarios para gestionar la operación de
seguridad patrimonial
 Objetivos particulares
1. El participante al finalizar el tema comprendará la
importancia de demostrar la rentabilidad de la seguridad
en los procesos de inversión en seguridad.
 1. INTRODUCCIÓN

Uno de los mayores problemas a los que nos enfrentamos en la

gestión de un Sistema de Seguridad en poder convencer a los
decisión-makers de la importancia de inversión en seguridad.

El poder de convencimiento debe de ser una habilidad personal de

un buen Chief Security Officer (CSO) ya que debe obtener el mayor
número de recursos posibles sin extralimitarlos, es decir, conseguir
el máximo recurso necesario para que la operación se pueda realizar
sin complicaciones.
 1. INTRODUCCIÓN

La mayoría de las empresas piensan que la seguridad es un gasto

que no reporta una utilidad como puede reportar un equipo de
marketing, de ventas o de compras

Un CSO debe ser capaz de crear y/o modificar la imagen que tiene
el gasto en seguridad en todo el personal de la empresa,
argumentando que los beneficios de ese gasto supera a los costos de
no hacerlo, por lo que se debe ver como un ahorro.

No es necesaria una gran inversión para proteger a un bien, la

inversión solo debe ser suficiente analizando con anterioridad su
valor en la planificación del Plan de Seguridad.
 2. PRESUPUESTO DE SEGURIDAD

Un presupuesto de seguridad es más bajo cuando el sistema

de seguridad se diseña previamente al inicio de actividades,
es decir, cuando se esta diseñando el edificio, corporativo,
fábrica, etc. Que puede llegar a ser 10 veces más caro una
vez iniciadas operaciones.

Para ello, es importante planificar, señalando que se detecta

de la evaluación y análisis de los riesgos y, como solventar
estos riesgos gestionado una serie de recursos justificando
todo gasto y reportando cual sería el Retorno de la Inversión
(ROI)
 2. PRESUPUESTO DE SEGURIDAD

El Sistema de Seguridad no puede ser implementado desde un inicio en todo su conjunto por su alto coste y por los gastos
derivados anteriormente por lo que se debe idear y diseñar por fases en un periodo de varios años a medida que se inyecta
capital al departamento de seguridad. Esto es implica que se debe realizar un análisis de riesgos priorizando los riesgos
que impliquen una mayor relación coste-beneficio e implementando nuevas medidas que se vaya protegiendo aquellos
activos que reporten un mayor beneficio a un menor coste.
 3. CONSECUENCIAS DE UNA MALA GESTIÓN

La seguridad al 100% no existe por lo que no se puede eliminar al

completo las amenazas y los riesgos de una empresa u
organización, ni por supuesto se puede mitigar cualquier riesgo
que se identifique automáticamente.
Se suele acudir al análisis de riesgo para justificar la inversión en
seguridad pero podemos argumentar igualmente al RO(S)I para
justificar esta inversión por parte de dirección.
 4. DETERMINAR EL VALOR DE LOS ACTIVOS

El valor de los bienes determina el gasto es seguridad,

por esto, es importante que el CSO pueda tener una
relación del valor de todo el inventario con la finalidad
de poder justificar el gasto en seguridad. Los bienes
podemos clasificarlos en bienes críticos y
“prescindibles”. Esto sirve para argumentar en cuales
bienes se necesitan más recursos para su protección,
justificando la importancia de su protección por parte
de la empresa y organización.
 4. DETERMINAR EL VALOR DE LOS ACTIVOS

Por esto es importantísimo realizarse dos preguntas ¿qué valor tiene este bien? ¿en qué se basa tal valoración? Esta
valoración puede deberse a distintas variables como pueden ser:
• El coste del bien (por ejemplo, una maquina de inyección de plásticos, una impresora 3D, etc)
• Cuanto cuesta el desarrollo del producto (por ejemplo, una aplicación móvil o un software de análisis de inteligencia)
• Coste de recuperación del bien (por ejemplo, cuánto costaría la sustitución o reparación de un generador eléctrico que sufre
un sabotaje).
• Pérdidas potenciales de cuota de mercado (por ejemplo, por haberse desvelado la información sobre los reportes de sondeos
y prospección de una compañía petrolera)
• Pérdidas por pago de sanciones derivadas de incumplimiento normativo (Por ejemplo, incumplimiento de la ley de
protección de datos personales al permitir que se filtre información de empleados).
• Pérdidas potenciales de ingresos por no disponer del bien (por ejemplo, una cadena de montaje de aviones parada por la
falta de una pieza del fuselaje)
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD

El retorno de la inversión en seguridad (ROSI) es medible

en tanto que este puede cuantificarse el beneficio sobre el
gasto de la inversión, es decir, cuál será el beneficio
tangible que obtiene la empresa u organización cómo
consecuencia de la seguridad alcanzada tras realizar un
determinado gasto en su sistema de seguridad.
Un sabotaje afecta negativamente, pero es difícil
cuantificar el impacto económico o la pérdida de imagen
de la empresa u organización.
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.1 ¿QUÉ ES EL RETORNO DE LA INVERSIÓN?

La definición de Retorno sobre la Inversión en Seguridad determina que una inversión en seguridad es rentable si el efecto de
mitigación del riesgo es mayor que los costos estimados.
El cálculo del Retorno de la Inversión en Seguridad (ROSI) se hace de forma similar al que hacemos en una evaluación de
riesgos, seguiremos siete pasos que constituyen este proceso de cálculo:
1. Identificación y valoración de los bienes.
2. Factor de exposición a la amenaza y vulnerabilidad.
3. Determinación de la expectativa de pérdidas individual.
4. Índice de incidencia anual.
5. Calcular la expectativa de pérdidas anuales.
6. Sondear las medidas adoptadas.
7. Calcular el retorno de la inversión en seguridad.
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.3 FACTOR DE EXPOSICIÓN A LA AMENAZA Y VULNERABILIDAD.

Una vez definidos los bienes es imperioso realizar un análisis de las posibles amenazas para cada uno de los bienes. No es
algo fijo y cada experto deberá definir que variables existen para entre el valor del bien y las amenazas que le pueden afectar.
Al fin y al cabo, es una estimación.

El siguiente que debemos hacer es elaborar una lista de los activos intangibles, lo cual presenta la complicación de la
subjetividad y se basa en una percepción. Para ello debemos ayudarnos con las siguientes preguntas:
• ¿cuánto pagarías por tener este bien si todavía no lo tuvieras?”
• “¿qué beneficios proporcionará a la empresa u organización este bien en el futuro?”
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.3 FACTOR DE EXPOSICIÓN A LA AMENAZA Y VULNERABILIDAD.

Una vez definidos los bienes es imperioso realizar un análisis de

las posibles amenazas para cada uno de los bienes. Esto es un dato
estimativo.
Lo siguiente es determinar el factor de exposición a la amenaza
y a la vulnerabilidad. El factor exposición consiste en determinar
a qué grado estaríamos expuestos ante una amenaza y/o
vulnerabilidad.
La variable exposición se presentará como un porcentaje de
perdidas que una amenaza podría ejercer sobre un activo concreto,
es decir, las consecuencias. Este factor puede ser un gran número,
como puede ser en el caso de un derrumbe o un número pequeño
como puede ser la perdida de una pantalla de una computadora.
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.4 DETERMINACIÓN DE LA EXPECTATIVA DE PÉRDIDAS INDIVIDUAL.

La Expectativa de Perdida Individual (EPI) arroja información sobre un impacto concreto, económico o de otra
naturaleza de un incidente individual. Esta Expectativa de Perdida Individual se obtiene con la siguiente formula:

Valor del bien x Factor de Exposición = Expectativa de Pérdidas Individual

 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.5 ÍNDICE DE INCIDENCIA ANUAL.

El Índice de Incidencia Anual nos indica cada cuanto se

presenta una amenaza, es decir, la frecuencia. Este número es
variable y depende de los medios que el Sistema de Seguridad
presenta y la probabilidad de que la amenaza pueda exceder
estas medidas.
Este número es subjetivo y no puede ser definido. Un buen
método es determinar que probabilidad da un seguro
atendiendo a los incidentes pasados y a las amenazas presentes.
Por ejemplo, una empresa detecta que por cada lustro (5 años)
se produce 1 accidentes laborales. Esto significa que el Índice
de Incidencia Anual es de 0.2 porque 1/5=0.2
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.6 CALCULAR LA EXPECTATIVA DE PÉRDIDAS ANUALES.

Con los datos anteriores podremos sacar la expectativa de

pérdidas anuales (EPA):
Expectativa de pérdidas individual x Índice de incidencia
anual = EPA
El número derivador de expectativa de pérdidas anuales (EPA) es
el que usaremos para justificar los gastos en materia de seguridad.
Por ejemplo, se quiere proteger el servidor de nóminas de la
empresa. El servidor por sí mismo no ocasionará pérdidas directas
sobre la empresa, pero supondrá una considerable pérdida de
reputación si se ve comprometido su funcionamiento
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.7. SONDEAR LAS MEDIDAS ADOPTADAS.

En este paso debemos tantear las medidas de seguridad

con las que contamos y la expectativa de pérdidas
anuales de esos bienes. Si la expectativa es alta
deberemos evaluar que nuevas medidas vamos a
implementar para mitigar tales amenazas.
Por ejemplo, con lo mismos datos del punto anterior se
obtiene una expectativa de pérdidas anuales de 26.250
pesos; si el gasto anual en materia de seguridad
asciende a 50.000 pesos se está gastando más de lo
necesario en seguridad.
 5. ROSI. RETORNO DE LA INVERSIÓN EN SEGURIDAD
5.8. CALCULAR EL RETORNO DE LA INVERSIÓN EN SEGURIDAD [ROSI].

Llegado a este punto ya sería posible calcular el retorno de la inversión en Seguridad. El dato más básico del
Retorno de la Inversión defino el retorno por cada activo. Es por ello que se puede restar el coste de lo que se
espera perder en un año para un determinado bien del coste anual de las medidas de seguridad:
Expectativa de pérdidas anuales – Coste actual de las medidas de seguridad = ROSI
Por ejemplo, si la empresa ha venido sufriendo en el pasado unas pérdidas anuales de 100.000 € por culpa de los
robos de mercancía en el almacén y se decide implementar un sistema de seguridad cuyo coste asciende a
50.000 € anuales (incluidos los gastos de servicio técnico y funcionamiento) cuya eficacia es de un 90 %, se
obtiene un retorno de la inversión en seguridad de 100.000 € x 0’90 – 50.000 € = 40.000 €.