Que tener en cuenta en la identificación de un área crítica

Revisando algunos de los requisitos de diferentes Sistemas de Gestión y Autorizaciones como Operadores Económicos – seguros y confiables, entre los que se solicitan establecer las áreas consideradas como críticas, deben disponer de un plano de su planta física (por lo general), en el que se identifiquen claramente dichas áreas críticas de la empresa, sin embargo, se presentan por lo general confusiones cuando se involucra el área sensible, algunas personas dicen que crítico y sensible es lo mismo (interpretación inadecuada), otros dicen que suena menos impactante (sensible) del otro (interpretación inadecuada), lo cierto es que son dos temas distintos pero relacionados uno con el otro.

Lo cierto es que, al efectuar la Gestión de Riesgo, la alta dirección en desarrollo del marco de la gestión establece su alcance, identifica su contexto y define sus criterios, es allí donde se debe dejar claro cuáles serán los criterios para identificar las áreas críticas y de ser el caso las áreas sensibles.

Cuando se habla de áreas críticas/ sensibles/peligrosas/ etc., existen multiplicidad de criterios para definirlas, puede quedar muchas veces a ¡ojo!, basado en el conocimiento o experiencia de quien lo desarrolla, otros basados en gestión del riesgo, otros con base en eventos pasados, en fin, debemos unificar temas que para unos son áreas críticas y para los que no lo son.

¿QUÉ ES UN ÁREA CRÍTICA EN SEGURIDAD?

Revisando algunas definiciones quereos traer a colación la que encontramos en el Glosario de Términos y Definiciones del Sistema de Gestión en Control y Seguridad BASC, versión 6-2022, que nos indica que es el espacio físico en el que se identifica una alta probabilidad de ocurrencia de un riesgo (o combinación de estos) que representen un impacto significativo en la seguridad de la empresa.

Otra la podemos tener en la misma empresa, que tiene su propia configuración y estructura orgánica, que distingue su funcionamiento y el potencial competitivo con el cual se mueve en el mercado. En ella podemos definir o identificar las áreas vitales mediante la experiencia, criterio técnico y el conocimiento estratégico sobre sus fortalezas, oportunidades, debilidades y amenazas.

Para el control de gestión, desarrollo y continuidad de la organización es muy importante tener en cuenta no solo los activos tangibles sino también los activos intangibles que podemos encontrar representados en las áreas críticas de la organización, áreas de resultado clave o factores de impacto que inciden directamente en el éxito o fracaso del cumplimiento a los objetivos propuestos por la organización.

Cada área critica se hace explícita a través de los indicadores de control para medir los resultados alcanzados por la gestión dentro de los objetivos y metas trazadas en el tiempo por la entidad, empresa, institución o negocio en particular. Las áreas claves de resultados fueron determinadas en el marco del modelo gerencial de la administración por objetivo planteado, como instrumento de gestión para integrar esfuerzos y lograr mejores resultados que conduzcan al éxito teniendo en cuenta las variables internas y externas que dinamizan el desarrollo organizacional.

Los factores claves de éxito representan todo lo que no puede fallar en la empresa o negocio, dependen directamente de la misión de la empresa y se pueden clasificar en permanentes y temporales.

¿QUÉ ES UN ÁREA SENSIBLE?

El área sensible es el espacio físico que se extiende más allá del área crítica en la cual se controla el establecimiento y/o movimiento de personas, vehículos y otros elementos, para evitar la posibilidad de que ocurra interferencia inaceptable a las zonas consideradas como críticas.

ELEMENTOS A TENER EN CUENTA PARA IDENTIFICAR EL AREA CRITICA EN SEGURIDAD

En primera instancia debemos tomar como base la gestión que la organización ha hecho de su riesgo, al identificar y luego plantear en su análisis la PROBABILIDAD y definir los criterios de IMPACTO DE LA MATERIALIZACIÓN DE UN RIESGO, que bien en muchas ocasiones están definidos de una forma económica, operativo, reputacional, legal, etc. Como segunda medida identifique las ÁREAS FISICAS donde pueden funcionar los diferentes procesos de la organización, donde están elementos tangibles e intangibles necesarios para el funcionamiento del negocio como pueden ser:

• Personas de alta protección
• Información secreta/restringida/sensible/confidencial
• Materias primas, producto terminado
• Activos económicos como dinero, títulos valores, etc.
• Equipos de tecnología y comunicaciones.
• Equipos o terminales eléctricas, hidráulicas de gas, oxigeno, etc.
• Elementos de apoyo a la seguridad, armamento.
• Insumos controlados
• Lugares asignados para procesos de aduana
• Materiales de empaque y embalaje
• Sellos de seguridad
• Almacenamiento de unidades de carga
• Estacionamiento de unidades de transporte
• Cualquier otro aspecto relevante para el funcionamiento de la organización

Lo importante es realizar una lista de chequeo sobre estos activos necesarios a proteger. Es en este momento donde se han ubicado las áreas físicas que se consideran críticas.

EVALUACIÓN DE CONTROLES EN LAS ÁREAS CRÍTICAS

En la valoración del riesgo para la organización luego de tener la ubicación de las áreas críticas es importante validar y verificar los controles diseñados e implementados para disminuir la probabilidad de la materialización especialmente de una intrusión no autorizada, o un evento que afecte la seguridad al interior del área que pueda desencadenar en un alto impacto por el daño causado en la organización.

Tenga en cuenta como mínimo en los controles validar:

1. Protocolos y procedimientos que orientan y definen los controles del área crítica.
2. Controles de seguridad en los entornos de las áreas críticas
3. Valide las barreras perimetrales del área considerada critica, verifique su estructura y resistencia ante una incursión forzada al lugar.
4. Evalúe los accesos al área considerada como critica, estructuras que impiden el ingreso o salidas sin ser detectado, registros para establecer trazabilidad.
5. Verifique los sistemas de apoyo electrónico para el control y detección de intrusiones al área crítica, funcionamiento, inspecciones y mantenimiento.
6. Revise los controles de seguridad al interior del área que deben ser consistentes de acuerdo con los riesgos identificados de las personas, bienes, información, etc., cumplimiento y trazabilidad de los mismos.
7. Valide la concientización en el caso de presentarse personas en el área considerada crítica, como ha sido su formación y entrenamiento para garantizar el cumplimento de las normas impuestas.
8. Audite los planes de respuesta ante una intrusión no autoridad o un evento que afecte la seguridad en el área crítica, como se va actuar, de qué forma y quienes lo harán, además de establecer los responsables del manejo de la situación para que no termine convirtiéndose en un evento crítico.

Luego de tener esta información realice la evaluación para establecer una priorización de las áreas críticas identificadas de acuerdo al nivel de impacto de una interrupción dentro de la organización.

El impacto operacional, económico, legal, reputacional etc., permite determinar el nivel negativo de una interrupción en los diversos criterios definidos de impacto, una propuesta esta se puede medir utilizando un esquema de valoración, con los siguientes niveles: A, B o C.

• Nivel A (ALTO): El área es crítica para el negocio. Una materialización de un riesgo tiene un impacto crítico y los procesos del negocio se paraliza o no puede realizarse.

• Nivel B (MEDIO): Se materializa el riesgo, el impacto al negocio está dado en que no podría continuar normalmente, pero el impacto no es crítico, la recuperación es rápida.

• Nivel C (BAJO): La materialización del riesgo tiene un impacto leve en la continuidad del negocio.

Las aéreas críticas de una empresa requieren ser apoyadas y controladas para alcanzar con éxitos los objetivos y metas de la organización con mayor eficacia, eficiencia, productividad, y efectividad. Como se ha venido mencionando, cada entidad debe disponer de un documento que permita identificar todas las áreas críticas del negocio y sea un instrumento para garantizar la medición de la magnitud del impacto operacional, financiero, legal, reputacional, etc., de la organización, al momento de presentarse una interrupción.

Fuente: CARLOS ALFONSO BOSHELL NORMAN