Empresas & Management
Fecha de publicación: 2019-03-18

El factor humano como punto clave en la gestión del riesgo corporativo

Actividades de sabotaje, proyectos paralelos que sacan provecho de los activos corporativos y las bases de datos, o la negligencia de algunos pueden causar perjuicios financieros, como violación de la seguridad o incumplimiento de las regulaciones vigentes.

Por Ricardo Martinez, Gerente de Negocios y alianzas estratégicas de SearchInform Latinoamérica

Los empleados son uno de los recursos más valiosos de una empresa y también la principal fuente de riesgos. No todos los miembros del personal son responsables y honestos.

¿Se debería a un contratar un MSSP, (Managed Security Service Provider) o Proveedor de Servicios de Seguridad Administrados en español, o gestionar los riesgos con sus propios empleados?
Cuando la estrategia de una empresa es clara, es más fácil dar una respuesta.
Si la empresa está dispuesta a mantenerse enfocada en sus objetivos y poner la atención en sus procesos de básicos del negocio, lo más probable es que acuda a un consultor externo.
En cambio, si la empresa no quiere compartir sus secretos corporativos con un proveedor de servicios, administrará la situación apoyándose en recursos internos.

¿Por qué optar por un MSSP?

Las organizaciones que se dedican a brindar servicios de consultoría externa se mantienen actualizados con los más recientes cambios en las leyes que regulan el flujo de trabajo de las diferentes industrias. Tienen acceso a información sobre las nuevas tendencias en la administración de los riesgos, a instrumentos más eficientes para la detección de áreas vulnerables dentro de un perímetro corporativo y además poseen experiencia en la resolución de problemas relacionados con el descubrimiento y la prevención de amenazas. Una de las ventajas que poseen los MSSP o Proveedores de Servicios de Seguridad Administrados es la capacidad de iniciar el diagnóstico tan pronto como es posible, mientras que la creación de su propio departamento de administración de riesgos toma tiempo, el cual se podría asignar a la investigación de incidentes.

¿Por qué optar por el equipo de trabajo interno?

Una empresa podría pensar en desplegar su propio mecanismo de monitoreo de empleados y un programa de auditoría interno, antes de que ocurra una violación. Esto sería posible cuando el factor tiempo no sea un problema y la compañía esté dispuesta a explorar una serie de opciones que no siempre están disponibles para las empresas que contratan a proveedores de servicios.
Una de las mayores ventajas es el conocimiento y la comprensión de la estructura corporativa y de los procesos internos.
Un equipo interno está familiarizado con las necesidades específicas de su empresa y tiene una sólida comprensión de lo que está permitido y lo que no. Sus miembros son parte del negocio como lo son los empleados monitoreados. Están interesados en el desarrollo paulatino de la empresa y es fácil para ellos considerar las peculiaridades del personal. A diferencia de los MSSP, (Proveedores de Servicios de Seguridad Administrados), su personal es consciente de las formas en que las innovaciones pueden afectar la productividad y el uso de los recursos corporativos.

Las empresas controlan la transferencia y el almacenamiento de datos confidenciales
La información es un activo único de cualquier negocio. Contratar un servicio externo con acceso a datos secretos expone los detalles confidenciales a riesgos adicionales. Un departamento propio le permite a su empresa analizar una situación y coordinar actividades sin intermediarios.

Cada empresa conoce a sus empleados
Mientras que un acuerdo con un MSSP supone trabajar con un grupo determinado de personas de las que no sabe nada, la creación de su propio departamento le permite designar a aquellos especialistas que considere más adecuados para el cargo.
Los gerentes de riesgos seleccionados dentro de la propia empresa conocen a fondo su cultura organizacional
Este conocimiento les ayuda en la gestión del riesgo de comportamiento y en la configuración de estrategias con respecto a grupos específicos del personal.
Los expertos de la propia empresa pueden interpretar rápidamente la causa de un entorno laboral poco saludable que dificulte la interacción efectiva.
La indiferencia de la alta gerencia ante los comentarios negativos, las discusiones sobre la competencia y el desempeño mediocre pueden estimular las prácticas clandestinas y el fraude. El análisis de la información interceptada permite a una organización establecer y calibrar el nivel y la localización del grupo de monitoreo.
Un enfoque inteligente de la gestión de riesgos facilita el control y llama rápidamente su atención hacia aquellos gerentes con poder de decisión que tiendan a favorecer a amigos y familiares cuando se trata de la distribución de tareas.
Tendrá conocimiento sobre cualquier contradicción grave que interfiera con la calidad del trabajo en equipo o que ocurra dentro de una junta directiva. Descubrirá la conducta poco profesional de los ejecutivos o empleados, así como el mercadeo en red y las conductas extremistas.
Un departamento interno de gestión de riesgos considera a los empleados como individuos
El grupo de monitoreo interno estará preocupado por la motivación y las actitudes de los empleados, estará consciente de los comentarios y las acciones, que son los primeros signos de una amenaza existente.
La información sobre cada uno de los empleados ayuda a los gerentes a tomar decisiones considerando los problemas del personal y a obtener una evaluación justa y precisa de los roles y tareas. Cualquier persona tiene habilidades y defectos únicos que pueden ser beneficiosas o perniciosas dentro de los límites de algún trabajo en particular. Estos detalles deben considerarse cuando se contrata a un empleado. El conocimiento de las propensiones de los empleados puede hacer que los chantajistas espíen y amenacen.
Integración del software
La automatización de procesos, proporciona todas las herramientas incluida la auditoría y la detección de riesgos, ayuda a encontrar las soluciones adecuadas y revela el origen de un problema. El sistema de análisis de riesgos debe ser elaborado y receptivo a las fortalezas y debilidades de una empresa para que el flujo de trabajo corporativo no se cambie completamente, sino que se optimice.
Existen sistemas desarrollados para la gestión de riesgos internos adaptados a los parámetros de servicio de GRC (Gobernanza, Gestión de riesgos y Cumplimiento). Proporcionan a la empresa un conjunto de herramientas para la detección de un infractor que está dispuesto a beneficiarse con los datos personales de los empleados.

La configuración de un sistema automatizado de gestión de riesgos le permite detectar rasgos particulares de la personalidad de un empleado, así como situaciones serias que pueden ser perjudiciales para su empresa: adicciones, deudas, actitudes violentas, juegos de azar.

Complejos algoritmos analizan la correspondencia entre los miembros del personal a través de los diferentes canales de comunicación e identifican tendencias perjudiciales.
Para proteger a una empresa, no es necesario que su especialista sea un administrador de riesgos con experiencia.
Existen soluciones que puede obtener resultados tan pronto como el sistema se instala en la empresa. Las políticas predeterminadas preajustadas inician la búsqueda de mensajes sospechosos o de alguna actividad atípica del personal que le proporciona a la alta dirección la información necesaria y actuar.
El monitoreo continuo del personal le permite cubrir todos los aspectos que pueden tener injerencia en un empleado o en toda la plantilla.

RELACIONADAS