La gestión de la seguridad es la identificación de los activos de una organización (incluidas las personas, los edificios, las máquinas, los sistemas y los activos de información ), seguida del desarrollo, la documentación y la implementación de políticas y procedimientos para proteger los activos.
Una organización utiliza dichos procedimientos de gestión de la seguridad para la clasificación de la información , la evaluación de amenazas, la evaluación de riesgos y el análisis de riesgos para identificar amenazas, categorizar activos y calificar las vulnerabilidades del sistema. [1]
La prevención de pérdidas se enfoca en cuáles son los activos críticos de uno y cómo se van a proteger. Un componente clave para la prevención de pérdidas es evaluar las amenazas potenciales para el logro exitoso de la meta. Esto debe incluir las oportunidades potenciales que promueven el objeto (¿por qué correr el riesgo a menos que haya una ventaja?) Equilibre la probabilidad y el impacto, determine e implemente medidas para minimizar o eliminar esas amenazas. [2]
La gestión de riesgos de seguridad aplica los principios de gestión de riesgos a la gestión de amenazas de seguridad. Consiste en identificar amenazas (o causas de riesgo), evaluar la efectividad de los controles existentes para enfrentar esas amenazas, determinar la(s) consecuencia(s) de los riesgos, priorizar los riesgos calificando la probabilidad e impacto, clasificar el tipo de riesgo y seleccionar un opción de riesgo adecuada o respuesta al riesgo. En 2016, se desarrolló en los Países Bajos un estándar universal para la gestión de riesgos. En 2017, se actualizó y se denominó: Universal Security Management Systems Standard 2017.
La primera opción a considerar es la posibilidad de eliminar la existencia de oportunidad delictiva o evitar la creación de tal oportunidad. Cuando no se crean consideraciones o factores adicionales como resultado de esta acción que crearían un riesgo mayor. Por ejemplo, eliminar todo el flujo de efectivo de una tienda minorista eliminaría la oportunidad de robar el dinero, pero también eliminaría la capacidad de realizar negocios.
Al evitar o eliminar los conflictos de oportunidades delictivas con la capacidad de realizar negocios, el siguiente paso es reducir la oportunidad de pérdida potencial al nivel más bajo compatible con la función del negocio. En el ejemplo anterior, la aplicación de la reducción de riesgos podría resultar en que la empresa mantenga solo suficiente efectivo disponible para la operación de un día.