Terminios y Definiciones
Los términos y definiciones presentados a continuación se utilizaron en el libro Gestão de Riscos na Segurança Patrimonial: www.consultoriadeseguranca.com.br - y en el método de evaluación del riesgo Total-Risk. Se recomienda consultar los estándares ISO GUIA 73 y ISO 31000, que sirvieron como referencia para el desarrollo de esta lista.
Las definiciones contenidas en este documento no tienen la intención de concluir o agotar los temas cubiertos en el libro, sino más bien servir como una fuerza impulsora para nuevas, más completas y adecuadas definiciones, que se desarrollarán en el futuro.
- Entorno externo o contexto externo: Características e información relacionadas con el entorno externo del sistema de referencia estudiado. Contexto en el que la organización desarrolla sus actividades y busca alcanzar sus objetivos. Específicamente, incluye calles, barrios, ciudad y país. De manera abstracta, involucra cultura, costumbres, sociedad, política, leyes, economía, madurez tecnológica y economía.
- Entorno interno o contexto interno: Entorno en el que se inserta el sistema de referencia. Involucra de manera concreta toda la estructura física y lógica de la organización y de manera abstracta personas, cultura organizacional, procesos internos, actividades desarrolladas en la organización, estructura organizacional, funciones, responsabilidades, políticas, estrategias, objetivos, sistemas de información y procesos para tomar decisión (formal e informal).
- Amenaza: Es cualquier anuncio, acto, indicación, circunstancia, peligro o evento con el potencial de dañar, asustar, causar daño, generar pérdidas, consecuencias negativas o incertidumbre en los objetivos de la organización. La amenaza es un componente del riesgo. En la GUÍA ISO 73: 2009, los términos fuente de riesgo y evento tienen significados aproximados a los utilizados en este libro para amenazas.
- Análisis de riesgo: Actividad intrínseca al proceso de evaluación de riesgos dirigida a explicar cómo se presenta el riesgo en un dado sistema de referencia (organización). Ocurre después de la identificación de riesgos y proporciona los datos necesarios para el siguiente, la evaluación de riesgos en sí. Es en esta etapa que el riesgo y sus variables (amenaza, vulnerabilidad, probabilidad, impacto y controles) se cuantifican y califican, proporcionando estimaciones confiables para la evaluación del riesgo. Las estimaciones producidas durante el análisis de riesgos servirán como punto de referencia para futuras evaluaciones de riesgos.
- Activo: Estos son los activos y derechos que tiene la empresa en un momento dado. Puede estar representado por cualquier equipo, infraestructura, material, información, activos tangibles, activos intangibles o actividades que tengan valor para su propietario. Para fines didácticos, clasificamos los activos en tres categorías: activos físicos (ejemplos: automóvil, computadora, construcción, etc.); activos inmateriales (ejemplos: información e imagen); y activos intelectuales (ejemplos: empleados y personas que trabajan directamente en los procesos de la organización).
- Evaluación de riesgos: Proceso que consiste en comparar los resultados del análisis de riesgos con los criterios de riesgo para determinar si el riesgo o su magnitud es aceptable o tolerable. La evaluación de riesgos debe ayudar positivamente en el proceso de toma de decisiones con respecto a la implementación o adecuación de los controles (tratamiento de los riesgos).
- BIA (Business Impact Analyzes): El análisis de impacto empresarial tiene como objetivo identificar, mapear y analizar los procesos críticos de la organización (incluidos los recursos necesarios), el alcance de los daños, la evolución del impacto en el tiempo (horas, días y semanas de inactividad) y las pérdidas resultantes de la interrupción de los procesos comerciales. También se evalúa el costo de volver a la normalidad, lo que conduce a la asignación de objetivos de recuperación y priorización.
- Ciencias actuariales: Área de conocimiento que apoya el cálculo del valor de seguros, pensiones, etc. Tienen la base conceptual en ciencias tales como economía, contabilidad, matemáticas, administración y finanzas.
- Comunicación: Acto, efecto o proceso de transmisión y recepción de mensajes de manera ininterrumpida y estructurada. Debe ser interactivo y bidireccional. En seguridad, su objetivo es proporcionar, compartir u obtener datos, informes e información de interés dentro de las actividades de gestión. La información puede referirse al contexto, amenazas, vulnerabilidades, consecuencias, naturaleza, probabilidad, evaluación, aceptabilidad, control, tratamiento u otros aspectos de la gestión de la seguridad. Debe subsidiar las decisiones mediante la influencia y no mediante la imposición por el poder. El proceso de comunicación debe contribuir a la toma de decisiones, y no ser una toma de decisiones colectiva. Los componentes de comunicación son: áreas de envío, receptores, mensajes, canal de propagación, medios de comunicación, respuesta y entorno en el que tiene lugar el proceso comunicativo. El proceso de comunicación sufre interferencia debido al ruido, la interpretación, la comprensión y el contexto.
- Consecuencia: Resultado percibido después de la materialización de un riesgo. Es el impacto percibido después de que una amenaza explota la vulnerabilidad de la organización. Efecto negativo o positivo de un evento que afecta los objetivos de la organización. Un evento puede generar más de una consecuencia y una consecuencia puede generar uno o más eventos. Las consecuencias pueden expresarse tanto cuantitativa como cualitativamente. El término impacto también se puede utilizar.
- Crisis: Situación angustiosa, momento grave, situación peligrosa, dificultades serias. La crisis puede tener consecuencias, la necesidad de adaptaciones rápidas y un desequilibrio en la organización o sus procesos. La evolución de la crisis puede traer beneficios o pérdidas a la organización, dependiendo de la velocidad, efectividad y eficiencia de la respuesta. Cada crisis necesariamente conduce a una mayor vulnerabilidad, una mayor exposición a las amenazas y requiere la capacidad de adaptación e de reacción. En el campo de priscología, en particular psicología del desarrollo, el concepto de crisis se explica como la situación completa de cambio biológico, psicológico o social, que requiere un esfuerzo adicional de la persona o grupo para mantener equilibrio o estabilidad emocional. Corresponde a momentos en la vida de una persona o un grupo cuando hay una ruptura en su homeostasis psíquica y pérdida o cambio de los elementos estabilizadores habituales.
- Criterios de riesgo: Referencia utilizada como parámetro para el proceso de evaluación de riesgo en una organización. Para definir los criterios de riesgo, se tienen en cuenta los factores críticos de éxito de la organización, los objetivos de la organización, el contexto interno y el contexto externo. Pueden influir en los criterios de riesgo: cultura organizacional, cultura de país o región, reglas, políticas, leyes, entre otros.
- Tomador de decisiones o cliente contratante: En este trabajo usamos esta terminología para referirnos al presidente, CEO, ejecutivo responsable o simplemente al cliente-contratista del servicio de consultoría o proyecto de seguridad. Nos referimos al profesional de la organización con la responsabilidad de contratar servicios de seguridad, para decidir qué acciones se deben desarrollar en respuesta a la información obtenida a través de la evaluación de riesgos. Por lo general, este profesional también será el titular o propietario de los riesgos evaluados.
- Estrategia de tratamiento de riesgos: El enfoque de la organización para evaluar los riesgos y, finalmente, definir formas de tratamiento para modificarlos mediante la adaptación de los controles existentes o la implementación de nuevos controles. Las posibles actitudes de la organización hacia el riesgo son: asumir (aceptar), compartir, financiar (actuar sobre la consecuencia), alejarse o evitar el riesgo. También hay otras nomenclaturas en el mercado para designar estas posibles actitudes hacia el riesgo. Buscar y retener también son posibles actitudes hacia el riesgo, sin embargo, poco se encuentran en la seguridad empresarial. El proceso de tratamiento de riesgos puede involucrar una de las siguientes acciones o una combinación de ellas: cambiar la probabilidad, el impacto, controlar la amenaza o cambiar el tamaño de las vulnerabilidades. La estrategia de tratamiento de riesgos también puede denominarse mitigación de riesgos, prevención de riesgos o actitud hacia el riesgo.
- Estructura de gestión de seguridad: Conjunto de procesos, personas y actividades que proporcionan las bases organizacionales para estudios, proyectos, implementación, monitoreo, análisis crítico y mejora continua de la estructura de gestión de seguridad en toda la organización. Los fundamentos de la estructura incluyen la estrategia, objetivos, política, recursos involucrados, responsabilidades, procesos y actividades. La estructura de gestión de seguridad debe estar presente en todas las áreas, procesos, actividades y ubicaciones de la organización.
- Evento de riesgo o evento: Ocurrencia, ausencia de ocurrencia o cambio en un conjunto específico de circunstancias con o sin impacto en la organización. Un evento de riesgo puede tener varias causas de diferentes orígenes, generadas por factores: humanos (por acción, u omisión humana, directa o indirectamente, voluntaria o involuntariamente); natural (de fenómenos naturales); técnico (debido a fallas o uso inadecuado de equipos, utensilios o instrumentos); y biológicos (causados por animales o microorganismos).
- Fatores críticos de sucesso: Los factores críticos de éxito (FCE) son criterios que pueden definir el éxito o el fracaso de uno o más objetivos definidos en la planificación estratégica de una organización determinada. El FCE puede considerarse diferencial al definir las estrategias que adoptará la organización y la necesidad que tienen de satisfacer al cliente a través de estos factores. Los FCE se identifican a través de un estudio de los propios objetivos de la organización o sus derivados, y se establecen como condiciones fundamentales que deben cumplirse para que la institución sobreviva y prospere. Cuando está bien definido, el FCE se convierte en referencias para las actividades de la organización.
- Gestión de crisis: Actividad atípica con el objetivo de identificar, obtener y aplicar procesos específicos y recursos estratégicos para la solución de crisis. Establece acciones y responsabilidades para llevar a cabo el proceso. Debe desarrollarse previamente y revisarse periódicamente para mantener su eficacia y evitar consecuencias que puedan originarse por eventos de riesgo intrínsecos a las actividades de la organización. Se caracteriza por el estado de grandes tensiones, con alta probabilidad de empeoramiento, difícil de predecir el desarrollo y la extensión.
- Gestión de riesgos: Acciones o procesos coordinados para liderar y controlar una empresa u organización en todo lo relacionado con los riesgos. También se puede describir como gestión de riesgos de seguridad para designar objetivamente qué parte de los riesgos de la organización se gestionarán.
- Identificación de riesgo: Actividad estructurada y coordinada que tiene como objetivo reconocer, ubicar, señalar, comprender, nombrar, distinguir y diferenciar los riesgos de una organización y sus componentes (amenaza, vulnerabilidad, probabilidad, impacto y controles). El proceso de identificación de riesgos puede evolucionar (sin limitarse a) observaciones, entrevistas y pruebas de apoyo (experimentos).
- Impacto: Lo mismo como consecuencia, el resultado de un evento de riesgo que afecta los objetivos de la organización. El impacto es uno de los componentes del riesgo.
- Impacto financiero: Conversión y suma en valores monetarios de todas las consecuencias directas (o intrínsecas), indirectas (o subjetivas), derivadas de la materialización de un riesgo o grupo de riesgos.
- Inspección: Acto o efecto de inspección, inspección, inspección.
- Manual de Seguridad: Conjunto de reglas, regulaciones y procedimientos de seguridad agrupados en el mismo cuaderno, folleto, libro o archivo de computadora, organizados en el orden determinado por la persona responsable del cumplimiento, con el objetivo de disciplinar la ejecución de las actividades de seguridad dentro de los microprocesos y el macroproceso de la organización.
- Método: En ciencia, el método consiste en una serie de pasos codificados que deben seguirse de una manera más o menos estructurada para lograr un determinado objetivo científico. Podemos entender el método como: forma de decir, hacer, enseñar una cosa, de acuerdo con ciertos principios y en un cierto orden. Manera de actuar. Búsqueda racional de explicaciones: método cartesiano. Sinónimos del método: arreglo, manera, orden, proceso y sistema. Para los propósitos de este trabajo, nos referimos al método de trabajo, o simplemente método, para denotar la forma en que se organiza, estructura y desarrolla una actividad de consultoría.
- Metodología: Cabe señalar que la metodología de la palabra se usa a menudo cuando el método de la palabra sería más apropiado. El término metodología incluye los siguientes conceptos, en relación con una disciplina particular o campo de estudio: colección de teorías, conceptos e ideas; estudio comparativo de diferentes enfoques o métodos; y crítica de un método individual. La metodología es el estudio de los métodos. Su objetivo es capturar y analizar las características de varios métodos, evaluar sus capacidades, potencial, limitaciones o distorsiones y criticar los supuestos o implicaciones de su uso, además de ser una disciplina que estudia los métodos, la metodología es la explicación detallada, rigurosa y exacta de todas las acciones desarrolladas en el método (ruta) del trabajo de investigación.
- Modus operandi: Expresión latina que significa "modo de funcionamiento". Significa la forma de actuar o realizar una actividad, generalmente siempre realizada de la misma forma, que nos permite identificar quién la realizó.
- Reglas de seguridad: Regula y proporciona orientación sobre los procedimientos de seguridad obligatorios relacionados con una organización. Se pueden agrupar por tema o por temas relacionados, organizados en el orden determinado por la organización sobre su aplicabilidad.
- Organización: Para los propósitos de este estudio, consideramos que cualquier organización privada, pública, comunitaria, asociación, grupo de personas o incluso un individuo es una organización. No se limita al sector o área de actividad.
- Plan de continuidad de negocios: Del idioma ingles Business Continuity Plan – BCP, establecido por ABNT NBR 15999 Parte 1, es el desarrollo preventivo de un conjunto de estrategias, planes de acción y actividades destinadas a garantizar que los servicios esenciales se identifiquen y conserven después de que ocurra un desastre, hasta que vuelva a la normalidad. El plan de continuidad del negocio es responsabilidad de los directores de la organización. Consiste en los siguientes planes: plan de contingencia; plan de gestión de crisis (PGC); plan de recuperación de desastres (PRD); y plan de continuidad operacional (PCO). Estos planes tienen como objetivo formalizar las acciones que se desarrollarán en tiempos de crisis, recuperación, continuidad y reanudación, evitando que los procesos comerciales críticos de la organización se vean afectados y causen pérdidas financieras.
- Plan de gestión de seguridad: Forma, manera, secuencia de actividades dentro de la estructura de gestión de seguridad que especifica el enfoque, los componentes de gestión y los recursos humanos, técnicos y organizativos que se utilizarán para gestionar la seguridad frente a los riesgos identificados en la organización. El plan puede incluir reglas, procedimientos, controles, actividades, acciones, prácticas, atribuciones, responsabilidades, pasos a seguir, cronología de actividades y puede aplicarse a parte de un proceso, departamento, estructura física o a toda la organización.
- Plan de recuperación en un desastre (o Disaster Recovery Plan – DRP) : Proceso documentado que indica las responsabilidades y acciones a tomar para recuperar los servicios y procesos críticos de una organización después de eventos extremos con interrupción total o parcial de sus actividades y procesos. Su objetivo es volver a la normalidad en el menor tiempo posible, minimizando las consecuencias que pueden conducir a la desaparición de la organización. La planificación consta de varias fases y puede proporcionar los siguientes pasos: planificación inicial de actividades; evaluación de vulnerabilidad y definición de requisitos de la organización o proyecto; identificación, análisis y evaluación de consecuencias comerciales; detallando las consecuencias en diferentes escenarios; desarrollo del plan en sí; plan de simulación; plan de mantenimiento y actualización; y despliegue.
- Plan de emergencia: Sistematización de un conjunto de reglas, procedimientos lógicos, técnicos y administrativos, estructurados para minimizar o evitar consecuencias resultantes de desastres predecibles como incendios. Mediante una gestión eficiente de los recursos disponibles, proporciona una respuesta rápida y efectiva. Su objetivo es proteger la vida, el medio ambiente y los activos de la organización, así como contribuir a la continuidad del negocio. Proporciona información técnica y operativa sobre la estructura física de la organización y sus áreas críticas.
- Política de gestión de la seguridad: Declaración de la organización que contiene sus intenciones y pautas generales relacionadas con los riesgos involucrados en sus actividades y cómo serán tratados por la estructura de gestión de seguridad.
- Suposiciones o contexto: Identificación y establecimiento de variables de riesgo internas y externas relacionadas con un sistema de referencia (organización). Usualmente identificado y definido en base a encuestas de campo, entrevistas y investigaciones. Son necesarios para establecer el alcance del trabajo relacionado con la gestión de la seguridad y los criterios de riesgo que se utilizarán en el proceso de evaluación de riesgos.
- Probabilidad: Es la posibilidad o la eventualidad de que ocurra algo (evento incierto o conocido), independientemente de si es posible medir, definir o determinar. La probabilidad, cuando se relaciona con el riesgo, puede describirse y definirse objetiva o subjetivamente, cualitativa o cuantitativamente, utilizando términos generales o matemáticos. En términos matemáticos, la probabilidad varía entre 0 (imposible de producir) y 1 (certeza inconfundible de que algo está sucediendo). La probabilidad es uno de los componentes del riesgo. Dependiendo del contexto utilizado, la palabra probabilidad puede aparecer como posibilidad, viabilidad, expectativa, riesgo, incertidumbre, duda, suposición, suerte, esperanza o mala suerte.
- Procedimientos de seguridad: Forma de actuar, secuencia de acciones o instrucciones a seguir para resolver problemas y realizar tareas relacionadas con la seguridad.
- Proceso de evaluación de riesgos: Proceso completo e integral que implica la identificación, el análisis de riesgos y la evaluación de riesgos de un sistema de referencia (organización). Es parte del proceso de gestión de seguridad de una organización.
- Proceso de gestión de riesgos: Es un proceso estructurado que expande el proceso de evaluación de riesgos para permitir la actividad de gestión. Para una comprensión completa, consulte la ABNT ISO GUIA 73:2009.
- Proceso de gestión de seguridad: Aplicación sistemática de políticas, estándares, procedimientos y prácticas de gestión para las actividades de gestión de seguridad en la organización. También implica actividades de gestión de riesgos.
- Proceso de toma de decisiones: Proceso cognitivo mediante el cual se elige una estrategia y un conjunto de acciones, entre varias opciones, basadas en evaluaciones de riesgos, escenarios, entornos, opiniones, estudios y otros factores. El proceso de toma de decisiones necesariamente debe producir una elección final, es decir, la toma de decisiones se refiere al proceso de elegir el camino más apropiado para la empresa, en una circunstancia dada.
- Proyecto: La palabra proyecto proviene de la palabra latina projectum del verbo latino proicere, "antes de una acción", que a su vez proviene de pro, que denota precedencia, algo que viene antes que cualquier otra cosa en el tiempo (en paralelo con el griego πρό) y iacere, "haver". Por lo tanto, la palabra "proyecto" en realidad significaba originalmente "antes de una acción". Estas son las principales características de los proyectos: son temporales, con un principio y un final definidos; se planifican, ejecutan y controlan; entregar productos, servicios o resultados únicos; se desarrollan en etapas y continúan incrementándose con elaboración progresiva; son realizados por personas; y tienen recursos limitados. La Guía PMBOK, una guía sobre gestión de proyectos, es ampliamente reconocida como una buena práctica y utilizada como base por el Project Management Institute (PMI). Esta misma guía identifica sus elementos recurrentes en la gestión de proyectos, que son cinco: Inicio; planificación; ejecución; monitorear y controlar; y cierre. Diez son las áreas gestionadas en los proyectos: integración; alcance; costos; calidad; adquisiciones; recursos humanos; comunicaciones; riesgo; tempo; y partes interesadas. En este trabajo, nos referimos al proyecto como cualquier actividad desarrollada por el consultor con las siguientes características principales: ser temporal, tener un principio y un final definidos; ser planeado, ejecutado y controlado; entregar un servicio o resultado único; desarrollarse en etapas; y tener recursos definidos y controlados.
- Proteger: Defiender, preservar o proteger los bienes, la información y la imagen del evento de riesgo. La protección a menudo se relaciona con contener la amenaza o reducir la vulnerabilidad existente.
- Recursos de seguridad o controles de seguridad.: Son todas actividades, prácticas, acciones, procesos, procedimientos, equipos, tecnologías, estándares, políticas o medidas capaces de modificar los riesgos de la organización. Didácticamente, los recursos de seguridad se dividen en: humanos, técnicos y organizativos (procesos). Su objetivo es proteger los activos y las personas de la organización de las amenazas, reduciendo las vulnerabilidades o las probabilidades, o limitando las consecuencias indeseables.
- Reducción de impacto: Control del alcance de las consecuencias que puede producir un riesgo determinado.
- Riesgo: Efecto (positivo o negativo) de la incertidumbre sobre los objetivos, que puede causar desviaciones. El riesgo tiene como variables: amenaza, vulnerabilidad, probabilidad, impacto y controles. El riesgo es intrínseco a las actividades humanas y solo puede eliminarse por completo cuando se cierran las actividades correspondientes. Los riesgos se pueden clasificar de diferentes maneras y con diferentes criterios. Una de las formas más utilizadas para verificar la magnitud o el nivel de un riesgo considera la combinación del impacto (consecuencia) y la probabilidad.
- Riesgo residual: No se puede eliminar un riesgo sin eliminar también la actividad involucrada. Por lo tanto, el tratamiento de todo riesgo, con el propósito de llevarlo a niveles aceptados por la organización, presupone riesgos residuales. Cualquier riesgo restante después de ser tratado adecuadamente puede considerarse riesgo residual o riesgo retenido.
- Seguridad: Estado, calidad, condición de lo que se percibe como seguro, libre de peligro, seguro, protegido. Percepción, sensación o sentimiento de estar protegido de riesgos, peligros, pérdidas, amenazas o consecuencias. La sensación de seguridad puede ser percibida de manera diferente por las partes interesadas dentro del mismo proyecto, departamento u organización.
- Seguridad corporativa: También conocido como seguridad institucional, seguridad corporativa o seguridad de la organización. Su objetivo es abordar los eventos de riesgo y sus variables (amenaza, vulnerabilidad, probabilidad, impacto y controles) a través de procesos que involucran recursos humanos, técnicos y organizacionales para reducir las incertidumbres en los objetivos de la organización. Protege a las personas, los bienes, la información, la imagen y el medio ambiente. Utiliza técnicas apropiadas, buscando un equilibrio entre inversión, protección y nivel de riesgo, siempre enfocándose en los objetivos de la organización y sus factores críticos de éxito.
- Sensación de inseguridad (o riesgo percibido): Percepción, sensación, visión o sentimiento de que algo puede suceder, produciendo consecuencias diferentes de lo esperado. Mayor efecto negativo de la incertidumbre sobre los objetivos de la organización.
- Siniestro: Un hecho ya materializado que impacta, causa daño, pérdida, sufrimiento o muerte. El siniestro es el resultado de uno o más eventos con consecuencias negativas (ejemplos: incendio, accidente, robo etc.) para la organización o persona.
- Sistema de referencia (SR): Para los propósitos de este estudio, consideramos el sistema de referencia total o parcialmente de una empresa, asociación, grupo de personas o individuos. No se limita al sector o área de actividad. La diferencia didáctica entre la definición de organización y el sistema de referencia es que el segundo puede estar limitado a una instalación, persona, proceso, proyecto, activo, fracción, parte o actividad de una organización. El SR es el objeto u objetivo a partir del cual se desarrolla la evaluación de riesgos.
- SLA(service level agreement): Acuerdo de nivel de servicio para el control efectivo de esta calidad en la prestación de servicios. Puede referirse a un proceso o a toda la organización.
- Vulnerabilidad: Características intrínsecas de una organización, proceso, actividad u objeto que resultan en susceptibilidad a una o más amenazas que pueden conducir a un siniestro (o accidente) con un impacto. Debilidad, predisposición o fragilidad intrínsecas a una organización, estructura o equipo que resultan en susceptibilidad a una amenaza (fuente de riesgo), permitiendo el acceso a bienes o personas, lo que puede causar consecuencias, daños o pérdidas (impacto). Diferentes organizaciones tienen diferentes niveles de exposición para las mismas vulnerabilidades. La vulnerabilidad es uno de los componentes del riesgo.