¿La política de seguridad de su empresa es peor que inútil?

Uno de mis primeros casos como investigador privado involucró a una cadena de talleres de reparación de automóviles donde se sospechaba que los gerentes de algunos talleres se embolsaban pagos en efectivo de los clientes. El propietario también sospechaba que algunos empleados entraban a escondidas en algunas de las tiendas a altas horas de la noche después de que cerraran el negocio y utilizaban las instalaciones, las herramientas y el equipo de diagnóstico de la empresa para trabajar en los coches de sus amigos.

Mi investigación implicó hacerse pasar por un cliente, cámaras ocultas, vigilancia dirigida y algunos análisis informáticos forenses. Al concluir la investigación, pude establecer que más de un gerente de la tienda se estaba embolsando rutinariamente los pagos en efectivo de los clientes y, además de usar la tienda por las tardes después del horario comercial para reparar los vehículos de un amigo, un gerente trabajaba hasta altas horas de la noche en -el negocio de reparación de automóviles de mesa utilizando las instalaciones y equipos de la empresa.

Una de las sugerencias que le hice al propietario fue que debería agregar algunos protocolos a la política de seguridad de la empresa sobre cómo los gerentes manejan los pagos en efectivo de los clientes y también incluir algunas reglas sobre el uso de las instalaciones y el equipo de la tienda fuera del horario de atención. Para mi sorpresa, el propietario dijo que su empresa No política. En ese momento, me sorprendió. Pero desde entonces he descubierto más y más pequeñas empresas (incluso algunas medianas) que no tienen una política escrita relacionada con la seguridad. De aquellas empresas que realmente tenían una política por escrito, muchas no habían revisado o actualizado su política en muchos años.

La importancia de que toda empresa tenga una política de seguridad.

Muy pocas empresas en los Estados Unidos están obligadas por ley a tener una política de seguridad. No es probable que el establecimiento de una política resuelva los problemas de seguridad, pero es un punto de partida importante. Una política bien elaborada proporciona un marco para identificar los riesgos de seguridad y describe cómo la empresa planea proteger esos activos. También es un anuncio inequívoco de la dirección de que la empresa tiene un compromiso serio con la seguridad y es una forma de que la empresa se comprometa a tomar medidas para proteger los activos y mantener al personal seguro y protegido.

A menudo, las políticas son una mezcolanza de reglas y procedimientos, pautas y tal vez algunos estándares, todo reunido a toda velocidad en un solo documento y llamado «Política de seguridad». Existe una diferencia entre la política, las pautas, las reglas y los procedimientos, y estas distinciones no son solo académicas.

En resumen, las políticas son principios generales de la administración y están destinadas a establecer un tono e influir en el comportamiento. Los estándares son niveles de calidad o logro y generalmente involucran «Mejores Prácticas» de la industria. Las pautas son declaraciones destinadas a guiar el comportamiento. Las reglas le dicen a una persona qué hacer o no hacer en una situación específica. Los procedimientos son una forma fija de hacer algo.

Las reglas y los procedimientos son partes importantes de una política bien elaborada, pero la política debe ser lo primero. Los estándares surgen de la política y las directrices y las reglas surgen de los estándares. A esto le siguen los procedimientos.

Las políticas efectivas forman la base de todo el enfoque de seguridad de la empresa y la creación de una política práctica y efectiva no es algo que se haga mejor por capricho o por alguien que carece de las habilidades o la motivación para hacerlo bien. La elaboración de una política eficaz implica una planificación profunda y numerosos pasos en capas secuenciales. A menudo, es mejor contratar a alguien que tenga experiencia en el desarrollo de políticas de seguridad para abordar la tarea o al menos brindar asistencia.

Las buenas políticas vienen en muchas formas y tamaños, pero la base de una política de seguridad física bien elaborada incluye:

* IDENTIFICACIÓN DE ACTIVOS. Identificar los activos que necesitan protección

En un entorno de seguridad física, esto incluye edificios, estacionamientos y otras instalaciones, salas y oficinas interiores, puntos de entrada, inventario, equipo y muchas otras cosas.

* EVALUACIÓN DE VULNERABILIDAD DE ACTIVOS

La identificación eficaz de los activos debe ir acompañada de una evaluación de la vulnerabilidad de los activos, ya que no todos los activos requieren el mismo nivel de protección.

* ESTRATEGIAS DE PROTECCIÓN DE ACTIVOS

¿Cuál es el plan para proteger activos específicos?

* CAPACITACIÓN

¿Quién en la empresa necesita formación en seguridad y qué tipo de formación es la mejor?

* EVALUACIÓN y REVISIÓN

¿Cómo se medirá la eficacia de la política de seguridad? ¿Con qué frecuencia se revisará y modificará la política de seguridad según sea necesario?

Una vez que estos elementos se articulan y documentan en una Política de seguridad estructurada adecuadamente, entonces (y solo entonces) deben desarrollarse estándares, directrices y reglas, y procedimientos específicos que respalden la Política de seguridad general.

Los elementos de una política de seguridad física se pueden ampliar según la empresa y las necesidades comerciales. A menudo, la protección física de los datos también se aborda en una Política de seguridad física y la política está casada con una política de «TI» o de seguridad de datos.

¿La política de seguridad de su empresa es peor que inútil?

Si una empresa no desarrolla su política a través de un proceso sistemático de identificación de activos, evaluación de riesgos, estrategias de protección, capacitación de personal clave y proporciona un proceso de evaluación y revisión, la política de seguridad termina siendo solo un documento elegante que acumula polvo en la cuenta de algunos gerentes. estante. Cuando eso sucede, la política de seguridad es peor que inútil.

¿Cómo puede algo ser peor que inútil? Tener una política que es un conglomerado aleatorio de políticas, estándares, reglas y procedimientos que simplemente «evolucionaron» con el tiempo o fue creada por alguien que carecía de la habilidad o motivación para hacer bien el trabajo, crea confusión entre el personal. Cuando se produce confusión, se deja que el personal se las arregle solo. A veces lo hacen bien, a veces no. Y lo que es peor, a veces los supervisores intentan hacer cumplir las reglas y procedimientos que no se siguen o hacen cumplir de manera constante. Esto da como resultado una baja moral de los empleados, quejas del tipo de Recursos Humanos y, a veces, incluso juicios.

Las empresas pueden minimizar la aparición de todos estos problemas si tienen una política eficaz y hábilmente construida seguida de reglas y procedimientos de seguridad prácticos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *