En resumen
Ningún sistema de seguridad elimina el riesgo completamente. Lo que queda después de todos los controles es el riesgo residual. Y la pregunta que pocas organizaciones se hacen es: ¿cuánto riesgo residual es aceptable?
Por qué importa
El riesgo que no se nombra no desaparece. Se acepta implícitamente, sin decisión consciente, sin documentación y sin responsabilidad clara. Nombrar el riesgo residual es el primer paso para gestionarlo.
Ningún sistema de seguridad elimina el riesgo completamente. Los controles reducen la probabilidad y el impacto de los incidentes, pero no los llevan a cero. Lo que queda después de todos los controles es el riesgo residual. Y la pregunta que pocas organizaciones se hacen explícitamente es: ¿cuánto riesgo residual es aceptable?
Esa pregunta no es técnica. Es estratégica. Y la respuesta determina cuánto invertir en seguridad, qué controles implementar y qué riesgos asumir conscientemente.
Por qué el riesgo cero no existe
El riesgo cero requeriría controles perfectos aplicados con consistencia perfecta por personas perfectas en sistemas perfectos. Ninguna de esas condiciones existe. Intentar aproximarse al riesgo cero produce rendimientos decrecientes: cada reducción adicional del riesgo requiere inversiones exponencialmente mayores.
El punto de equilibrio óptimo está donde el costo marginal de reducir el riesgo iguala el beneficio marginal de esa reducción. Más allá de ese punto, la organización está pagando más por la reducción del riesgo de lo que el riesgo le costaría si se materializara.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
La organización que busca el riesgo cero no está siendo más segura. Está siendo menos eficiente. Y la ineficiencia tiene sus propios riesgos.
Cómo gestionar el riesgo residual
Hay cuatro estrategias para el riesgo residual: aceptarlo conscientemente, transferirlo (seguros, contratos), mitigarlo con controles adicionales, o evitarlo eliminando la actividad que lo genera. La elección entre estas estrategias debe ser explícita y documentada, no implícita.
El proceso de decisión
- ▸Identifica y cuantifica el riesgo residual después de los controles existentes.
- ▸Define el nivel de riesgo aceptable para tu organización — esto requiere decisión de la dirección, no solo del área de seguridad.
- ▸Compara el riesgo residual con el nivel aceptable.
- ▸Para los riesgos que exceden el nivel aceptable, decide explícitamente entre las cuatro estrategias.
- ▸Documenta las decisiones de aceptación de riesgo — la aceptación implícita es un riesgo en sí misma.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.