Por qué es necesario disponer de un Programa de Gerencia de Riesgos y cómo comenzar a elaborarlo

El entorno empresarial se vuelve cada día más complejo por el aumento de la competencia, los mercados y cadenas de suministro globales así como por las presiones constantes relativas a los costes que ya forman parte de la una nueva normalidad. El aumento de la confianza en la tecnología digital ha puesto de manifiesto los riesgos emergentes mientras que los fenómenos naturales continúan produciendo pérdidas económicas significativas. Todo ello sin contar con la situación de pandemia, la cual no entraba en nuestros cálculos dado que nadie había previsto. Este panorama operativo evidencia la necesidad imperiosa de que pequeñas y medianas empresas cuenten con un programa de gestión de riesgos actualizado y adecuado a esta nueva realidad.

Si todavía no dispone de un programa de gestión de riesgos, le proponemos estudie algunas áreas prioritarias en las que su empresa puede resultar vulnerable. Asimismo, le sugerimos medidas que puede adoptar para eliminarlas, minimizarlas o controlarlas.
 

Sus empleados: 

1. Imparta formación a sus empleados sobre políticas de la empresa, programas de seguridad, gestión de información y respuesta ante emergencias. Imparta cursos de actualización periódicos a todos sus empleados. Elabore registros de formación documentados.
2. Desarrolle, revise y pruebe su plan de evacuación de emergencia al menos cada 12 meses. 
3. Utilice un sistema de seguridad que elimine el acceso a antiguos empleados y contratistas.
4. Implante políticas y salvaguardias frente al fraude y la malversación.
5. Enseñe a sus empleados a utilizar y mantener de forma adecuada los equipos de protección individual.
6. Disponga de un programa de ergonomía adecuado.

Sus operaciones y bienes: 

1. Identifique los materiales peligrosos (incluidos los líquidos inflamables o combustibles) y asegúrese de que existen controles adecuados para manejar, almacenar, dispensar y eliminar de forma segura estos materiales.
2. Asegúrese de evaluar de forma adecuada los riesgos de incendio. Los equipos de protección y control de incendios deberían conservarse en condiciones operativas e inspeccionarse de conformidad con las normativas aplicables. Los sistemas de detección y extinción de incendios deben ser los adecuados para las instalaciones, procesos, almacenes, etc.. y enviar señales a una ubicación atendida de forma constante.
3. Mantenga las rutas de tránsito, vías de evacuación y los espacios de trabajo ordenados y despejados.
4. Asegúrese de que los sistemas eléctricos están instalados e inspeccionados de conformidad con las normativas aplicables. Sustituya los alargadores por cableado permanentes.
5. Asegúrese de que la maquinaria cuente con las protecciones adecuadas. Se deben de utilizar siempre procedimientos escritos y adecuados de bloqueo y etiquetado (lockout/tagout).
6. Disponga de un espacio de recepción apropiado y controlado para los visitantes.
    

Condiciones meteorológicas adversas: 

1. Disponga de un Plan de Gestión de Continuidad de las Actividades y elabore Planes de Respuesta ante Emergencias. Revise y pruebe los planes de forma anual.
2. Prepárese para la existencia de fenómenos naturales adversos. Por ejemplo, en una zona donde se produzcan inundaciones, sitúe los activos críticos por encima de los posibles niveles de inundación; disponga de materiales apropiados tales como sacos de arena, barreras contra inundaciones, etc.; instale controles para evitar una posible contaminación.
    

Sus sistemas de TI y tecnología: 

1. Disponga de una política de ciberseguridad formal con la colaboración de un profesional de seguridad informática cualificado que utilice normas de ciberseguridad aceptadas, como los marcos ISO27001 o NIST. Esta política debe abarcar todos los sistemas empresariales (incluidas, por ejemplo, bases de datos administrativas, software de fabricación y sistemas de diseño, herramientas de CRM (Gestión de las Relaciones con los Clientes) y ERP(Planificación de Recursos Empresariales)), conexiones de red con clientes y proveedores, sistemas de gestión de almacenamiento y de copias de seguridad en la nube, y asegurar los procesos de desarrollo de productos.
2. Asegúrese de que su programa de Gestión de la Continuidad de las actividades incluye sucesos cibernéticos así como los planes de respuesta asociados.
3. Elabore un Plan de Respuesta frente a filtraciones/hackeo de datos específico que sirva de apoyo a la contención, investigación y comunicación si se producen incidentes de este tipo. Asegúrese de que se revisa y se prueba cada año, de forma que se asegure su efectividad y su actualización.
4. Haga copias de seguridad periódicas de datos e información relevante del sistema y almacénelos fuera de las instalaciones. Se deberá de asegurar de que su capacidad de recuperación de éstos satisface las necesidades de su empresa minimizando el impacto en los ingresos.
5. Implante sólidos procedimientos de gestión de acceso a través de su red, incluido el acceso a sistemas críticos y datos sensibles, como información personal, sanitaria así como información confidencial de la sociedad.
6. Imparta formación a sus empleados al menos una vez al año sobre buenas prácticas cibernéticas, incluida la gestión de contraseñas seguras, ingeniería social/ concienciación de la suplantación de identidad (phishing) así como la importancia de proteger la información sensible.
    

Si quiere obtener más información sobre cómo mitigar los riesgos en su empresa, visite nuestro apartado del Departamento de Ingeniería de Riesgos. https://www.chubb.com/es-es/