"Más del 90% de las amenazas que son investigadas en un proceso de gestión de riesgos, pueden ser eliminadas."
Resulta altamente conveniente identificar las amenazas y vulnerabilidades para contar con elementos sólidos sobre los cuales construir una solución de seguridad efectiva. De otra forma se puede caer en el error de generar la solución correcta para el problema equivocado.
Es por ello que manejar correctamente los riesgos, es imperativo para quienes quieren desarrollar soluciones de seguridad que realmente cumplan su función.
A continuación, se muestra una metodología básica para la gestión de riesgos, pero antes algunos conceptos fundamentales:
¿Qué es un riesgo?
El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas (impacto). Los factores que lo componen son la amenaza y la vulnerabilidad.
¿Qué es una amenaza?
Una amenaza, se refiere a la probabilidad de ocurrencia de una situación peligrosa. Es el peligro inminente, de un hecho o acontecimiento que aún no a sucedido, pero que de concretarse causará algún perjuicio.
¿Qué es una vulnerabilidad?
Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza.
Metodología básica para evaluar riesgos
Este es un trabajo colaborativo, en el que se tiene que involucrar a todos los implicados y aunque existen varias técnicas como Delphi, Brain Storming, etc., la realidad es que la precisión en esta identificación esta dictada por la calidad en la experiencia de los implicados
Una vez identificados los riesgos, se realiza una evaluación cualitativa de impacto y probabilidad. Esta evaluación permite establecer que riesgos requieren mayor atención o recursos para contrarrestarlos.
Para los riesgos con mayor relevancia, resulta altamente conveniente realizar un análisis más profundo de su probabilidad de ocurrencia e impacto para ello se pueden realizar modelos matemáticos como monte carlo, lo que permite determinar con mayor precisión la relevancia de estos riesgos.
Se deben generar 2 tipos de respuestas, la primera va encaminada a reducir de forma planeada el impacto de los riesgos, para lo cual se definen 4 acciones básicas (META): Mitigar, Erradicar, Transferir o Aceptar. El segundo tipo de respuesta son los planes de contingencia, que están enfocados en reaccionar ante las amenazas que ya explotaron alguna vulnerabilidad y se deben realizar acciones para reestablecer la normalidad lo más pronto posible.
Cuando se definen planes de tratamiento de riesgos (META), se generan nuevos riesgos residuales, además las condiciones internas y externas cambian con el tiempo, por lo que se debe sistematizar el monitoreo y control de riesgos, para eliminar aquellos que ya no se pueden presentar, identificar nuevos riesgos y reajustar probabilidad, impacto y tratamiento de los ya identificados.
Identificación de Riesgos en la Seguridad Física
En el contexto de la seguridad física es recomendable evaluar, por lo menos, estos elementos:
Condiciones físicas y entorno del lugar
Sistemas actuales de seguridad
Desempeño de los cuerpos de seguridad
Protocolos
existentes
La correcta gestión de riesgos es fundamental para cualquier proyecto para incrementar su probabilidad de éxito, pero es especialmente importante cuando se trata de proyectos de seguridad.
Autor: Ildelgardo Sosa