¿Por qué la necesidad de un Análisis de Riesgos? Esta pregunta puede en principio parecer como algo obvio, pero la verdad es que dentro de la realidad de los escenarios de la seguridad es indispensable conocer con exactitud por que se necesita, en que consiste y cual es la verdadera utilidad de esta herramienta de gestión.
La mejor analogía al respecto es la medicina. Un análisis de riesgos es similar a un diagnóstico médico de un paciente, dirigido a conocer las necesidades o problemas que tiene y a establecer cómo tratarlos de la forma más adecuada. Ante un paciente, sin duda todos los médicos aseguran que es totalmente necesario realizar un diagnóstico para poder afrontar un proceso de mejora adecuado.
En nuestro campo, el de la seguridad, la situación es similar, pero por supuesto con la característica de que no se trata solo de personas, si no también de Organizaciones. ¿Existe algún grupo de organizaciones con carencias comunes y muy identificadas? Es muy probable que si, pero ante esta realidad casi nunca se realiza un diagnostico adecuado y por ello no se identifica claramente el problema y se dan palos de ciego para encontrar las soluciones correspondientes.
El análisis va entonces a que si queremos mejorar el nivel general de la seguridad en un grupo de empresas, por ejemplo de 10.000: ¿Cómo lo conseguiremos de manera más eficiente? ¿Agregando el proceso de análisis de riesgos en todas y cada una de ellas? o ¿Identificando de forma previa sus carencias generales?
Los problemas de seguridad, en muchas ocasiones son más universales de lo que uno pudiera imaginarse. El problema radica en como el profesional de la seguridad logra zanjar el abismo entre la seguridad física y la tecnológica, pues cada vez más nuestras soluciones a problemas de seguridad física afectan la seguridad informática de las compañías. Es importante decir que esto involucra tres factores, que son la pericia técnica, el conocimiento organizacional y la capacidad de comunicación. Si somos muy capaces técnicamente pero nos faltan los otros dos elementos, tenemos una evaluación ineficaz o ineficiente que a la larga significa inefectiva.
Estamos entonces en el campo de la evaluación de riesgos en la seguridad integral, que implica alejarse de elementos de subjetividad y concentrarse en enfoques estadísticos y de gestión adecuados, lo que obliga a crear marcos objetivos de manera tal que puedan ser auditados y ellos generen soluciones a los problemas establecidos en el análisis.
Aparecen aquí temas como los siguientes:
Convergencia: Enfoque único de la seguridad dentro de la organización, con el objetivo de crear mecanismos mas efectivos e involucrar a todas las partes en un ambiente cooperativo para enfrentar amenazas comunes.
Procesos: Unidad lógica/organizacional determinada por elementos de entrada, que a través de un conjunto de actividades se transforman en elementos de un conjunto de salida. Para eliminar la ambigüedad de posibles caracterizaciones para un mismo proceso, utilizamos el concepto de proceso atómico, elemental o básico, que es aquel conjunto mínimo de actividades que devuelvan un resultado de valor a al menos un actor.
Alineación: (de los objetivos) Correspondencia entre los objetivos generales de la organización y los de cada área de la misma.
Factor de Riesgo: Característica propia de la organización que la hace más vulnerable a una amenaza especifica y que a su vez influye en alguno de sus particularidades básicas.
Amenaza: Evento que puede influir de manera negativa en el esquema de gestión.
Métrica: Medida de la eficacia de los esfuerzos en seguridad de una organización a lo largo del tiempo.
Se dice entonces de que son necesario y que además establecen la necesidad de mejorar las metodologías y de realizar un diagnostico certero que se adaptan a la realidad de la organización. Digamos entonces que existen dos temas de interés para analizar más poco a fondo lo que queremos con el análisis de riesgos, y ellos son: En primer lugar, existe hoy una gran distancia entre lo que la mayoría de las empresas necesitan y lo que nosotros los profesionales de seguridad física ofrecemos, y en segundo lugar, Es totalmente necesaria una aproximación que se adapte a la realidad de las organizaciones y aporte valor a las mismas, para evitar que los recursos destinados a la seguridad sean invertidos de forma incorrecta.
A continuación dejo una serie de pasos que pueden contribuir al orden mental de cómo iniciar un análisis de riesgos en las organizaciones.
1. Identificación de Activos y clasificación de Activos. Se toma como referencia el diagrama de procesos de la empresa.
2. Se valora cada activo, en función de cada criterio (OJO: ¿Cuáles CRITERIOS?), utilizando una escala del 1 al 5.
3. Para la clasificación, se utiliza la Ubicación del activo y una Categorización (OJO: AQUÍ NO ES CLARA LA RECOMENDACIÓN. ¿CÓMO PODRÍA SER LA CARACTERIZACIÓN?)
4. Se valora cada grupo de activos clasificados, haciendo el promedio ponderado pesimista de cada uno de los criterios (OJO: ¿Cuáles CRITERIOS?.
5. Luego se toma cada Grupo de Activos, y se lo cruza con una lista de Amenas
6. Para cada cruce, se estima el valor de Probabilidad (de que impacte esa amenaza sobre el grupo de activos) y el nivel de Vulnerabilidad (que tan eficientes son los controles que se tienen ). También se utilizan una tabla de valoración del 1 al 5.
7. En función de la Probabilidad y el Nivel de Vulnerabilidad se calcula el Grado de Exposición.
8. Luego se determina a que criterio D,I,C afectaría al activo si impactara con exito la amenaza.
9. En función del Grado de Exposición y el Valor del criterio afectado, se calcula el Riesgo.
10. Para finalizar, se estipula por ejemplo “que todas aquellos registros en donde el riesgo sea mayor a 6, deben de ser mitigados , y los menores a este se asumen”
11. Y ahí empieza la tarea de determinar para cada cruce con un riesgo superior a 6, cuales son los controles que hay que implementar para mitigarlos.
Estas son ideas por supuestos, que son solo una pretensión ambiciosa de querer contribuir al análisis de los riesgos en las organizaciones desde el punto de vista de la seguridad física, las cuales por supuesto deben tener un desarrollo práctico al interior de cada organización.
