SlideShare una empresa de Scribd logo

Analisis de riesgos 2011

O
OSCARCASTROM
1 de 17
Descargar para leer sin conexión
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 ANÁLISIS Y ADMINISTRACIÓN DE LOS RIESGOS1 PRESENTACIÓN. • Ningún plan o programa puede ser efectivo a menos que esté basado en un claro entendimiento de los riesgos actuales que está destinado a controlar. • El valor de un programa de seguridad depende no solo de la excelencia de los recursos aplicados sino también de su relevancia. • La definición del problema viene primero, luego vendrá el diseño de las contramedidas; porque hasta que no estén claramente evaluadas las amenazas (Threats) actuales contra los activos (Assets), las precauciones o contramedidas no pueden ser escogidas excepto por adivinación o “sentido común”. • El tema es básico para comprender la Administración de Riesgos (Risk Management), la Prevención de Pérdidas (Loss Prevention) y el estudio o encuesta de Seguridad (Security Survey). DESARROLLO. Algunas Generalidades sobre el riesgo Riesgo puede ser la incertidumbre de pérdida financiera, la diferencia entre los resultados esperados y los reales en cualquier actividad o la probabilidad de que una pérdida ha ocurrido u ocurrirá. También puede decirse que los riesgos pueden ser personales, de la propiedad y de responsabilidad. La evaluación del riesgo es una herramienta de gestión cuyos patrones para medir están definidos por lo que la alta gerencia estima aceptable con respecto a una pérdida probable. Terminología Medios: Cualquier propiedad o persona tangible o intangible que un individuo o compañía posee y a la cual se le puede asignar un valor monetario. Las propiedades intangibles incluyen elementos como el good will, información de propiedad y otras propiedades. Para propósito de esta guía las personas son consideradas medios. Consecuencia: Un resultado secundario derivado de una acción o decisión. De un seguro o punto de seguridad, costos pérdidas o daños mas allá del valor en el mercado del medio perdido o dañado incluyendo otros costos indirectos. [1 Con base en el libro Risk Análisis and Security Survey de James Broker, con fines académicos de presentación del examen de certificación CPP, de acuerdo con referencias de ASIS Internacional] Análisis del costo Beneficio: Un proceso de planeación relacionado con las decisiones que comprometen fondos o medios. Este es un sistemático intento de medir o analizar el valor que proviene de un gasto particular. Usualmente este proceso involucra tres pasos: a. Identificación de las consecuencias directas e indirectas del gasto. 1
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 b. Asignación de un valor monetario a todos los costos y beneficios resultantes del gasto. c. Descuento esperado de futuros costos y ganancias provenientes del gasto para expresar aquellos costos y ganancias de valores en moneda corriente. Criticalidad: Es el impacto de un evento de perdida típicamente calculado como la red de costo de ese evento. El impacto puede comprender desde fatal, resultando en una total recapitalización a bandono o discontinuidad a largo plazo de la empresa, hasta relativamente sin importancia. Eventos: Algo que pasa; un acontecimiento importante. En el contexto de seguridad estos representa usualmente una ocurrencia como un incidente de seguridad, alarma, emergencia médica, o un episodio o experiencia relacionada. Good Hill: El valor de un negocio que ha sido construido a través de la reputación del producto del negocio y de sus dueños. Evento de pérdida: Una ocurrencia que produce una pérdida financiera o un impacto negativo sobre los medios, por ejemplo incidentes de seguridad, crímenes, guerra, amenazas naturales, o desastres. Desastres Naturales: Un evento o calamidad que ocurre naturalmente trayendo gran daño, pérdida o destrucción tales como tornados, huracanes, terremotos y otros. Probabilidad: La posibilidad en algunos casos la certeza matemática de que un evento dado ocurrirá; la rata de número de sucesos en un exhaustivo cuadro de sucesos igualmente probables que producen un evento dado de un número total de sucesos posibles. Cualitativo: Relativo a una característica de algo que hace que sea lo que es. Cuantitativo: Relativo, concerniente o basado en la cantidad o número de algo capaz de ser medido o expresado en términos numéricos. Riesgo: La posibilidad de pérdida resultante de una amenaza incidente de seguridad o evento. Análisis de riesgo: Un detallado examen que incluye la evaluación del riesgo y las alternativas de manejo del riesgo desarrollado para entender la naturaleza de las consecuencias negativas e indeseadas para la vida humana, la salud, la propiedad o el ambiente; un proceso analítico para proveer información relacionada con eventos indeseables; el proceso de cuantificación de las probabilidades y consecuencias esperadas de un riesgo identificado. Evaluación del riesgo: El proceso de evaluar riesgos relacionados a la seguridad, provenientes de amenazas internas y externas a una entidad, sus medios o personal. Incidente de Seguridad: Una ocurrencia o acción relativa a la seguridad que puede llevar a la muerte, heridas o pérdidas monetarias. Un atraco contra un empleado, cliente o proveedor dentro de la compañía es un ejemplo de incidente de seguridad. Vulnerabilidad: Una capacidad explotable; una debilidad o deficiencia de la seguridad 2
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 que puede ser explotada en una instalación, entidad o persona. Sitio: Una locación espacial que puede ser designada por latitud y longitud. Estado del Arte: El más avanzado nivel de conocimiento y tecnología actualmente alcanzado en cualquier campo en un tiempo dado. Estadística: Una rama de las matemáticas relativa a la colección, análisis, interpretación y presentación de grupos de datos numéricos. En seguridad esto podría representar una colección de datos cuantitativos tales como incidentes, reporte de crímenes e información relacionada que junto con otra información similar sirve como estadísticas de seguridad usada para un número de paliaciones incluyendo evaluaciones de riesgos y vulnerabilidades. Amenaza: Un intento de daño o herida. Una indicación de algo que podría ocurrir. Recursos de información para determinar los eventos de riesgo de pérdida 1. Estadísticas locales y nacionales de la Policía, sobre crimen. 2. Reportes e investigaciones especiales o datos similares. 3. Documentos y reportes internos sobre incidentes. 4. Reclamos, informaciones y quejas anteriores de empleados, contratistas, visitantes, etc. 5. Reclamaciones civiles anteriores por seguridad inadecuada. 6. Inteligencia de agencias locales, regionales o nacionales, de seguridad, acerca de atentados o riesgos potenciales. 7. Información relativa de la industria acerca de tendencias de los riesgos. 8. Informaciones sobre tendencias económicas generales del área. 9. Presencia de generadores de crimen: proximidad a clubes nocturnos, presencia de vagos, propiedades abandonadas, etc. 3
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 1. DEFINICIÓN DEL PROBLEMA Requiere reconocer y evaluar en términos cuantitativos tres factores: a. Las clases de amenazas o riesgos que afectan los activos o Perfil del evento de Pérdida (Loss Event Profile) b. La probabilidad de que estas amenazas se conviertan en pérdidas o Probabilidad del Evento de Pérdida (Loss Event Probability) también llamada frecuencia. c. El impacto o efecto sobre los activos en caso que la pérdida ocurra o Criticalidad del Evento de Pérdida (Loss Event Criticality) también llamada Severidad o Gravedad. Perfil del Evento de Pérdida: Reconocer individualmente la posibilidad de ocurrencia de eventos de pérdida es el primer paso en la evaluación de la vulnerabilidad. Esto requiere tener claridad sobre las condiciones, circunstancias, objetos, actividades y relaciones que pueden ocasionar el evento de pérdida. Si el evento se puede medir en cuanto a la cantidad de la pérdida y si tal pérdida no es especulativa, en el sentido de que su no ocurrencia es una ganancia, entonces se pueden aplicar contramedidas. Los eventos de pérdida convencionales de la administración, no son del interés del gerente de seguridad; estos son riesgos especulativos. Pero si el evento solamente puede producir una pérdida, entonces es una tarea de prevención de pérdidas y de protección de los bienes. Los riesgos puros más comunes son: la guerra, los desastres naturales, los desastres industriales, los disturbios civiles o protestas violentas, el crimen en general, los conflictos de intereses, la violencia en el sitio de trabajo, el terrorismo y otros especiales como locos, piratería y accidentes de tráfico. Probabilidad y Criticalidad Probabilidad o Frecuencia del Riesgo La probabilidad de que estas amenazas se convierta en pérdidas o probabilidad de Evento de Pérdida (Loss Event Probability) también llamada frecuencia y es el segundo paso en la evaluación de vulnerabilidad. La probabilidad o Frecuencia es el número de formas en las cuales un evento en particular puede resultar de cierta actividad por el número total de eventos que podrían ocurrir en esa actividad. P = Probabilidad que un evento dado ocurra f = Número de resultados favorables a la ocurrencia n = Número total de resultados posibles P = f_ n 4
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Ejercicio: Si lanzamos dos monedas al tiempo hay 4 posibles resultados (n=4) tres resultados podrían producir al menos una cara (f=3). La posibilidad de obtener una cara en el lanzamiento es (P=3/4) o sea 75; entonces ¿cuáles serían los 4 posibles resultados de ese lanzamiento? Los eventos de pérdidas no se pueden predecir usando una fórmula probabilística standard. Básicamente entre más formas haya de que un evento en particular pueda ocurrir en unas circunstancias dadas, mayor será la “probabilidad” que este ocurra. A mayor frecuencia, mayor probabilidad. Dada la cantidad de variables que pueden permitir u ocasionar un evento de pérdida, como un robo, por ejemplo, generalmente no es posible hacer cálculos matemáticos de la probabilidad; por otra parte, cuando un evento se presenta, lo normal es que las circunstancias de almacenamiento, control y prevención sean modificadas, luego las circunstancias para un próximo evento serán diferentes. En realidad, el gerente de seguridad debe tener la claridad profesional para reconocer las circunstancias y variables que pueden producir el evento de pérdida. Factores de Probabilidad Los factores de probabilidad son las condiciones o grupos de condiciones que incrementarán la exposición de los activos al riesgo de pérdida, estas categorías son: (1) Medio ambiente físico Composición: material, masa, peso, volumen, densidad Clima: temperatura, humedad, lluvia, nieve, tormentas y estaciones Geografía: Latitud, longitud y elevación Ubicación: exposiciones del vecindario, ambiente abierto o cerrado, controlado o no Condiciones de uso: horas, procesos y procedimientos (2) Medio ambiente social Identidad étnica: variedad de población y distribución Grupos por edad: niños, adolescentes, ancianos, etc. Niveles de ingresos: pobres, desempleados, cuello blanco, ricos Vecindario: porcentaje residencial, industrial, negocios, institucional, recreacional, desarrollado, deteriorado. Historia social: pacífico, incidentes locales, disturbios, cronología de eventos importantes Planeación: reconstrucción, rehabilitación, extensión, etc. Crimen: altos índices, bajos, tipos de crímenes, relaciones con policía, frecuencia y cantidad de patrullas y control (3) Medio ambiente político Unidad de Gobierno: ciudad, pueblo, etc. Generalidades políticas: conservadores, liberales, partidos tradicionales, minoritarios, mezclados, apolíticos. Actitudes: fuertemente organizados, pobremente organizados, organizaciones competitivas, grupos dominantes. Área política: modos de elecciones, nivel local, regional, nacional, federal, etc. Experiencia histórica Es una forma de apreciar las probabilidades de ocurrencia de eventos, aunque generalmente las empresas no tienen registros de sus experiencias que permitan hacer pronósticos con cierta precisión. Dos problemas: o no existe el registro de la información o está registrada de manera 5
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 que no es posible hacer mediciones estadísticas, sea porque son incompletas, porque poseen demasiados datos no útiles o porque los datos no son relevantes para la tarea. Esto, cuando simplemente no hay registros de ningún tipo sobre los incidentes. Las empresas deberían mantener records precisos sobre la ocurrencia de eventos de pérdida que permiten hacer predicciones de alguna precisión sobre tales eventos. Sabemos que la frecuencia es un indicio de probabilidad. Los computadores personales permiten, hoy en día, llevar datos precisos sobre información de ocurrencia de eventos de pérdida. Una base de datos en tal sentido debería tener como mínimo los siguientes registros: - Lugar, Fecha y Hora del incidente tan precisos como sea posible - Naturaleza del evento: accidente o crimen - Descripción detallada del evento: incendio, robo, ataque, etc. - Método de operación o modo de ocurrencia - Número del evento por tipo o por localización - Valor de los bienes o costo de la pérdida Matriz de decisión FRECUENCIA DE PÉRDIDA Severidad de Pérdida Alta Media Baja Prevención Transferencia Alta Evitar de Pérdidas por medio de y evitar seguro Prevención de Evitar y Pérdidas Asumir y Media Prevención de y transferencia repartir Pérdidas por medio de Prevención Prevención de Baja de Pérdida Asumir Pérdidas y Asumir 2. PREPARACIÓN DE LA SOLUCIÓN a. Análisis de la Amenaza. Árbol de Amenaza Lógica (Threat Logic Tree). b. Identificación y examen de alternativas (Network Design). El Análisis de la amenaza indicará que aunque varios riesgos estén separadamente identificados es posible que una simple contramedida pueda neutralizarlos a todos o detectar que un número de riesgos dependen de una misma causa común o condición precedente. Estas conexiones producen un patrón de amenaza lógica el cual sugiere no solo la interrelación 6
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 entre riesgos sino el punto más apropiado para interponer o aplicar la contramedida. La tarea de planear ese patrón lógico es lo que se denomina Análisis de Amenaza. La construcción del modelo de amenaza se materializa en el “Arbol Lógico de Amenaza” (Threat Logic Tree ) en el que a cada riesgo identificado, corresponden ciertos eventos o condiciones que son necesarios antes de que pueda ocurrir. Algunos de estos eventos o condiciones deben existir simultáneamente, algunos pueden existir en secuencia lineal, algunos pueden existir individualmente y algunos pueden existir individualmente pero no en presencia de la línea de secuencia de otros. Lógicamente estas combinaciones pueden ser representativas en los siguientes términos: AND Existencia simultánea AND Pero si X antes de Y OR Si puede existir aisladamente OR Pero si X no está en Y El principio de apalancamiento (Leverage), consiste en que la aplicación de una simple contramedida en el lugar apropiado puede neutralizar varias amenazas. Cada punto de apalancamiento indica una posibilidad para una contramedida. El último paso en esta planeación se denomina Diseño de Red (Network Design) y consiste en organizar la interrelación de las contramedidas. 7
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 3. RESOLUCIÓN DEL PROBLEMA a. Selección de unas alternativa de administración del riesgo b. Implementación de la alternativa seleccionada c. Monitoreo y mejoramiento de la alternativa seleccionada En cada punto de apalancamiento se puede establecer una contramedida aunque inicuamente no se sepa exactamente cuál. Para cada contramedida propuesta en el programa de seguridad, deben tenerse en cuenta cuatro factores: (1) Validez. Verificar que la medida surte el efecto que se busca y que es la que mejor produce tal efecto. (2) El grado de confiabilidad, definida como la consistencia con que la medida es efectiva a lo largo del tiempo. (3) El costo aproximado para ponerla en ejecución. (4) El tiempo requerido para ponerla en acción, comparada con otras contramedidas posibles. Técnica de evaluación de sistemas Sistema es un arreglo regular y ordenado de partes y componentes en un todo interrelacionado e integrado. Para diseñar un sistema de seguridad deberán elegirse las medidas que serán soportadas o soportarán a otras, de modo que cada recurso juegue un papel único e indispensable en el sistema. Este tipo de diseño permite reducir el número total de contramedidas, baja los costos y optimiza el desempeño de las medidas y del sistema como un todo. Una vez diseñado, el sistema debe ser implementado y probado, virtual o físicamente, dependiendo del sistema, e involucra las acciones y procedimientos de respuesta por parte de humanos, los cuales también deben ser evaluados por medio de ejercicios y emergencias simuladas. En el diseño y evaluación de sistemas, deben tenerse en cuenta que el algunos casos, márgenes de error pueden ser permitidos frente a los costos de producir cero errores, pero en otros, el cero errores debe ser un requisito indispensable. Mantener el sistema en funcionamiento Hay tres grandes razones para que ocurran las pérdidas en seguridad: (1) Porque las vulnerabilidades no han sido reconocidas (2) porque las contramedidas no son efectivas y/o (3) porque no se ha reconocido un cambio El cambio puede estar en la vulnerabilidad o en la relevancia de la contramedida. La vulnerabilidad cambia cuando hay cambios en la probabilidad o en la severidad del impacto o en ambos. 8
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 4. ADMINISTRACIÓN DE RIESGOS Interacción entre las tres funciones de la Administración de Riesgos: (1) La prevención de pérdidas (2) El control de pérdidas y (3) La indemnización de pérdidas La tendencia de hoy es hacia una interacción más cercana entre las tres funciones de la Administración de Riesgos: (1) La prevención de pérdidas → Antes del evento de pérdida (2) El control de pérdidas y → Durante o después (3) la indemnización de pérdidas → Después del evento de pérdida Muchas empresas combinan estas funciones bajo un mismo ejecutivo: el Gerente de riesgos La justificación económica de un proyecto o programa de Seguridad se basa en que los gastos de seguridad deben ser costo – justificados porque ellos implican desviación de recursos o la aplicación de activos de la empresa hacia actividades que no pertenecen a la esencia de su negocio (core busines). Ele gerente de Seguridad debe demostrar cuantitativamente que está retornando la suma invertida en sus programas de contramedidas en la forma de: (1) Pérdidas evitadas o minimizadas y (2) Activos recuperados ¿Retornaría la suma invertida en seguridad un valor equivalente al obtenido si fuera colocada en el mercado de valores a una tasa de interés normal? Los costos del programa deben ser menores que los costos de las pérdidas que ocurrirían sin el programa. Los costos totales que son relevantes para la administración de riesgos incluyen: • Los costos de las pérdidas que ocurren a pesar del programa y que no serán indemnizadas vía seguro. • Los costos del programa de prevención o control de pérdidas al lado de los costos de los seguros. • Los costos de las primas de seguro y la administración de reclamos. Si tomados juntos, los tres tipos de costos mencionados son menores en un año que los costos de las pérdidas que probablemente hubieran ocurrido sin el programa de prevención y control de pérdidas; entonces los esfuerzos de administración de riesgos son exitosos. El Control de Pérdidas, la prevención o minimización de las pérdidas, es la función específica de un programa de seguridad y protección de activos. Y en este campo la mayoría de las empresas no tienen mucha experiencia. Cuando las contramedidas son propuestas o implementadas, debe hacerse un segundo estimado de las pérdidas que ocurrirían no obstante las contramedidas. El primer elemento en el ejercicio de justificación económica son las pérdidas evitadas, que son la 9
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 diferencia entre las pérdidas estimadas sin el programa y las que probablemente ocurran con el programa. Esta cantidad se usará en la llamada Ecuación ROE para justificar el gasto en seguridad. Teniendo en cuenta que las pérdidas evitadas son solamente una predicción tendiente a obtener la aprobación de un presupuesto requerido, si no puede ser predecible un retorno positivo del gasto propuesto, esa será una buena razón para no aprobarlo. Las tareas de seguridad bien desempeñadas y unas contramedidas de seguridad funcionando apropiadamente, tendrán consecuencias financieras directas. Un segundo elemento en el ejercicio de justificación económica es la recuperación de activos. En este sentido solo deben ser tenidas en cuenta las recuperaciones hechas únicamente como resultado de la aplicación del programa de seguridad. Este es otro elemento de la Ecuación ROE. La Ecuación ROE (Return of Expenditures) para obtener el retorno de los gastos hechos en un programa de seguridad se compone de: AL + R AL = Pérdidas Evitadas ROE = ---------- R = Recuperaciones hechas CSP CSP = Costo del Programa de Seguridad ROE = Retorno de Gastos Para representar los costos del programa de Seguridad (CSP) es necesario incluir: (1) Gastos de personal (2) Todos los gastos generales administrativos (3) Costos de capital aplicado Ejercicio: Se estima que las pérdidas de inventario serían de US$ 100.00 sin tomar medidas de seguridad. Se propone un programa de Seguridad a un año que cuesta US$ 150.000 y cuyo probable efecto será reducir a US$10.000 las pérdidas. Si un camión robado es localizado por la Policía y se recuperan las mercancías por US$ 45.000; un guarda de seguridad detiene a un empleado que intenta sustraer US$200 en componentes de manufactura; se descubre un faltante de materia prima de US$175.000 y mediante el polígrafo se obtiene la declaración de un empleado que confiesa haber expedido recibos fraudulentos desde hace seis meses en complicidad con el proveedor y haber recibido de este último la suma de US$ 5.000. La compañía tiene una póliza de fidelidad con un deducible de US$ 5.000 y un techo de US$ 10 millones. Se hace una reclamación por US$ 170.000 como resultado de la investigación de seguridad. Preguntas: (1) ¿Cuánto es el total de las recuperaciones (R)? (2) ¿Qué porcentaje retorno obtiene el programa ese primer año? (3) ¿Cuál es el monto retornado ese primer año? (4) ¿El programa se justifica económicamente? 10
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Respuestas: (1) US$ 170. 200 (2) 173% (3) US$ 259.500 (4) SI Es importante distinguir los elementos del programa atribuibles a diferentes niveles de la organización y las evitadas y las recuperaciones atribuibles a esos niveles. La mejor aproximación es intentar una integración de todos los esfuerzos de seguridad y de los resultados y una presentación que los cubra a todos. 5. ESTUDIO DE SEGURIDAD Es el método sistemático más aceptado para identificar los riesgos y como tal es la parte del Análisis de Vulnerabilidad. El estudio de Seguridad (Security Survey) no es un fin en si mismo sino un medio para alcanzar un buen entendimiento del estado actual de un sistema de seguridad, las deficiencias o excesos, determinar la protección necesaria y las recomendaciones para mejorar dicho sistema El Estudio de Seguridad debe ser desarrollado por un profesional de seguridad competente, porque involucra actos de responsabilidad técnica y ética. Tal vez el mayor problema es que muchos Gerentes de empresas no saben aún si tienen un problema se seguridad o tampoco saben bien cómo hacer para encontrarlo si lo tuvieran. Aún más, pueden no querer saberlo o preferir ignorarlo. Algunos gerentes de empresas prefieren mantener las cosas como están y ven cualquier sugerencia de seguridad como una crítica indirecta a su habilidad para manejar su operación exitosamente. Las pérdidas por criminalidad contra las empresas exceden de lejos las pérdidas causadas por incendios y accidentes industriales. Estimando que las pérdidas anuales de las empresas por criminalidad pueden ser el doble de las pérdidas combinadas de incendios y accidentes. El proceso de un Estudio de Seguridad se compone de: (1) La selección y aplicación de la lista de chequeo adecuada (2) El trabajo de campo y la recolección de información de soporte (3) El análisis de la información y el diseño de recomendaciones (4) La elaboración del reporte (5) La elaboración de anexos (6) La presentación Hay varios modelos de Listas de chequeo para realizar el levantamiento de la información en estudios de seguridad, son ellos: • Lista para Estudio Preliminar • Lista para evaluación Cuantitativa • Lista Auto evaluación • Lista de Abreviada • Lista de Extensa Dependiendo del tipo de facilidad, las listas de chequeo hacen un mayor énfasis en los datos más relevantes de cada “metabolismo específico y no es una buena práctica profesional 11
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 aplicar un mismo modelo a todas los casos. Por ejemplo, hay listas de chequeo específicas para: (1) Establecimientos Educativos (2) Bodegas y Terminales (3) Puertos Y Aeropuertos (4) Hospitales (5) Hoteles (6) Industrias y Oficinas (7) Residenciales (8) Instalaciones remotas o abandonadas (9) Instalaciones especiales como: • Plantas de Energía • Laboratorios de investigación • Instalaciones de Defensa • Centros de computo Si la empresa o facilidad que está siendo considerada ya tiene un plan de seguridad, probablemente el estudio deberá establecer si el plan está actualizado y si funciona correctamente. En este caso el estudio suele ser presentado como una Auditoría o interventoría Operacional (OA). Si la facilidad no tiene un plan de seguridad entonces el estudio puede establecer la necesidad de tener uno y desarrollar algunos servicios de seguridad que son comúnmente recomendados para ese tipo de facilidad. La presentación del reporte es un factor importante porque dice mucho de la competencia profesional de quien lo hizo y da credibilidad al mismo. Esta debe ser pulcra, sistemática, breve, coherente, pertinente y práctica. Y debe contener al menos lo siguiente: (1) Carta de Presentación (2) Ficha técnica (3) Tabla de contenido (4) Sumario (5) Concepto del actual sistema de seguridad (6) Deficiencias (7) Recomendaciones de mejoramiento (8) Anexos La ficha técnica incluye los datos generales de la facilidad estudiada que permiten individualizar el documento, tales como: fecha del estudio de la empresa, localización geográfica, tipo de negocio o actividad, descripción física de la facilidad, número de empleados, datos de contacto. Normalmente no es más de media página El sumario es un resumen ejecutivo de los hallazgos del estudio, de sus principales recomendaciones y del contenido del reporte. Normalmente no es más de un párrafo. El concepto del Sistema Actual de Seguridad si lo hubiera, es un elemento importante porque permite designar una línea de base para el desarrollo del sistema de seguridad. Normalmente no excede de una a dos páginas. Es una buena práctica profesional, incluir un anexo sinóptico o estadístico del estado de la criminalidad actual en el área. El estudio debe enfocarse en las Deficiencias o desviaciones encontradas y a partir de ella, delinear las posibles recomendaciones. Los hallazgos deben enumerarse y describirse concretamente en frases cortas que normalmente no exceden un par de renglones. 12
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Las recomendaciones de mejoramiento deben estar relacionadas con las deficiencias encontradas y no solo deben ser mencionadas sino que debe ser estudiado su costo, el tiempo de implementación y la pertinencia o prioridad de aplicación. Es una buena práctica profesional adicionar una Hoja de Control para hacer seguimiento a la implementación de las recomendaciones porque motiva la acción ejecutiva del cliente y permite continuidad al trabajo de Seguridad. Es una buena práctica profesional, aplicar el Diseño de Red (Network Design) para dar sustentación a las recomendaciones y aplicar el principio de Apalancamiento (Leverage). Cuando se sugieran proveedores debe hacerse sobre una base transparente y al menos 3 para cada recomendación. Los anexos pueden ser: Fotográficos, planos y mapas, diagramas, tablas estadísticas, listas de contacto, procedimientos, planes, catálogos, etc. Es común que los anexos resulten ser más extensos que el Reporte en sí mismo. 13
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 ANÁLISIS DE RIESGOS DE PMI DEFINICIÓN Definimos un riesgo como la posibilidad de que un incidente que afecte la seguridad de una PMI (Persona Muy Importante) tenga ocurrencia; entendida la seguridad como daños en su integridad personal, tales como heridas, muerte, pérdida de la libertad y deterioro de su imagen y prestigio. Para efectos del análisis, es necesario considerar que hay riesgos permanentes, inherentes al cargo, a la posición política y económica del PMI y a los cuales vamos a llamar prevalecientes, y otros puntuales, coyunturales o transitorios, provenientes de situaciones de tiempo y lugar, como sitios frecuentados por el PMI o situaciones políticas o económicas del entorno que pueden intensificarlos o reducirlos, como negociaciones laborales, amenazas subversivas o extorsivas. PROPÓSITO Uno de los puntos críticos en la gerencia de seguridad al abordar el problema de la seguridad de PMI, es el análisis de los riesgos. El propósito general del análisis de los riesgos es determinar, en primer lugar, la pertinencia, es decir, cuáles son los riesgos propios de un PMI y en segundo, la posibilidad o frecuencia y la gravedad o intensidad con que puede ocurrir dicho incidente, y como consecuencia de esto, determinar la clase e intensidad de la seguridad y protección que debe proporcionarse a la PMI que es sujeto de este análisis. Para efectos de analizar los riesgos de un PMI, y con el fin de simplificar el proceso, podemos decir que los únicos riesgos posibles son el secuestro y el atentado, ya que si está protegido contra estos riesgos, los demás posibles, son despreciables, como el atraco, la extorsión, etc. MÉTODOS DE ANÁLISIS DE RIESGOS Si preguntáramos a cada gerente de seguridad sobre el método que emplea para analizar los riesgos de las PMI a su cargo, seguramente encontraríamos uno diferente para cada uno. Por otra parte, se ha discutido mucho y puesto en tela de juicio por su carencia de exactitud y utilidad los métodos de análisis hechos con valores matemáticos arbitrarios. Sin embargo, ateniéndonos a sus propósitos, podemos decir que cualquier método es válido siempre y cuando cumpla con los propósitos del análisis: determinar el nivel de probabilidad, sus causas y las medidas que minimizan las vulnerabilidades; y que, entre más detallado, sutil y preciso sea, más facilidades de llegar a decisiones acertadas sobre la seguridad de una PMI tendrá el gerente de seguridad. Nuevamente, por simplicidad, y por considerar que para un PMI no es posible bajar la gravedad de sus riesgos de atentado y secuestro, este índice se considera 100%, es decir, solo se mide y se trabaja sobre la probabilidad, la cual sí es factible de minimizar con medidas de seguridad. Vamos a presentar en este artículo un método de análisis lógico, apoyado en números que nos permitan hacer una observación objetiva de los niveles de probabilidad y como ya se dijo, determinar las amenazas y vulnerabilidades sobre las cuales se debe actuar para reducir los riesgos. Cada gerente, desde luego, tendrá la oportunidad de valorarlo teórica y prácticamente e implementar el suyo propio a partir del modelo que le presentamos. 14
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 EL MÉTODO Para desarrollar un análisis matemático del riesgo, debemos valorar las variables de posibilidad e incidencia en forma arbitraria. Probabilidad Decimos que la posibilidad de que un riesgo se materialice, hace que lo podamos calificar de la siguiente manera, asignándole a cada nivel de probabilidad un valor, así: Inminente 5 Probable 4 Posible 3 Improbable 2 Remoto 1 Factores de Probabilidad Son los aspectos que determinan la calificación de posibilidad de ocurrencia de riesgos. Se consideran los siguientes: Nivel de seguridad actual: Se analiza la posibilidad de riesgo según el nivel actual de seguridad, entendiendo que entre más bajos sean los niveles actuales de seguridad, más alta será la posibilidad de que un incidente tenga lugar. Vulnerabilidades existentes: Se entiende que a mayores vulnerabilidades, mayores serán las intenciones de los intrusos potenciales de intentar el desarrollo de incidentes de seguridad y mayores sus posibilidades de éxito. Intención del intruso: Tiene que ver con la posibilidad de que los intrusos potenciales decidan intentar un hecho delictivo dentro de la empresa; esto provocado por los niveles de seguridad, las vulnerabilidades y el perfil de la PMI. Más bajos perfiles, menores posibilidades. Utilidad del incidente para el intruso: Es un cálculo del beneficio económico, político o publicitario, o en el logro de intenciones extorsivas, para el agente de riesgo, en caso de que pueda realizar una intrusión para materializar un riesgo. Situación general del área: Tiene que ver con los riesgos generales del área y sus vulnerabilidades. Hay áreas, por ejemplo donde pululan el crimen y la impunidad; otras donde el movimiento y asentamiento de criminales hacen que sean seguras para ellos, así como otras donde la presencia de extraños es detectada fácilmente, haciendo que sus acciones sean muy difíciles de llevar a cabo. Por otra parte, al considerar la situación de un área, podemos referirnos a un área regional, nacional, local, a un barrio, a una calle, o a un sitio específico como el club, la peluquería, etc. Matriz de Probabilidad: Con el fin de poder hacer un análisis matemático, con la siguiente matriz damos valor a cada uno de los riesgos que estamos analizando, para cada una de las PMI y calculamos el porcentaje de Probabilidad. 15
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Análisis de los Factores de Probabilidad de Secuestro y Atentado para un Gerente Factores de Posibilidad Secuestro Atentado Nivel de seguridad actual 3 3 Vulnerabilidades existentes 2 3 Intenciones del Intruso 4 1 Utilidad incidente para el intruso (1) 3 1 Situación general del área (2) 4 4 Total Posibilidad del riesgo 16 12 Posibilidad Porcentual (3) 64% 48% (1) El intruso puede referirse a la amenaza en general o a un intruso en particular: un extorsionista o un grupo subversivo. (2) El área puede ser, como se explicó, un área en particular o varias: nacional, local, regional, la oficina, etc. en cuyo caso se usará un renglón para cada área (3) Si todos los factores fueran calificados con 5, el total de posibilidad sería 25, lo que equivale al 100%; 16 es el 64% y 12 en el 48%. Las consideraciones que nos llevan a calificar cada factor de riesgo, son las que hay que modificar para disminuirlo, bajando las vulnerabilidades bajará la calificación del factor, y por ende el riesgo y el cálculo servirá para presentar al PMI la forma como las medidas de seguridad influirán en sus niveles de riesgo. Incidencia o gravedad del riesgo La incidencia o gravedad del riesgo tiene que ver con las consecuencias que tendría para la empresa la ocurrencia de un incidente contra una PMI. Debemos repetir que la incidencia para el PMI es 100 y que es muy difícil de disminuir. Además, disminuyendo la posibilidad a niveles cercanos a cero, la gravedad se va volviendo despreciable, en la misma forma que si la gravedad fuera cero, la posibilidad sería despreciable. A pesar de la consideración anterior, presentamos en forma similar, el método de cálculo de la gravedad o incidencia ya que habrá gerentes que quieran hacerla y además porque para el análisis de riesgos de instalaciones sí es completamente necesaria. Niveles de Incidencia Amenaza la existencia de la empresa 5 Incide sobre la totalidad de la empresa 4 Incide sobre gran parte de la empresa 3 Incide sobre un área específica 2 Insignificante o despreciable 1 Factores de Incidencia Para apreciar la incidencia o gravedad del riesgo se tiene en cuenta la forma e intensidad con que afecta los siguientes factores: Presupuesto Opinión pública y ecología Operaciones de la empresa Moral del personal Sistema general de seguridad 16
DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Matriz de Incidencia Análisis de los Factores de Posibilidad de Secuestro y Atentado para el Gerente* Factores de Incidencia Secuestro Atentado Presupuesto 3 3 Opinión Pública y Ecología 2 3 Operaciones de la Empresa 4 1 Moral del Personal 3 1 Sistema de Seguridad General 4 4 Total incidencia 16 12 Incidencia Porcentual 64% 48% *Los cálculos se hacen en forma similar a los de probabilidad Conclusiones sobre el Riesgo La conclusión sobre el riesgo es el nivel, en una escala cualquiera (porcentual, por ejemplo) mediante la cual apreciamos permanentemente a probabilidad e incidencia, así como la forma en que estas suben o bajan cuando se aplican o dejan de aplicarse las normas de seguridad. Esta escala numérica podemos expresarla en términos de medio, alto, bajo, etc., correspondiente a los valores porcentuales y a partir de estos datos, continuar con todo el proceso de seguridad: programas de seguridad física, de información, del personal, emergencia y crisis, listas de chequeo y todos los demás ingredientes, aplicados en forma particular a la seguridad del ejecutivo pero integrados a todo el sistema de seguridad empresarial. 17

Recomendados

Un breve análisis del desarrollo de los programas de gestión de riesgo
Un breve análisis del desarrollo de los programas de gestión de riesgoUn breve análisis del desarrollo de los programas de gestión de riesgo
Un breve análisis del desarrollo de los programas de gestión de riesgoUniversidade Federal Fluminense
 
Metodologia mosler
Metodologia moslerMetodologia mosler
Metodologia moslerAlejandra Valdez
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Victorino Moya
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Administracion de riesgos(1)
Administracion de riesgos(1)Administracion de riesgos(1)
Administracion de riesgos(1)Gabriela Molina
 
Herramientas de Negocios - Riesgos
Herramientas de Negocios - RiesgosHerramientas de Negocios - Riesgos
Herramientas de Negocios - RiesgosSergio Salimbeni
 

Recomendados

Un breve análisis del desarrollo de los programas de gestión de riesgo
Un breve análisis del desarrollo de los programas de gestión de riesgoUn breve análisis del desarrollo de los programas de gestión de riesgo
Un breve análisis del desarrollo de los programas de gestión de riesgoUniversidade Federal Fluminense
 
Metodologia mosler
Metodologia moslerMetodologia mosler
Metodologia moslerAlejandra Valdez
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Victorino Moya
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Administracion de riesgos(1)
Administracion de riesgos(1)Administracion de riesgos(1)
Administracion de riesgos(1)Gabriela Molina
 
Herramientas de Negocios - Riesgos
Herramientas de Negocios - RiesgosHerramientas de Negocios - Riesgos
Herramientas de Negocios - RiesgosSergio Salimbeni
 
1. que es el riesgo
1. que es el riesgo1. que es el riesgo
1. que es el riesgoPablo Tauta PCC MBA
 
El riesgo de no considerar la gestión de riesgos
El riesgo de no considerar la gestión de riesgosEl riesgo de no considerar la gestión de riesgos
El riesgo de no considerar la gestión de riesgosUniversidad Tecnológica de México - UNITEC
 
Investigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgosInvestigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgosgerenciaderiesgos
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejosUna introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejosAngel Gavin
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...idea
 
Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgoAdriana Sepulveda
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosPedro Garcia Repetto
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosrevistadigital
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de RiesgosInstitución Univeristaria de Envigado - SGI
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgoSebastian García Mejía
 
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...Erika Candamil
 
La gerencia de riesgos
La gerencia de riesgosLa gerencia de riesgos
La gerencia de riesgosShamy Castañeda Quiroz
 
ADMINISTRACION RIESGO
ADMINISTRACION RIESGOADMINISTRACION RIESGO
ADMINISTRACION RIESGOClaudia Villamizar
 
RIE
RIERIE
RIEiselorrieta
 
Sistema de Comando de incidentes
Sistema de Comando de incidentes Sistema de Comando de incidentes
Sistema de Comando de incidentes SST Asesores SAC
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgoHome
 
Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewallsseguridadelinux
 
Guia+para+elaboracion+de+instrumentos
Guia+para+elaboracion+de+instrumentosGuia+para+elaboracion+de+instrumentos
Guia+para+elaboracion+de+instrumentosFRANCISCO SANJINEZ CALDERON
 

Más contenido relacionado

La actualidad más candente

Investigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgosInvestigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgosgerenciaderiesgos
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejosUna introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejosAngel Gavin
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...idea
 
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...Erika Candamil
 
Sistema de Comando de incidentes
Sistema de Comando de incidentes Sistema de Comando de incidentes
Sistema de Comando de incidentes SST Asesores SAC
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgoHome
 

La actualidad más candente (20)

1. que es el riesgo
1. que es el riesgo1. que es el riesgo
1. que es el riesgo
 
El riesgo de no considerar la gestión de riesgos
El riesgo de no considerar la gestión de riesgosEl riesgo de no considerar la gestión de riesgos
El riesgo de no considerar la gestión de riesgos
 
Investigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgosInvestigación sobre la gerencia de riesgos
Investigación sobre la gerencia de riesgos
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
 
Una introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejosUna introducción a la gestión de riesgos en proyectos complejos
Una introducción a la gestión de riesgos en proyectos complejos
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarial
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgos
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgo
 
Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...Sesion 2 gestión del riesgo...
Sesion 2 gestión del riesgo...
 
Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgo
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de Riesgos
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgo
 
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
Sistema de comando de incidentes (coformación de equipos de trabajo de emerge...
 
La gerencia de riesgos
La gerencia de riesgosLa gerencia de riesgos
La gerencia de riesgos
 
ADMINISTRACION RIESGO
ADMINISTRACION RIESGOADMINISTRACION RIESGO
ADMINISTRACION RIESGO
 
RIE
RIERIE
RIE
 
Sistema de Comando de incidentes
Sistema de Comando de incidentes Sistema de Comando de incidentes
Sistema de Comando de incidentes
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
 

Destacado

Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewallsseguridadelinux
 
Tema 4 Sistemas Basados En Reglas Difusas
Tema 4 Sistemas Basados En Reglas DifusasTema 4 Sistemas Basados En Reglas Difusas
Tema 4 Sistemas Basados En Reglas DifusasESCOM
 
Guias BPM y HACCP en Bodegas
Guias BPM y HACCP en BodegasGuias BPM y HACCP en Bodegas
Guias BPM y HACCP en BodegasProargex Prosap
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Conceptos Básicos de Seguridad Industrial
Conceptos Básicos de Seguridad IndustrialConceptos Básicos de Seguridad Industrial
Conceptos Básicos de Seguridad Industrialdocente
 
Salud ocupacional tipos de riesgos.
Salud ocupacional tipos de riesgos.Salud ocupacional tipos de riesgos.
Salud ocupacional tipos de riesgos.jaarboleda0
 
Instrumentos de investigacion cualitativa
Instrumentos de investigacion cualitativaInstrumentos de investigacion cualitativa
Instrumentos de investigacion cualitativaJenifer Mora
 

Destacado (14)

Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewalls
 
Guia+para+elaboracion+de+instrumentos
Guia+para+elaboracion+de+instrumentosGuia+para+elaboracion+de+instrumentos
Guia+para+elaboracion+de+instrumentos
 
Analisis De Riesgos
Analisis De RiesgosAnalisis De Riesgos
Analisis De Riesgos
 
Tema 4 Sistemas Basados En Reglas Difusas
Tema 4 Sistemas Basados En Reglas DifusasTema 4 Sistemas Basados En Reglas Difusas
Tema 4 Sistemas Basados En Reglas Difusas
 
Guias BPM y HACCP en Bodegas
Guias BPM y HACCP en BodegasGuias BPM y HACCP en Bodegas
Guias BPM y HACCP en Bodegas
 
Riesgo seguridad
Riesgo seguridadRiesgo seguridad
Riesgo seguridad
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Conceptos Básicos de Seguridad Industrial
Conceptos Básicos de Seguridad IndustrialConceptos Básicos de Seguridad Industrial
Conceptos Básicos de Seguridad Industrial
 
Lista de chequeo bpm
Lista de chequeo bpmLista de chequeo bpm
Lista de chequeo bpm
 
Salud ocupacional tipos de riesgos.
Salud ocupacional tipos de riesgos.Salud ocupacional tipos de riesgos.
Salud ocupacional tipos de riesgos.
 
Instrumentos de investigacion cualitativa
Instrumentos de investigacion cualitativaInstrumentos de investigacion cualitativa
Instrumentos de investigacion cualitativa
 
Analisis De Seguridad
Analisis De SeguridadAnalisis De Seguridad
Analisis De Seguridad
 
Procedimiento analisis de riesgos
Procedimiento analisis de riesgosProcedimiento analisis de riesgos
Procedimiento analisis de riesgos
 
Metodología Asis
Metodología AsisMetodología Asis
Metodología Asis
 

Similar a Analisis de riesgos 2011

Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
Actividad b riesgos v2
Actividad b riesgos v2Actividad b riesgos v2
Actividad b riesgos v2uaimcalidad
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosCamilo Quintana
 
Gestión de Riesgos.pptx
Gestión de Riesgos.pptxGestión de Riesgos.pptx
Gestión de Riesgos.pptxRickRamirez34
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezezequielmejia123
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Unidad de Emprendimiento ambulante
 
3.5.2-Identificación-impacto-y-proyección-del-riesgo.
3.5.2-Identificación-impacto-y-proyección-del-riesgo.3.5.2-Identificación-impacto-y-proyección-del-riesgo.
3.5.2-Identificación-impacto-y-proyección-del-riesgo.Kike Lopez
 
GERENCIA DE RIESGOS SEMANA 2
GERENCIA DE RIESGOS SEMANA 2GERENCIA DE RIESGOS SEMANA 2
GERENCIA DE RIESGOS SEMANA 2dayanne milagros
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
administracion de riesgo 04-02-22.pptx
administracion de riesgo 04-02-22.pptxadministracion de riesgo 04-02-22.pptx
administracion de riesgo 04-02-22.pptxRonnyBarrientos
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfNicanor Sachahuaman
 
La gerencia de riesgos semana 2
La gerencia de riesgos semana 2La gerencia de riesgos semana 2
La gerencia de riesgos semana 2Deo Álo
 

Similar a Analisis de riesgos 2011 (20)

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Gestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicosGestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicos
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
Actividad b riesgos v2
Actividad b riesgos v2Actividad b riesgos v2
Actividad b riesgos v2
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
 
El riesgo
El riesgoEl riesgo
El riesgo
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Gestión de Riesgos.pptx
Gestión de Riesgos.pptxGestión de Riesgos.pptx
Gestión de Riesgos.pptx
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalez
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informatica
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
 
Curso seguridad privada
Curso seguridad privadaCurso seguridad privada
Curso seguridad privada
 
3.5.2-Identificación-impacto-y-proyección-del-riesgo.
3.5.2-Identificación-impacto-y-proyección-del-riesgo.3.5.2-Identificación-impacto-y-proyección-del-riesgo.
3.5.2-Identificación-impacto-y-proyección-del-riesgo.
 
GERENCIA DE RIESGOS SEMANA 2
GERENCIA DE RIESGOS SEMANA 2GERENCIA DE RIESGOS SEMANA 2
GERENCIA DE RIESGOS SEMANA 2
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
 
administracion de riesgo 04-02-22.pptx
administracion de riesgo 04-02-22.pptxadministracion de riesgo 04-02-22.pptx
administracion de riesgo 04-02-22.pptx
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdf
 
La gerencia de riesgos semana 2
La gerencia de riesgos semana 2La gerencia de riesgos semana 2
La gerencia de riesgos semana 2
 

Analisis de riesgos 2011

  • 1. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 ANÁLISIS Y ADMINISTRACIÓN DE LOS RIESGOS1 PRESENTACIÓN. • Ningún plan o programa puede ser efectivo a menos que esté basado en un claro entendimiento de los riesgos actuales que está destinado a controlar. • El valor de un programa de seguridad depende no solo de la excelencia de los recursos aplicados sino también de su relevancia. • La definición del problema viene primero, luego vendrá el diseño de las contramedidas; porque hasta que no estén claramente evaluadas las amenazas (Threats) actuales contra los activos (Assets), las precauciones o contramedidas no pueden ser escogidas excepto por adivinación o “sentido común”. • El tema es básico para comprender la Administración de Riesgos (Risk Management), la Prevención de Pérdidas (Loss Prevention) y el estudio o encuesta de Seguridad (Security Survey). DESARROLLO. Algunas Generalidades sobre el riesgo Riesgo puede ser la incertidumbre de pérdida financiera, la diferencia entre los resultados esperados y los reales en cualquier actividad o la probabilidad de que una pérdida ha ocurrido u ocurrirá. También puede decirse que los riesgos pueden ser personales, de la propiedad y de responsabilidad. La evaluación del riesgo es una herramienta de gestión cuyos patrones para medir están definidos por lo que la alta gerencia estima aceptable con respecto a una pérdida probable. Terminología Medios: Cualquier propiedad o persona tangible o intangible que un individuo o compañía posee y a la cual se le puede asignar un valor monetario. Las propiedades intangibles incluyen elementos como el good will, información de propiedad y otras propiedades. Para propósito de esta guía las personas son consideradas medios. Consecuencia: Un resultado secundario derivado de una acción o decisión. De un seguro o punto de seguridad, costos pérdidas o daños mas allá del valor en el mercado del medio perdido o dañado incluyendo otros costos indirectos. [1 Con base en el libro Risk Análisis and Security Survey de James Broker, con fines académicos de presentación del examen de certificación CPP, de acuerdo con referencias de ASIS Internacional] Análisis del costo Beneficio: Un proceso de planeación relacionado con las decisiones que comprometen fondos o medios. Este es un sistemático intento de medir o analizar el valor que proviene de un gasto particular. Usualmente este proceso involucra tres pasos: a. Identificación de las consecuencias directas e indirectas del gasto. 1
  • 2. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 b. Asignación de un valor monetario a todos los costos y beneficios resultantes del gasto. c. Descuento esperado de futuros costos y ganancias provenientes del gasto para expresar aquellos costos y ganancias de valores en moneda corriente. Criticalidad: Es el impacto de un evento de perdida típicamente calculado como la red de costo de ese evento. El impacto puede comprender desde fatal, resultando en una total recapitalización a bandono o discontinuidad a largo plazo de la empresa, hasta relativamente sin importancia. Eventos: Algo que pasa; un acontecimiento importante. En el contexto de seguridad estos representa usualmente una ocurrencia como un incidente de seguridad, alarma, emergencia médica, o un episodio o experiencia relacionada. Good Hill: El valor de un negocio que ha sido construido a través de la reputación del producto del negocio y de sus dueños. Evento de pérdida: Una ocurrencia que produce una pérdida financiera o un impacto negativo sobre los medios, por ejemplo incidentes de seguridad, crímenes, guerra, amenazas naturales, o desastres. Desastres Naturales: Un evento o calamidad que ocurre naturalmente trayendo gran daño, pérdida o destrucción tales como tornados, huracanes, terremotos y otros. Probabilidad: La posibilidad en algunos casos la certeza matemática de que un evento dado ocurrirá; la rata de número de sucesos en un exhaustivo cuadro de sucesos igualmente probables que producen un evento dado de un número total de sucesos posibles. Cualitativo: Relativo a una característica de algo que hace que sea lo que es. Cuantitativo: Relativo, concerniente o basado en la cantidad o número de algo capaz de ser medido o expresado en términos numéricos. Riesgo: La posibilidad de pérdida resultante de una amenaza incidente de seguridad o evento. Análisis de riesgo: Un detallado examen que incluye la evaluación del riesgo y las alternativas de manejo del riesgo desarrollado para entender la naturaleza de las consecuencias negativas e indeseadas para la vida humana, la salud, la propiedad o el ambiente; un proceso analítico para proveer información relacionada con eventos indeseables; el proceso de cuantificación de las probabilidades y consecuencias esperadas de un riesgo identificado. Evaluación del riesgo: El proceso de evaluar riesgos relacionados a la seguridad, provenientes de amenazas internas y externas a una entidad, sus medios o personal. Incidente de Seguridad: Una ocurrencia o acción relativa a la seguridad que puede llevar a la muerte, heridas o pérdidas monetarias. Un atraco contra un empleado, cliente o proveedor dentro de la compañía es un ejemplo de incidente de seguridad. Vulnerabilidad: Una capacidad explotable; una debilidad o deficiencia de la seguridad 2
  • 3. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 que puede ser explotada en una instalación, entidad o persona. Sitio: Una locación espacial que puede ser designada por latitud y longitud. Estado del Arte: El más avanzado nivel de conocimiento y tecnología actualmente alcanzado en cualquier campo en un tiempo dado. Estadística: Una rama de las matemáticas relativa a la colección, análisis, interpretación y presentación de grupos de datos numéricos. En seguridad esto podría representar una colección de datos cuantitativos tales como incidentes, reporte de crímenes e información relacionada que junto con otra información similar sirve como estadísticas de seguridad usada para un número de paliaciones incluyendo evaluaciones de riesgos y vulnerabilidades. Amenaza: Un intento de daño o herida. Una indicación de algo que podría ocurrir. Recursos de información para determinar los eventos de riesgo de pérdida 1. Estadísticas locales y nacionales de la Policía, sobre crimen. 2. Reportes e investigaciones especiales o datos similares. 3. Documentos y reportes internos sobre incidentes. 4. Reclamos, informaciones y quejas anteriores de empleados, contratistas, visitantes, etc. 5. Reclamaciones civiles anteriores por seguridad inadecuada. 6. Inteligencia de agencias locales, regionales o nacionales, de seguridad, acerca de atentados o riesgos potenciales. 7. Información relativa de la industria acerca de tendencias de los riesgos. 8. Informaciones sobre tendencias económicas generales del área. 9. Presencia de generadores de crimen: proximidad a clubes nocturnos, presencia de vagos, propiedades abandonadas, etc. 3
  • 4. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 1. DEFINICIÓN DEL PROBLEMA Requiere reconocer y evaluar en términos cuantitativos tres factores: a. Las clases de amenazas o riesgos que afectan los activos o Perfil del evento de Pérdida (Loss Event Profile) b. La probabilidad de que estas amenazas se conviertan en pérdidas o Probabilidad del Evento de Pérdida (Loss Event Probability) también llamada frecuencia. c. El impacto o efecto sobre los activos en caso que la pérdida ocurra o Criticalidad del Evento de Pérdida (Loss Event Criticality) también llamada Severidad o Gravedad. Perfil del Evento de Pérdida: Reconocer individualmente la posibilidad de ocurrencia de eventos de pérdida es el primer paso en la evaluación de la vulnerabilidad. Esto requiere tener claridad sobre las condiciones, circunstancias, objetos, actividades y relaciones que pueden ocasionar el evento de pérdida. Si el evento se puede medir en cuanto a la cantidad de la pérdida y si tal pérdida no es especulativa, en el sentido de que su no ocurrencia es una ganancia, entonces se pueden aplicar contramedidas. Los eventos de pérdida convencionales de la administración, no son del interés del gerente de seguridad; estos son riesgos especulativos. Pero si el evento solamente puede producir una pérdida, entonces es una tarea de prevención de pérdidas y de protección de los bienes. Los riesgos puros más comunes son: la guerra, los desastres naturales, los desastres industriales, los disturbios civiles o protestas violentas, el crimen en general, los conflictos de intereses, la violencia en el sitio de trabajo, el terrorismo y otros especiales como locos, piratería y accidentes de tráfico. Probabilidad y Criticalidad Probabilidad o Frecuencia del Riesgo La probabilidad de que estas amenazas se convierta en pérdidas o probabilidad de Evento de Pérdida (Loss Event Probability) también llamada frecuencia y es el segundo paso en la evaluación de vulnerabilidad. La probabilidad o Frecuencia es el número de formas en las cuales un evento en particular puede resultar de cierta actividad por el número total de eventos que podrían ocurrir en esa actividad. P = Probabilidad que un evento dado ocurra f = Número de resultados favorables a la ocurrencia n = Número total de resultados posibles P = f_ n 4
  • 5. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Ejercicio: Si lanzamos dos monedas al tiempo hay 4 posibles resultados (n=4) tres resultados podrían producir al menos una cara (f=3). La posibilidad de obtener una cara en el lanzamiento es (P=3/4) o sea 75; entonces ¿cuáles serían los 4 posibles resultados de ese lanzamiento? Los eventos de pérdidas no se pueden predecir usando una fórmula probabilística standard. Básicamente entre más formas haya de que un evento en particular pueda ocurrir en unas circunstancias dadas, mayor será la “probabilidad” que este ocurra. A mayor frecuencia, mayor probabilidad. Dada la cantidad de variables que pueden permitir u ocasionar un evento de pérdida, como un robo, por ejemplo, generalmente no es posible hacer cálculos matemáticos de la probabilidad; por otra parte, cuando un evento se presenta, lo normal es que las circunstancias de almacenamiento, control y prevención sean modificadas, luego las circunstancias para un próximo evento serán diferentes. En realidad, el gerente de seguridad debe tener la claridad profesional para reconocer las circunstancias y variables que pueden producir el evento de pérdida. Factores de Probabilidad Los factores de probabilidad son las condiciones o grupos de condiciones que incrementarán la exposición de los activos al riesgo de pérdida, estas categorías son: (1) Medio ambiente físico Composición: material, masa, peso, volumen, densidad Clima: temperatura, humedad, lluvia, nieve, tormentas y estaciones Geografía: Latitud, longitud y elevación Ubicación: exposiciones del vecindario, ambiente abierto o cerrado, controlado o no Condiciones de uso: horas, procesos y procedimientos (2) Medio ambiente social Identidad étnica: variedad de población y distribución Grupos por edad: niños, adolescentes, ancianos, etc. Niveles de ingresos: pobres, desempleados, cuello blanco, ricos Vecindario: porcentaje residencial, industrial, negocios, institucional, recreacional, desarrollado, deteriorado. Historia social: pacífico, incidentes locales, disturbios, cronología de eventos importantes Planeación: reconstrucción, rehabilitación, extensión, etc. Crimen: altos índices, bajos, tipos de crímenes, relaciones con policía, frecuencia y cantidad de patrullas y control (3) Medio ambiente político Unidad de Gobierno: ciudad, pueblo, etc. Generalidades políticas: conservadores, liberales, partidos tradicionales, minoritarios, mezclados, apolíticos. Actitudes: fuertemente organizados, pobremente organizados, organizaciones competitivas, grupos dominantes. Área política: modos de elecciones, nivel local, regional, nacional, federal, etc. Experiencia histórica Es una forma de apreciar las probabilidades de ocurrencia de eventos, aunque generalmente las empresas no tienen registros de sus experiencias que permitan hacer pronósticos con cierta precisión. Dos problemas: o no existe el registro de la información o está registrada de manera 5
  • 6. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 que no es posible hacer mediciones estadísticas, sea porque son incompletas, porque poseen demasiados datos no útiles o porque los datos no son relevantes para la tarea. Esto, cuando simplemente no hay registros de ningún tipo sobre los incidentes. Las empresas deberían mantener records precisos sobre la ocurrencia de eventos de pérdida que permiten hacer predicciones de alguna precisión sobre tales eventos. Sabemos que la frecuencia es un indicio de probabilidad. Los computadores personales permiten, hoy en día, llevar datos precisos sobre información de ocurrencia de eventos de pérdida. Una base de datos en tal sentido debería tener como mínimo los siguientes registros: - Lugar, Fecha y Hora del incidente tan precisos como sea posible - Naturaleza del evento: accidente o crimen - Descripción detallada del evento: incendio, robo, ataque, etc. - Método de operación o modo de ocurrencia - Número del evento por tipo o por localización - Valor de los bienes o costo de la pérdida Matriz de decisión FRECUENCIA DE PÉRDIDA Severidad de Pérdida Alta Media Baja Prevención Transferencia Alta Evitar de Pérdidas por medio de y evitar seguro Prevención de Evitar y Pérdidas Asumir y Media Prevención de y transferencia repartir Pérdidas por medio de Prevención Prevención de Baja de Pérdida Asumir Pérdidas y Asumir 2. PREPARACIÓN DE LA SOLUCIÓN a. Análisis de la Amenaza. Árbol de Amenaza Lógica (Threat Logic Tree). b. Identificación y examen de alternativas (Network Design). El Análisis de la amenaza indicará que aunque varios riesgos estén separadamente identificados es posible que una simple contramedida pueda neutralizarlos a todos o detectar que un número de riesgos dependen de una misma causa común o condición precedente. Estas conexiones producen un patrón de amenaza lógica el cual sugiere no solo la interrelación 6
  • 7. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 entre riesgos sino el punto más apropiado para interponer o aplicar la contramedida. La tarea de planear ese patrón lógico es lo que se denomina Análisis de Amenaza. La construcción del modelo de amenaza se materializa en el “Arbol Lógico de Amenaza” (Threat Logic Tree ) en el que a cada riesgo identificado, corresponden ciertos eventos o condiciones que son necesarios antes de que pueda ocurrir. Algunos de estos eventos o condiciones deben existir simultáneamente, algunos pueden existir en secuencia lineal, algunos pueden existir individualmente y algunos pueden existir individualmente pero no en presencia de la línea de secuencia de otros. Lógicamente estas combinaciones pueden ser representativas en los siguientes términos: AND Existencia simultánea AND Pero si X antes de Y OR Si puede existir aisladamente OR Pero si X no está en Y El principio de apalancamiento (Leverage), consiste en que la aplicación de una simple contramedida en el lugar apropiado puede neutralizar varias amenazas. Cada punto de apalancamiento indica una posibilidad para una contramedida. El último paso en esta planeación se denomina Diseño de Red (Network Design) y consiste en organizar la interrelación de las contramedidas. 7
  • 8. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 3. RESOLUCIÓN DEL PROBLEMA a. Selección de unas alternativa de administración del riesgo b. Implementación de la alternativa seleccionada c. Monitoreo y mejoramiento de la alternativa seleccionada En cada punto de apalancamiento se puede establecer una contramedida aunque inicuamente no se sepa exactamente cuál. Para cada contramedida propuesta en el programa de seguridad, deben tenerse en cuenta cuatro factores: (1) Validez. Verificar que la medida surte el efecto que se busca y que es la que mejor produce tal efecto. (2) El grado de confiabilidad, definida como la consistencia con que la medida es efectiva a lo largo del tiempo. (3) El costo aproximado para ponerla en ejecución. (4) El tiempo requerido para ponerla en acción, comparada con otras contramedidas posibles. Técnica de evaluación de sistemas Sistema es un arreglo regular y ordenado de partes y componentes en un todo interrelacionado e integrado. Para diseñar un sistema de seguridad deberán elegirse las medidas que serán soportadas o soportarán a otras, de modo que cada recurso juegue un papel único e indispensable en el sistema. Este tipo de diseño permite reducir el número total de contramedidas, baja los costos y optimiza el desempeño de las medidas y del sistema como un todo. Una vez diseñado, el sistema debe ser implementado y probado, virtual o físicamente, dependiendo del sistema, e involucra las acciones y procedimientos de respuesta por parte de humanos, los cuales también deben ser evaluados por medio de ejercicios y emergencias simuladas. En el diseño y evaluación de sistemas, deben tenerse en cuenta que el algunos casos, márgenes de error pueden ser permitidos frente a los costos de producir cero errores, pero en otros, el cero errores debe ser un requisito indispensable. Mantener el sistema en funcionamiento Hay tres grandes razones para que ocurran las pérdidas en seguridad: (1) Porque las vulnerabilidades no han sido reconocidas (2) porque las contramedidas no son efectivas y/o (3) porque no se ha reconocido un cambio El cambio puede estar en la vulnerabilidad o en la relevancia de la contramedida. La vulnerabilidad cambia cuando hay cambios en la probabilidad o en la severidad del impacto o en ambos. 8
  • 9. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 4. ADMINISTRACIÓN DE RIESGOS Interacción entre las tres funciones de la Administración de Riesgos: (1) La prevención de pérdidas (2) El control de pérdidas y (3) La indemnización de pérdidas La tendencia de hoy es hacia una interacción más cercana entre las tres funciones de la Administración de Riesgos: (1) La prevención de pérdidas → Antes del evento de pérdida (2) El control de pérdidas y → Durante o después (3) la indemnización de pérdidas → Después del evento de pérdida Muchas empresas combinan estas funciones bajo un mismo ejecutivo: el Gerente de riesgos La justificación económica de un proyecto o programa de Seguridad se basa en que los gastos de seguridad deben ser costo – justificados porque ellos implican desviación de recursos o la aplicación de activos de la empresa hacia actividades que no pertenecen a la esencia de su negocio (core busines). Ele gerente de Seguridad debe demostrar cuantitativamente que está retornando la suma invertida en sus programas de contramedidas en la forma de: (1) Pérdidas evitadas o minimizadas y (2) Activos recuperados ¿Retornaría la suma invertida en seguridad un valor equivalente al obtenido si fuera colocada en el mercado de valores a una tasa de interés normal? Los costos del programa deben ser menores que los costos de las pérdidas que ocurrirían sin el programa. Los costos totales que son relevantes para la administración de riesgos incluyen: • Los costos de las pérdidas que ocurren a pesar del programa y que no serán indemnizadas vía seguro. • Los costos del programa de prevención o control de pérdidas al lado de los costos de los seguros. • Los costos de las primas de seguro y la administración de reclamos. Si tomados juntos, los tres tipos de costos mencionados son menores en un año que los costos de las pérdidas que probablemente hubieran ocurrido sin el programa de prevención y control de pérdidas; entonces los esfuerzos de administración de riesgos son exitosos. El Control de Pérdidas, la prevención o minimización de las pérdidas, es la función específica de un programa de seguridad y protección de activos. Y en este campo la mayoría de las empresas no tienen mucha experiencia. Cuando las contramedidas son propuestas o implementadas, debe hacerse un segundo estimado de las pérdidas que ocurrirían no obstante las contramedidas. El primer elemento en el ejercicio de justificación económica son las pérdidas evitadas, que son la 9
  • 10. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 diferencia entre las pérdidas estimadas sin el programa y las que probablemente ocurran con el programa. Esta cantidad se usará en la llamada Ecuación ROE para justificar el gasto en seguridad. Teniendo en cuenta que las pérdidas evitadas son solamente una predicción tendiente a obtener la aprobación de un presupuesto requerido, si no puede ser predecible un retorno positivo del gasto propuesto, esa será una buena razón para no aprobarlo. Las tareas de seguridad bien desempeñadas y unas contramedidas de seguridad funcionando apropiadamente, tendrán consecuencias financieras directas. Un segundo elemento en el ejercicio de justificación económica es la recuperación de activos. En este sentido solo deben ser tenidas en cuenta las recuperaciones hechas únicamente como resultado de la aplicación del programa de seguridad. Este es otro elemento de la Ecuación ROE. La Ecuación ROE (Return of Expenditures) para obtener el retorno de los gastos hechos en un programa de seguridad se compone de: AL + R AL = Pérdidas Evitadas ROE = ---------- R = Recuperaciones hechas CSP CSP = Costo del Programa de Seguridad ROE = Retorno de Gastos Para representar los costos del programa de Seguridad (CSP) es necesario incluir: (1) Gastos de personal (2) Todos los gastos generales administrativos (3) Costos de capital aplicado Ejercicio: Se estima que las pérdidas de inventario serían de US$ 100.00 sin tomar medidas de seguridad. Se propone un programa de Seguridad a un año que cuesta US$ 150.000 y cuyo probable efecto será reducir a US$10.000 las pérdidas. Si un camión robado es localizado por la Policía y se recuperan las mercancías por US$ 45.000; un guarda de seguridad detiene a un empleado que intenta sustraer US$200 en componentes de manufactura; se descubre un faltante de materia prima de US$175.000 y mediante el polígrafo se obtiene la declaración de un empleado que confiesa haber expedido recibos fraudulentos desde hace seis meses en complicidad con el proveedor y haber recibido de este último la suma de US$ 5.000. La compañía tiene una póliza de fidelidad con un deducible de US$ 5.000 y un techo de US$ 10 millones. Se hace una reclamación por US$ 170.000 como resultado de la investigación de seguridad. Preguntas: (1) ¿Cuánto es el total de las recuperaciones (R)? (2) ¿Qué porcentaje retorno obtiene el programa ese primer año? (3) ¿Cuál es el monto retornado ese primer año? (4) ¿El programa se justifica económicamente? 10
  • 11. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Respuestas: (1) US$ 170. 200 (2) 173% (3) US$ 259.500 (4) SI Es importante distinguir los elementos del programa atribuibles a diferentes niveles de la organización y las evitadas y las recuperaciones atribuibles a esos niveles. La mejor aproximación es intentar una integración de todos los esfuerzos de seguridad y de los resultados y una presentación que los cubra a todos. 5. ESTUDIO DE SEGURIDAD Es el método sistemático más aceptado para identificar los riesgos y como tal es la parte del Análisis de Vulnerabilidad. El estudio de Seguridad (Security Survey) no es un fin en si mismo sino un medio para alcanzar un buen entendimiento del estado actual de un sistema de seguridad, las deficiencias o excesos, determinar la protección necesaria y las recomendaciones para mejorar dicho sistema El Estudio de Seguridad debe ser desarrollado por un profesional de seguridad competente, porque involucra actos de responsabilidad técnica y ética. Tal vez el mayor problema es que muchos Gerentes de empresas no saben aún si tienen un problema se seguridad o tampoco saben bien cómo hacer para encontrarlo si lo tuvieran. Aún más, pueden no querer saberlo o preferir ignorarlo. Algunos gerentes de empresas prefieren mantener las cosas como están y ven cualquier sugerencia de seguridad como una crítica indirecta a su habilidad para manejar su operación exitosamente. Las pérdidas por criminalidad contra las empresas exceden de lejos las pérdidas causadas por incendios y accidentes industriales. Estimando que las pérdidas anuales de las empresas por criminalidad pueden ser el doble de las pérdidas combinadas de incendios y accidentes. El proceso de un Estudio de Seguridad se compone de: (1) La selección y aplicación de la lista de chequeo adecuada (2) El trabajo de campo y la recolección de información de soporte (3) El análisis de la información y el diseño de recomendaciones (4) La elaboración del reporte (5) La elaboración de anexos (6) La presentación Hay varios modelos de Listas de chequeo para realizar el levantamiento de la información en estudios de seguridad, son ellos: • Lista para Estudio Preliminar • Lista para evaluación Cuantitativa • Lista Auto evaluación • Lista de Abreviada • Lista de Extensa Dependiendo del tipo de facilidad, las listas de chequeo hacen un mayor énfasis en los datos más relevantes de cada “metabolismo específico y no es una buena práctica profesional 11
  • 12. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 aplicar un mismo modelo a todas los casos. Por ejemplo, hay listas de chequeo específicas para: (1) Establecimientos Educativos (2) Bodegas y Terminales (3) Puertos Y Aeropuertos (4) Hospitales (5) Hoteles (6) Industrias y Oficinas (7) Residenciales (8) Instalaciones remotas o abandonadas (9) Instalaciones especiales como: • Plantas de Energía • Laboratorios de investigación • Instalaciones de Defensa • Centros de computo Si la empresa o facilidad que está siendo considerada ya tiene un plan de seguridad, probablemente el estudio deberá establecer si el plan está actualizado y si funciona correctamente. En este caso el estudio suele ser presentado como una Auditoría o interventoría Operacional (OA). Si la facilidad no tiene un plan de seguridad entonces el estudio puede establecer la necesidad de tener uno y desarrollar algunos servicios de seguridad que son comúnmente recomendados para ese tipo de facilidad. La presentación del reporte es un factor importante porque dice mucho de la competencia profesional de quien lo hizo y da credibilidad al mismo. Esta debe ser pulcra, sistemática, breve, coherente, pertinente y práctica. Y debe contener al menos lo siguiente: (1) Carta de Presentación (2) Ficha técnica (3) Tabla de contenido (4) Sumario (5) Concepto del actual sistema de seguridad (6) Deficiencias (7) Recomendaciones de mejoramiento (8) Anexos La ficha técnica incluye los datos generales de la facilidad estudiada que permiten individualizar el documento, tales como: fecha del estudio de la empresa, localización geográfica, tipo de negocio o actividad, descripción física de la facilidad, número de empleados, datos de contacto. Normalmente no es más de media página El sumario es un resumen ejecutivo de los hallazgos del estudio, de sus principales recomendaciones y del contenido del reporte. Normalmente no es más de un párrafo. El concepto del Sistema Actual de Seguridad si lo hubiera, es un elemento importante porque permite designar una línea de base para el desarrollo del sistema de seguridad. Normalmente no excede de una a dos páginas. Es una buena práctica profesional, incluir un anexo sinóptico o estadístico del estado de la criminalidad actual en el área. El estudio debe enfocarse en las Deficiencias o desviaciones encontradas y a partir de ella, delinear las posibles recomendaciones. Los hallazgos deben enumerarse y describirse concretamente en frases cortas que normalmente no exceden un par de renglones. 12
  • 13. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Las recomendaciones de mejoramiento deben estar relacionadas con las deficiencias encontradas y no solo deben ser mencionadas sino que debe ser estudiado su costo, el tiempo de implementación y la pertinencia o prioridad de aplicación. Es una buena práctica profesional adicionar una Hoja de Control para hacer seguimiento a la implementación de las recomendaciones porque motiva la acción ejecutiva del cliente y permite continuidad al trabajo de Seguridad. Es una buena práctica profesional, aplicar el Diseño de Red (Network Design) para dar sustentación a las recomendaciones y aplicar el principio de Apalancamiento (Leverage). Cuando se sugieran proveedores debe hacerse sobre una base transparente y al menos 3 para cada recomendación. Los anexos pueden ser: Fotográficos, planos y mapas, diagramas, tablas estadísticas, listas de contacto, procedimientos, planes, catálogos, etc. Es común que los anexos resulten ser más extensos que el Reporte en sí mismo. 13
  • 14. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 ANÁLISIS DE RIESGOS DE PMI DEFINICIÓN Definimos un riesgo como la posibilidad de que un incidente que afecte la seguridad de una PMI (Persona Muy Importante) tenga ocurrencia; entendida la seguridad como daños en su integridad personal, tales como heridas, muerte, pérdida de la libertad y deterioro de su imagen y prestigio. Para efectos del análisis, es necesario considerar que hay riesgos permanentes, inherentes al cargo, a la posición política y económica del PMI y a los cuales vamos a llamar prevalecientes, y otros puntuales, coyunturales o transitorios, provenientes de situaciones de tiempo y lugar, como sitios frecuentados por el PMI o situaciones políticas o económicas del entorno que pueden intensificarlos o reducirlos, como negociaciones laborales, amenazas subversivas o extorsivas. PROPÓSITO Uno de los puntos críticos en la gerencia de seguridad al abordar el problema de la seguridad de PMI, es el análisis de los riesgos. El propósito general del análisis de los riesgos es determinar, en primer lugar, la pertinencia, es decir, cuáles son los riesgos propios de un PMI y en segundo, la posibilidad o frecuencia y la gravedad o intensidad con que puede ocurrir dicho incidente, y como consecuencia de esto, determinar la clase e intensidad de la seguridad y protección que debe proporcionarse a la PMI que es sujeto de este análisis. Para efectos de analizar los riesgos de un PMI, y con el fin de simplificar el proceso, podemos decir que los únicos riesgos posibles son el secuestro y el atentado, ya que si está protegido contra estos riesgos, los demás posibles, son despreciables, como el atraco, la extorsión, etc. MÉTODOS DE ANÁLISIS DE RIESGOS Si preguntáramos a cada gerente de seguridad sobre el método que emplea para analizar los riesgos de las PMI a su cargo, seguramente encontraríamos uno diferente para cada uno. Por otra parte, se ha discutido mucho y puesto en tela de juicio por su carencia de exactitud y utilidad los métodos de análisis hechos con valores matemáticos arbitrarios. Sin embargo, ateniéndonos a sus propósitos, podemos decir que cualquier método es válido siempre y cuando cumpla con los propósitos del análisis: determinar el nivel de probabilidad, sus causas y las medidas que minimizan las vulnerabilidades; y que, entre más detallado, sutil y preciso sea, más facilidades de llegar a decisiones acertadas sobre la seguridad de una PMI tendrá el gerente de seguridad. Nuevamente, por simplicidad, y por considerar que para un PMI no es posible bajar la gravedad de sus riesgos de atentado y secuestro, este índice se considera 100%, es decir, solo se mide y se trabaja sobre la probabilidad, la cual sí es factible de minimizar con medidas de seguridad. Vamos a presentar en este artículo un método de análisis lógico, apoyado en números que nos permitan hacer una observación objetiva de los niveles de probabilidad y como ya se dijo, determinar las amenazas y vulnerabilidades sobre las cuales se debe actuar para reducir los riesgos. Cada gerente, desde luego, tendrá la oportunidad de valorarlo teórica y prácticamente e implementar el suyo propio a partir del modelo que le presentamos. 14
  • 15. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 EL MÉTODO Para desarrollar un análisis matemático del riesgo, debemos valorar las variables de posibilidad e incidencia en forma arbitraria. Probabilidad Decimos que la posibilidad de que un riesgo se materialice, hace que lo podamos calificar de la siguiente manera, asignándole a cada nivel de probabilidad un valor, así: Inminente 5 Probable 4 Posible 3 Improbable 2 Remoto 1 Factores de Probabilidad Son los aspectos que determinan la calificación de posibilidad de ocurrencia de riesgos. Se consideran los siguientes: Nivel de seguridad actual: Se analiza la posibilidad de riesgo según el nivel actual de seguridad, entendiendo que entre más bajos sean los niveles actuales de seguridad, más alta será la posibilidad de que un incidente tenga lugar. Vulnerabilidades existentes: Se entiende que a mayores vulnerabilidades, mayores serán las intenciones de los intrusos potenciales de intentar el desarrollo de incidentes de seguridad y mayores sus posibilidades de éxito. Intención del intruso: Tiene que ver con la posibilidad de que los intrusos potenciales decidan intentar un hecho delictivo dentro de la empresa; esto provocado por los niveles de seguridad, las vulnerabilidades y el perfil de la PMI. Más bajos perfiles, menores posibilidades. Utilidad del incidente para el intruso: Es un cálculo del beneficio económico, político o publicitario, o en el logro de intenciones extorsivas, para el agente de riesgo, en caso de que pueda realizar una intrusión para materializar un riesgo. Situación general del área: Tiene que ver con los riesgos generales del área y sus vulnerabilidades. Hay áreas, por ejemplo donde pululan el crimen y la impunidad; otras donde el movimiento y asentamiento de criminales hacen que sean seguras para ellos, así como otras donde la presencia de extraños es detectada fácilmente, haciendo que sus acciones sean muy difíciles de llevar a cabo. Por otra parte, al considerar la situación de un área, podemos referirnos a un área regional, nacional, local, a un barrio, a una calle, o a un sitio específico como el club, la peluquería, etc. Matriz de Probabilidad: Con el fin de poder hacer un análisis matemático, con la siguiente matriz damos valor a cada uno de los riesgos que estamos analizando, para cada una de las PMI y calculamos el porcentaje de Probabilidad. 15
  • 16. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Análisis de los Factores de Probabilidad de Secuestro y Atentado para un Gerente Factores de Posibilidad Secuestro Atentado Nivel de seguridad actual 3 3 Vulnerabilidades existentes 2 3 Intenciones del Intruso 4 1 Utilidad incidente para el intruso (1) 3 1 Situación general del área (2) 4 4 Total Posibilidad del riesgo 16 12 Posibilidad Porcentual (3) 64% 48% (1) El intruso puede referirse a la amenaza en general o a un intruso en particular: un extorsionista o un grupo subversivo. (2) El área puede ser, como se explicó, un área en particular o varias: nacional, local, regional, la oficina, etc. en cuyo caso se usará un renglón para cada área (3) Si todos los factores fueran calificados con 5, el total de posibilidad sería 25, lo que equivale al 100%; 16 es el 64% y 12 en el 48%. Las consideraciones que nos llevan a calificar cada factor de riesgo, son las que hay que modificar para disminuirlo, bajando las vulnerabilidades bajará la calificación del factor, y por ende el riesgo y el cálculo servirá para presentar al PMI la forma como las medidas de seguridad influirán en sus niveles de riesgo. Incidencia o gravedad del riesgo La incidencia o gravedad del riesgo tiene que ver con las consecuencias que tendría para la empresa la ocurrencia de un incidente contra una PMI. Debemos repetir que la incidencia para el PMI es 100 y que es muy difícil de disminuir. Además, disminuyendo la posibilidad a niveles cercanos a cero, la gravedad se va volviendo despreciable, en la misma forma que si la gravedad fuera cero, la posibilidad sería despreciable. A pesar de la consideración anterior, presentamos en forma similar, el método de cálculo de la gravedad o incidencia ya que habrá gerentes que quieran hacerla y además porque para el análisis de riesgos de instalaciones sí es completamente necesaria. Niveles de Incidencia Amenaza la existencia de la empresa 5 Incide sobre la totalidad de la empresa 4 Incide sobre gran parte de la empresa 3 Incide sobre un área específica 2 Insignificante o despreciable 1 Factores de Incidencia Para apreciar la incidencia o gravedad del riesgo se tiene en cuenta la forma e intensidad con que afecta los siguientes factores: Presupuesto Opinión pública y ecología Operaciones de la empresa Moral del personal Sistema general de seguridad 16
  • 17. DIPLOMADO GERENCIA DE LA SEGURIDAD 2011 Matriz de Incidencia Análisis de los Factores de Posibilidad de Secuestro y Atentado para el Gerente* Factores de Incidencia Secuestro Atentado Presupuesto 3 3 Opinión Pública y Ecología 2 3 Operaciones de la Empresa 4 1 Moral del Personal 3 1 Sistema de Seguridad General 4 4 Total incidencia 16 12 Incidencia Porcentual 64% 48% *Los cálculos se hacen en forma similar a los de probabilidad Conclusiones sobre el Riesgo La conclusión sobre el riesgo es el nivel, en una escala cualquiera (porcentual, por ejemplo) mediante la cual apreciamos permanentemente a probabilidad e incidencia, así como la forma en que estas suben o bajan cuando se aplican o dejan de aplicarse las normas de seguridad. Esta escala numérica podemos expresarla en términos de medio, alto, bajo, etc., correspondiente a los valores porcentuales y a partir de estos datos, continuar con todo el proceso de seguridad: programas de seguridad física, de información, del personal, emergencia y crisis, listas de chequeo y todos los demás ingredientes, aplicados en forma particular a la seguridad del ejecutivo pero integrados a todo el sistema de seguridad empresarial. 17