ANLISIS Y VALORACIN DE RIESGOS.

Antes de entrar de lleno en el anlisis y valoracin de los riesgos a los que debemos hacer frente
como ingenieros, encargados de la seguridad de nuestro personal y de los activos de la
organizacin, es importante entender algunos conceptos bsico tales como riesgos, amenazas y
vulnerabilidades, que nos van a facilitar el llevar a cabo un anlisis y valoracin adecuados.
RIESGO. Se considera riesgo a la estimacin del grado de exposicin de un activo o personal a
que una amenaza se materialice sobre l causando daos a la organizacin que pueden ser
materiales o econmicos. El riesgo indica lo que le podra pasar a nuestro personal o activos si no
se protegen adecuadamente.
AMENAZAS. Son los eventos que pueden desencadenar un incidente, produciendo daos
materiales o inmateriales en los activos o en nuestro personal.
VULNERABILIDAD. Las vulnerabilidades son las debilidades que tienen nuestro personal o los
activos o grupos de activos que pueden ser aprovechadas por una amenaza.
IMPACTO. Es la consecuencia de la materializacin de una amenaza sobre nuestro personal o
activos.
RIESGO INTRNSECO. Es la posibilidad de que se produzca un impacto determinado en una
persona o en un activo o grupo de activos.
SALVAGUARDAS. Son las prcticas, procedimientos o mecanismos que reducen el riesgo. Estas
pueden actuar disminuyendo el impacto o la probabilidad.
RIESGO RESIDUAL. Es el riesgo que queda tras la aplicacin de puntos de seguridad. Por muy
bien que protejamos a nuestro personal o activos, es imposible eliminar el riesgo al 100% por lo
que siempre quedar un riesgo residual en el sistema que la organizacin deber asumir y vigilar.
ANALISIS DE RIESGOS. Es el proceso que consiste en identificar los riesgos de seguridad en la
organizacin, determinar su magnitud e identificar las reas que requieren implantar puntos de
seguridad.
Con la ayuda del anlisis de riesgos estamos a un paso de conocer el impacto econmico debido a
una falla en la seguridad y la probabilidad de que ocurra esta falla.
El anlisis de riesgos debe cubrir las necesidades de seguridad de la organizacin teniendo
siempre en cuenta los recursos econmicos y humanos con los que sta cuenta ya que la inversin
en seguridad tiene que ser en forma proporcional al riesgo, esto es, si una empresa tiene un
servidor que contiene informacin definida como de valor bajo y tenemos un sistema de seguridad
que para acceder al rea del servidor debemos hacerlo a travs de un lector de retina y
posteriormente para acceder al servidor hay que utilizar un lector de huella digital, como resulta
evidente las medidas adoptadas por esta empresa son desproporcionadas teniendo en cuenta el
valor de la informacin que contiene.
El anlisis de riesgos aporta objetividad a los criterios en los que se apoya la seguridad ya que se
centra en proteger tanto al personal como a los activos ms crticos y permite a la organizacin
gestionar los riesgos por s misma, adems apoya la toma de decisiones basndose en los riesgos
propios.

Para evitar la subjetividad durante la realizacin del anlisis es bueno contar con la colaboracin de
diversas reas de la organizacin y no nicamente con el rea de mayor riesgo o con la que tiene
el activo o los activos ms crticos de esta manera evitamos en gran medida la subjetividad que
pueda tener el responsable del rea o del activo crtico.
Los anlisis de riesgos deben utilizar unos criterios definidos claramente que se puedan replicar en
otras reas. De esta manera se puede ir comparando el nivel de riesgo en una organizacin a
medida que se va mejorando el Sistema de Gestin de Seguridad.
El anlisis de riesgos se basa en la revisin de las reas localizadas con anterioridad y el inventario
de equipos crticos aunque si es posible podemos considerar todos los equipos de la organizacin,
a continuacin se deben identificar las amenazas que pueden afectarnos y se realiza una
valoracin en funcin del impacto que la amenaza puede causarnos en caso de que se materialice.
Posteriormente, analizaremos la vulnerabilidad tanto de nuestro personal como de nuestros activos
crticos y se realizar una valoracin de las mismas. Si nuestro personal o activos estn expuestos
a una amenaza pero no tiene vulnerabilidad que le permita manifestarse, el riesgo es menor que si
existe vulnerabilidad.
Una vez analizados los activos, las amenazas y las vulnerabilidades que pueden afectarnos
debemos realizar un anlisis de las medidas de seguridad ya implantadas en la organizacin. Con
todos estos datos podremos realizar el estudio del riesgo y el impacto de todas estas variables
sobre nuestro personal y los activos de la empresa, de esta manera podremos obtener los
resultados del anlisis de riesgos que definen a qu nivel de riesgo est expuesta la organizacin y
tomar medidas al respecto.
El proceso del Anlisis de Riesgos debe estar perfectamente documentado para poder justificar las
acciones que se van a desarrollar y conseguir el nivel de seguridad que la organizacin quiere
alcanzar.
Existen multitud de metodologas que nos pueden facilitar la realizacin de un anlisis de riesgos.
Estas metodologas nos indican los pasos a seguir para su correcta ejecucin, ya que, como
hemos visto, suelen ser muy complejos y tiene multitud de variables. Utilizar una herramienta para
llevar a cabo el anlisis de riesgos facilita su elaboracin y permite realizar las labores de manera
ms sistemtica. Esto facilita que la informacin resultante sea reutilizable y comparable con
resultados de sucesivos anlisis.
Algunas de estas metodologas son:

Mtodos Cualitativos.
Mtodos Comparativos. Manuales tcnicos o cdigos y normas de diseo, Lista de
verificacin, anlisis histricos de accidentes y anlisis de datos de bitcoras.
Mtodos Generalizados. Anlisis de peligro y operatividad (Hazop), anlisis de riesgos
(Hazan), anlisis de rbol de fallas, anlisis de rbol de eventos, anlisis de causaconsecuencia, anlisis de modos de falla y efecto, anlisis de Qu pasa si? y anlisis
de error humano.
Mtodos Cuantitativos. ndices de riesgos, ndice Dow y Mond, calificacin relativa
(ranking relativo)