ANÁLISIS DE RIESGOS

SUPERVISORES
METODOS DE EVALUACION DE
RIESGOS
METODO DE EVALUACION

FINALIDAD:

Herramienta de Gestión para los

profesionales de la seguridad, con el
propósito de orientar la Decisión de
implementación de una medida de control y
el análisis de su beneficio costo.

Sirve para determinar los niveles de

criticidad de un sistema de protección y de
manera adicional las vulnerabilidades del
mismo.
 METODO DE EVALUACION

• DESARROLLO:
– El desarrollo del método de ASIS comprende los siguientes
Pasos:
• 1a. Fase: Conocimiento de la Organización.
• 2a. Fase: especificar:
– Riesgos.
– Vulnerabilidades.
– Eventos de Perdida.
• 3a. Fase: Calcular la Probabilidad.
• 4a. Fase: Establecer la Criticidad.
• 5a. Fase: Establecer opciones de Mitigación.
• 6a. Fase: Estudiar Viabilidad de medidas.
• 7a. Fase: Análisis Beneficio / Costo.
CONOCIMIENTO DE LA ORGANIZACION

Objetivo: Desarrollar comprensión del objeto de

análisis, (Entienda la Organización).

Identifique las personas (incluyendo empleados, visitantes,

contratistas y otros directa o indirectamente relacionados con
el negocio y los activos tangibles e intangibles que puedan
exponerse al riesgo.

Los activos además de la gente, incluyen todas las

características de negocio base e información.
– Son activos tangibles, el dinero, los bienes y las inversiones.
– Son activos intangibles: la característica intelectual, la voluntad y el
buen nombre.
CONOCIMIENTO DE LA ORGANIZACION

• Identifique las características del negocio base:

– Misión.
– Visión.
– Políticas y objetivos estratégicos.
(incluye el esfuerzo base, redes e información ), las redes incluyen sistemas
infraestructuras y equipos asociados a datos, telecomunicaciones y activos de
tratamiento por computador .
• Establezca:
– Horarios de operación.
– Tipos de clientes.
– Tipos de servicios o productos.
– Naturaleza competitiva.

• Identifique la información sensitiva de propiedad:

– Información confidencial sobre empleados.
– Planes de expansión.
– Planes de comercialización
RIESGOS - VULNERABILIDADES Y EVENTOS DE
PERDIDA

• Establezca los riesgos y las vulnerabilidades

originados por agentes externos como los originados
por factores internos.
– RIESGO.
– VULNERABILIDAD.
• Los eventos de perdida se pueden definir con un
análisis de vulnerabilidad. Las definiciones anteriores
establecen PERFIL DEL EVENTO DE PERDIDA es
decir el QUE, COMO, CUANDO, DONDE, QUIEN
PORQUE.
RIESGOS - VULNERABILIDADES Y EVENTOS DE
PERDIDA

• Fuentes de información para determinar

eventos de perdida:
– Estadísticas ofíciales del crimen.
– Reportes del UCR o datos comparables.
– Documentos internos de la organización Ej. Informe de incidentes
de seguridad.
– Quejas de empleados, visitantes contratistas etc.
– Demandas civiles anteriores por seguridad inadecuada.
– Informes de inteligencia del estado o de las agencias de
investigación de amenazas potenciales
– Información sobre tendencias de crimen en industrias relacionadas.
– Condiciones económicas, sociales y políticas del área.
 ESTABLECER LA PROBABILIDAD

• La probabilidad debe relacionarse con:

– La frecuencia.
• La frecuencia se relaciona como la regularidad de ocurrencia.
– Las tendencias.
– Los patrones.
– El interés.
– La capacidad del agente agresor y.
– Las vulnerabilidades de la seguridad.
 ESTABLECER LA PROBABILIDAD

El análisis de probabilidad se realiza desde dos

enfoques :
 Probabilidad de ocurrencia del acontecimiento:
 Probabilidad de ocurrencia de la pérdida:

LA PROBABILIDAD NO ES SOLAMENTE UN DATO

MATEMÁTICO
 ESTABLECER LA PROBABILIDAD

Probabilidad de evento de pérdida

• Los eventos de pérdida no se pueden predecir usando una
fórmula probabilística Standard.
• Básicamente entre mas formas existan para que un evento en
particular pueda ocurrir en unas circunstancias dadas, mayor
será la “probabilidad” de que este ocurra.
• A mayor frecuencia, mayor probabilidad.
Factores de Probabilidad
– Medio ambiente físico
– Medio ambiente histórico
– Medio ambiente social
– Medio ambiente político
– Actualidad criminal.
 ESTABLECER LA PROBABILIDAD

VALORACION DE PROBABILIDAD / FRECUENCIA:

P= f/n
P = Probabilidad de ocurrencia de un acontecimiento.
f = Número de ocurrencias reales del acontecimiento.
n = Unidad de tiempo en que se calculan las ocurrencias, es decir tiempo de exposición

Ejercicio : Calcular la probabilidad de ocurrencia de voladura de un oleoducto

para el año 2004, teniendo en cuenta que en el primer semestre del 2003
sucedieron 8 voladuras y en el segundo semestre del 2002 se sucedieron 11.

Cuando se sabe una tarifa de la frecuencia, la sola criticalidad del acontecimiento

( Valor de K) se puede multiplicar por el número de los acontecimientos
esperados durante el período considerado, normalmente el calendario o el
ejercicio económico.
• K = $10.000 para un acontecimiento, y él tiene
un índice de la frecuencia de una vez al año, el
impacto cargado sería $10.000 x 1. Si el
mismo acontecimiento tuviera un índice de la
frecuencia una vez de cada tres años, el
impacto cargado sería 333 o $3.333 de
$10.000 x. Si tuviera una frecuencia de tres
por un año, el impacto cargado sería $10.000 x
3 o $30.000.
 ESTABLECER LA PROBABILIDAD

ESCALA DE PROBABILIDAD

E Virtualmente probable, no dado ningún 0 .85

cambio el acontecimiento ocurrirá

D Altamente probable, 0. 65
C Moderadamente probable 0. 50
B Probabilidad de ocurrencia baja 0. 20
A Probabilidad desconocida, grado temporal
hasta que finalice todo el análisis
 ESTABLECER LA PROBABILIDAD

COMENTARIOS
• Una ventaja de esta técnica conocida como ANÁLISIS DE
PROBABILIDAD NUMÉRICA NOMINAL es que la precisión
matemática absoluta no es importante.
• Dos observadores pueden dar diferente valoración.
• Cuando existe la duda después de reevaluar, se debe asignar el mas
alto establecido.
• En la construcción de los patrones de la amenaza los grados A,
serán sustituidos por grados definidos.
• Los rangos de graduación se ajustan para cada riesgo y para cada
organización.
• Se puede asignar un número o código a cada riesgo identificado.
 DETERMINAR IMPACTO Y
CRITICALIDAD

– Hay que tener en cuenta todos los costos:

• Financieros.
• Psicológicos.
• Directos.
• Indirectos.
– Asociarlos a los activos tangibles e intangibles de la
organización
– Definir costos inmediatos y lejanos.
 DETERMINAR IMPACTO Y
CRITICALIDAD
CRITICALIDAD:
El nivel de impacto o daño, que afecta al sistema, se relaciona con la
severidad, gravedad.

CRITICALIDAD DEL EVENTO DE PERDIDA

Severidad / Impacto / Costo Total de Pérdidas (K)
Los costos se miden en términos de pérdida de activos y pérdidas de
ingresos

Los costos son DIRECTOS o INDIRECTOS y para efectos se calcula el

PML : PERDIDA MÁXIMA PROBABLE

 DETERMINAR IMPACTO Y
CRITICALIDAD
Reemplazo permanente del activo:
– Precio de compra o costo de fabricación.
– Costos de transporte o envió.
– Costos de preparación para instalación.

Costo de reemplazo temporal:

Este puede ser necesario para minimizar oportunidades perdidas
Renta, compra y /o alquiler

Costos relacionados ,
Personal adicional
Horas extras
Costos de dinero que pudo haber estado invertido.
 DETERMINAR IMPACTO Y
CRITICALIDAD

Costo de renta perdida

I= P x r x t / 365
I Costo de renta no ganada
P Cantidad principal disponible para inversión

r Índice anual de rentabilidad

t Tiempo en días durante el cual P está
disponible para inversión
 DETERMINAR IMPACTO Y
CRITICALIDAD
PML (Probable Maximun Loss) K
La expresión Máxima Pérdida Probable denota la criticalidad de los
eventos y se basa en los llamados costos REALES, a saber:

• Reemplazo permanente del activo. (Cp).

• Sustitución temporal del activo. (Ct).
• Costos relacionados. (Cr).
• Costo pérdida de ingresos. (Ci).
• Indemnización o seguros disponibles. ( I ).
(menos primas y deducibles)

K = ( Cp + Ct + Cr + Ci ) – ( I )
 DETERMINAR IMPACTO Y
CRITICALIDAD
ESCALA DE IMPACTO ó CRITICIDAD Valor en $

5 Fatal . La pérdida daría lugar recapitalización, abandono o

discontinuidad de la operación.

4 Muy serio . La perdida origina un cambio importante de

política inversión y tendría impacto importante en los activos
del balance
3 Moderadamente serio. La pérdida tendría un impacto
sensible en las ganancias y requeriría atención de la media
gerencia

2 Relativamente poco importante , la pérdida sería

cargada a los gastos de operación normales en el período en
el cual se sostuvo
1 Seriedad desconocida Es un grado provisional , antes de
establecer prioridades debe ser sustituido