INTRODUCCIÓN
Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas.
Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las consecuencias no deseadas.
Sin embargo es importante enfatizar que antes de implementar la seguridad, es fundamental conocer con detalle el entorno que respalda los procesos de negocio de las organizaciones en cuanto a su composición y su criticidad para priorizar las acciones de seguridad de los procesos clave de negocio más críticos y vinculados al logro de los objetivos de la organización.
¿QUE ES EL ANÁLISIS DE RIESGO?
El análisis de riesgo (también conocido como evaluación de riesgo o PHA por sus siglas en inglés: Process Hazards Analysis) es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Como realizar un análisis de riesgos en su lugar de trabajo
Siguiendo los 5 pasos siguientes:
1. Identificar los peligros
2. Decidir quien puede ser dañado y como
3. Evaluar los riesgos y decidir las precauciones
4. Registrar sus hallazgos e implementarlos
5. Revisar su análisis y poner al día si es necesario
No hay que sobre complicar el proceso, en muchas organizaciones los riesgos son bien conocidos las necesarias medidas de control son fáciles de aplicar.
Por ejemplo, usted probablemente ya conoce que si sus operadores mueven cargas pesadas por lo tanto podrían verse afectadas sus espaldas ó existe la probabilidad de resbalarse en su camino, entonces usted tiene que tomar las razonables precauciones para evitar estos accidentes.
Cuando piense acerca de un análisis de riesgos recuerde:
a) Un peligro es cualquier cosa que pueda causar daño, tales como, químicos, eléctricos, trabajos en alturas, etc.
b) El riesgo es la chance, alta ó baja de que alguien pueda ser dañado a través de este ú otros peligros, junto con una indicación de cuan serio este daño puede ser.
Paso 1
Identificar los peligros
Inspeccione el lugar donde se desarrolla el trabajo y vea que podría esperarse de las tareas que pueda causar daño.
Hable con sus empleados ó sus representantes que es lo que ellos piensan, ellos podría tener advertido cosas que no son inmediatamente obvias para usted.
Investigue en las asociaciones locales de seguridad las guías practicas sobre donde los peligros ocurren y como controlarlos.
Revise las instrucciones de los fabricantes o las hojas de datos para químicos y equipamientos en general. Estas pueden ser muy útiles en detallar los peligros y poner a ellos en su correcta perspectiva.
Revea sus registros de accidentes y de salud, ellos frecuentemente ayudan a identificar los peligros menos obvios.
Recuerde pensar en peligros y daños a la salud que pueden suceder a largo plazo ejemplo: altos niveles de ruido, ó exposición a substancias peligrosas
Paso 2
Decidir que podría ser dañado y como
Para cada peligro usted necesita ser claro acerca de quien podría ser dañado, esto le ayudará a identificar el mejor camino para manejar el riesgo.
Recordar:
Algunos trabajadores tienen particulares requerimientos, ejemplo: trabajadores nuevos y jóvenes, gente con capacidades reducidas podrían estar en particular riesgo. Esfuerzos extras serán necesarios para algunos peligros.
Personal de limpieza, visitantes, contratistas personal de mantenimiento etc.,quienes podrían no estar en el lugar de trabajo todo el tiempo.
Si usted comparte su lugar de trabajo, usted necesitará pensar acerca de cómo su trabajo afecta a otros presentes, hable con su gente y pregunte a ellos si pueden decirle por alguno que usted haya olvidado.
Paso 3
Evaluar los riesgos y decidir por las precauciones
Teniendo anotado los peligros, entonces se debe decidir que hacer acerca de ellos.
Las leyes requieren que usted haga todo lo razonablemente practicable para proteger a los trabajadores de los peligros. Se puede trabajar con el análisis solo, pero es aconsejable como mejor camino comparar los resultados con similares "mejores prácticas". Estas se pueden consultar en los institutos ó asociaciones de seguridad.
Entonces, luego de la comparación sus resultados con las "mejores prácticas" vea si existen más y mejores cosas que hacer para llevar su trabajo a lo estándar.
Pregúntese lo siguiente:
Puedo librarme del peligro completamente?
Si no, como puedo controlar los riesgos para que el daño no sea probable?
Cuando procedemos a controlar los riesgos, aplicar los siguientes principios:
1. Intentar una opción menos riesgosa (ejemplo: cambiar por un químico menos riesgoso)
2. Prevenir el acceso a los peligros (ejemplo colocando protecciones)
3. Organizar el trabajo para reducir la exposición al peligro (ejemplo poner vallas entre peatones y tráfico)
4. Proveer de elementos de protección personal (anteojos de seguridad, zapatos de seguridad, protectores auditivos etc)
ver: http://www.construsur.com.ar/Article266.html
ver: http://www.construsur.com.ar/Article274.html
5. Providenciar elementos de primeros auxilios y limpieza (botiquín ,lava ojos ,duchas de emergencia etc.).
Mejorar la salud y seguridad no necesita tener costos altos. Por ejemplo instalando un espejo en una esquina peligrosa ayuda a prevenir un accidente vehicular. El costo es bajo considerando los riesgos
Involucre a todo el personal en estas prácticas
Paso 4
Registre sus hallazgos e impleméntelos
La puesta en práctica de los resultados de su análisis de riesgo hará la diferencia puesto que usted se está ocupando de su gente y su negocio.
Escriba sus hallazgos y compártalo con el personal
El análisis no tiene que ser perfecto pero debe ser apropiado y suficiente
Es necesario mostrar que:
1. Una apropiada revisión se ha hecho
2. 2 Se investigó quienes podrían verse afectado
3. 3 Se evaluaron todos los peligros significativos, teniendo en cuenta el número de personas que podrían ser involucradas
4. Las precauciones son razonables y el riesgo remanente es bajo
5. Se involucró a todo el personal y/o sus representantes en el proceso
Si se encontró que es necesario realizar muchas modificaciones y mejoras en las tareas no trate de hacerlas de una vez, elabore un plan de acción con las cosas más importantes primero.
Un buen plan de acción frecuentemente tiene una mezcla de diferentes cosas tales como:
1. Algunas tareas de bajo costo y fáciles de implementar, quizás como una solución temporaria hasta que una más confiable pueda ser realizada
2. Soluciones a largo plazo para aquellos riesgos con más probabilidad de accidente y/o daño a la salud
3. Soluciones a largo plazo para aquellos riesgos que potencialmente tengan la peor consecuencia
4. Plan de capacitación para empleados sobre los principales riesgos y como ellos pueden ser controlados
5. Verificaciones regulares para asegurarse que las medidas de control estén en el lugar
6. Responsabilidades claras de quien lidera la acción y cuando
Recuerde de priorizar las cosas más importantes primero
Paso 5
Revisar el análisis de riesgos y realizar una actualización si es necesaria
Pocos lugares de trabajo no se modifican con el tiempo, más tarde ó más temprano se traerán nuevos equipos, substancias y procedimientos que podrían generar nuevos peligros, etc. Esto, hace necesario, por lo tanto, revisar nuevamente.
Cada año, formalmente se debe revisar donde está uno con el análisis, para asegurarse la mejora continua.
Ha habido cambios? Hay alguna mejora que todavía es necesario hacer? Tienen los trabajadores identificado un problema? Tiene usted aprendido todo sobre accidentes?
Estas son algunas preguntas que nos debemos hacer para asegurarnos que el análisis de riesgo está actualizado.
Cuando usted está trabajando, es muy fácil olvidarse de revisar el análisis de riesgo, hasta que alguna cosa sucede y es demasiado tarde. Entonces porque no hacer el análisis ahora? Deje escrito que la revisión de los riesgos sea un evento anual.
Durante el año, si hay un cambio significativo, entonces no esperar, chequear los riesgos y realizar los ajustes necesarios.
Si es posible, es mucho mejor realizar el análisis de riesgo cuando se están planeando los cambios y no después.
Beneficios de una gestión integral de riesgos
Mejor Conocimiento de los riesgos. 9
Gestión mas eficaz de los riesgos y 9 la crisis.
Identificación proactiva y 9 aprovechamiento de oportunidades.
Rápida respuesta a los cambios en el 9 entorno.
Asignación eficiente de recursos 9 para la gestión de riesgos.
Establecimiento de base común para 9 comprensión y gestión de riesgos.
Toma de decisiones más segura. 9
Mejor previsión de posibles impactos. 9
Mejor orientación de las acciones 9 comerciales.
Mejor comunicación del valor que 9 crea la compañía.
Aumento de la credibilidad y 9 confianza.
Mejora de reputación Corporativa. 9
Más probabilidad de éxito en 9 implantación de la estrategia.
Objetivos claves de un proceso de análisis de riesgos:
1.- Identificar los riesgos que surjan en los planes estratégicos.
2.- Ayudar a la Gerencia y a Directores (Junta Directiva) a determinar el nivel de riesgo aceptable para la organización.
3.- Desarrollar actividades para mitigar riesgos, o en su defecto manejarlos en los niveles determinados y aceptados por la organización.
4.- Desarrollar actividades de monitoreo permanente de forma periódica, a fin de evaluar riesgos y la efectividad de los controles relacionados con ellos.
5.- Preparar reportes informativos con los resultados del proceso de manejo de riesgos.
Algunos factores de riesgo:
– Rotación de personal.
– Moral de la gerencia y Staff.
– Complejidad de las operaciones.
– Calidad de operaciones manuales.
– Volumen de transacciones diarias.
– Bajos indicadores de rendimiento y/o comportamiento.
– Diseño de programas– desarrollos formales.
– Fecha de la última Auditoría.
Algunos riesgos universales de negocio:
1.- Costos excesivos.
2.- Calidad deficiente o inadecuada.
3.- Pérdida de clientes.
4.- Pérdidas en ventas.
5.- Principios inaceptables.
6.- Errónea información en reportes.
7.- Destrucción o pérdida de activos.
8.- Políticas Gerenciales erróneas / decisiones.
9.- Peligro en la seguridad del público o empleados.
10.- Fraudes o conflictos de intereses.
Los resultados del análisis de riesgos una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos.
Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
Concepto clave el análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
http://www.piramidedigital.com/Documentos/ICT/pdictsegurindadinformaticariesgos.pdf
http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo
http://www.construsur.com.ar/Noticias-article-sid-349.html
http://www.sunai.gov.ve/presentacion/edgar_garcia.pdf
Autor:
Gómez