Metodología para la evaluación de la protección de las instalaciones portuarias (página 2)
Enviado por Rolando Polo Diego
La participación de todas las especialidades necesarias, así como de expertos, sin importar las unidades funcionales a que pertenezcan, hace de este proceso un marco propicio para la toma de decisiones basada en riesgos, y la asignación de los recursos destinados a la protección. Este aspecto es uno de los que se recoge en las disposiciones del Código PBIP.
Por lo antes expuesto, la aplicación del enfoque basado en procesos posibilita eliminar las barreras entre diferentes áreas funcionales y unifica sus enfoques hacia las metas principales de la organización; elimina la política tradicional de trincheras y permite también la apropiada gestión de las interfases entre los distintos procesos.
El enfoque basado en procesos constituye uno de los principios de la gestión de la calidad, definidos en la norma NC ISO 9001:2008. Este enfoque enfatiza que un resultado deseado se alcanza de forma más eficiente cuando los resultados y los recursos relacionados se gestionan como un proceso.
Es importante señalar que el enfoque por procesos permite que la organización se focalice mejor hacia las necesidades de los clientes, los cambios del entorno y las condiciones de trabajo de los clientes internos, ya que los procesos son dinámicos.
Sin embargo, históricamente las empresas han estado organizadas como áreas dentro de una jerarquía funcional. Las operaciones se manejan verticalmente y la responsabilidad por los resultados obtenidos se divide entre un sin número de áreas. El cliente final no siempre ve todo lo que está involucrado en el proceso. En consecuencia, se da menos prioridad a los problemas que ocurren en los límites de las interfases que a las metas a corto plazo de las áreas. Esto conduce al mejoramiento escaso o nulo, ya que el trabajo se enfoca más en las funciones que en el beneficio de la organización.
En la actualidad las evaluaciones de la protección se realizan de una manera empírica por las instalaciones portuarias, no existen en el país metodologías específicas para la evaluación de la protección de las instalaciones portuarias, y éstas a nivel internacional están poco desarrolladas; a esto se une la necesidad de cumplir con las nuevas disposiciones recogidas en el Código PBIP. De ahí que SEPSA no cuente con una herramienta eficaz para brindar este servicio, lo que constituye una situación problemática resolver.
Partiendo de esta problemática, se identificó que el problema científico a resolver en este proyecto es la falta de metodologías, con enfoque basado en procesos, que implementen los requisitos nacionales e internacionales de obligatorio cumplimiento para llevar a cabo la evaluación de la protección de las instalaciones portuarias y garantizar una información robusta para la toma de decisiones basada en riesgos.
El objeto de estudio es el proceso de evaluación de la protección de las instalaciones portuarias.
El objetivo del estudio es elaborar y aplicar una metodología con enfoque basado en procesos, para la evaluación de la protección de las instalaciones portuarias, que integre los requisitos nacionales e internacionales obligatorios.
La hipótesis de trabajo de este proyecto estriba en que la elaboración y aplicación de una metodología para la evaluación de la protección de las instalaciones portuarias, con enfoque basado en procesos, que integre los requisitos nacionales e internacionales obligatorios en esta materia, facilitará de forma homogénea el cumplimiento de los requisitos establecidos y garantizará que la información de la evaluación de la protección para la toma de decisiones, basada en riesgos, sea más confiable y robusta.
El objetivo general se ha desglosado en los objetivos específicos siguientes:
Sistematizar los principales estudios, tanto en el área internacional como nacional, que sirven de base para la estructuración de la metodología de análisis de riesgos.
2. Caracterizar el estado actual de las metodologías que se emplean para el análisis de riesgos.
3. Elaborar la metodología para el análisis de riesgos de las instalaciones portuarias de acuerdo con las exigencias del sistema de gestión de la calidad de SEPSA.
4. Comprobar la factibilidad de la metodología elaborada para la evaluación de la protección en una instalación portuaria.
Valor teórico del trabajo: Consiste en haber diseñado una metodología para la evaluación de la protección de las instalaciones portuarias, que facilita el cumplimiento de los requisitos internacionales obligatorios y los integra con los nacionales y con los del sistema de gestión de calidad de la empresa; e incluye instrumentos, métodos, técnicas y herramientas que garantizan información confiable para la toma de decisiones basada en riesgos.
Valor práctico del trabajo: La metodología propuesta será de gran utilidad para las instalaciones portuarias que deben garantizar un plan de seguridad y protección física, basado en la evaluación de la protección, que pueda certificarse por la entidad competente, dados los limitados recursos con que cuentan para la implementación de tales medidas. Por otro lado, la metodología garantiza la documentación completa del proceso de la evaluación de la protección, la cual puede ser incluida en el capítulo correspondiente del plan, servir de referencia y consulta para futuras evaluaciones, y utilizarse en la autoevaluación.
Valor metodológico: La metodología puede ser aplicada dentro del sector portuario en cualquier tipo de instalaciones, independientemente de los servicios que brindan y sus características particulares.
Novedad del trabajo: Está dada por algunos instrumentos, métodos y prácticas aplicados, y el enfoque de toma de decisiones basada en riesgos, que permiten hacer un uso más racional de los limitados recursos con que se cuenta para la protección.
Insuficiencias: Por el volumen de datos e información que se recolectan y se procesan, y que es necesario mantener actualizado y disponible, se requiere de un software para la ejecución de las evaluaciones de la protección y la generación de la correspondiente base de datos.
Las principales variables de este estudio son: los requisitos nacionales e internacionales para la evaluación de la protección, los requisitos del sistema de gestión de la calidad de SEPSA, y la información de la evaluación de la protección para la toma de decisiones basada en riesgos.
Las dimensiones incluidas en la variable requisitos internacionales son: equipo evaluador; antecedentes delictivos; identificación de los riesgos y amenazas; análisis del adversario; identificación y evaluación de las vulnerabilidades; identificación de las consecuencias; cálculo de los riesgos; puntos vulnerables; identificación, selección y priorización de las medidas correctivas; informe sobre la evaluación de la protección; revisión y actualización de la evaluación de la protección; conocimiento de Código PBIP; y aplicación del Código PBIP.
Las dimensiones incluidas en la variable requisitos nacionales son: métodos de evaluación de la protección, formato y contenido de la evaluación de la protección
La variable información de la evaluación de la protección se conceptualiza como informe de evaluación de la protección.
Las dimensiones de la variable requisitos del sistema de gestión de la calidad de SEPSA son: manual de calidad, procedimientos generales del sistema y procedimiento para la elaboración de la documentación.
Capítulo I
1.1. Calidad
La palabra Calidad es una de las expresiones más utilizadas en la actualidad, en muchos ámbitos de la vida cotidiana. Este término está relacionado con un amplio espectro de interpretaciones, abarca desde los criterios personales (buena calidad — mala calidad) hasta la caracterización de la condición de un producto o servicio.
Existen varias definiciones formales de calidad, a continuación se enuncian algunas de ellas:
El pequeño LAROUSSE ilustrado define la calidad como: "Conjunto de cualidades o propiedades que caracterizan una cosa o a una persona" (LAROUSSE, 2005).
Para Jurán, (2001) la calidad puede tener varios significados, dos de los cuales son muy importantes para la empresa, ya que sirven para planificar la calidad y la estrategia empresarial: "la calidad es la ausencia de deficiencias que pueden presentarse como: retraso en las entregas, fallos durante los servicios, facturas incorrectas, cancelación de contratos de ventas, etc." o "es la aptitud para el uso". Las características de calidad pueden ser de diversas especies, tales como:
• Tecnológicas (dureza, inductancia, acidez).
• Sensoriales (sabor, belleza, status).
• Con relación al tiempo (fiabilidad, mantenibilidad).
• Contractuales (provisiones garantizadas).
• Éticas (cortesía del personal de ventas, honradez de los talleres de servicio).
Las definiciones de Jurán incluyen la perspectiva del cliente. Sin un cliente satisfecho, que juzgue el producto (bien o servicio) adecuado a sus necesidades, no se puede hablar de buena calidad.
Crosby, (2006 ), define la calidad como "el cumplimiento de los requerimientos, donde el sistema es la prevención, el estándar es cero defectos y la medida es el precio del incumplimiento", Ishikawa, (1998), considera que calidad es cuando se logra un producto económico, útil y satisfactorio para el consumidor, para Deming, (1989), calidad no es más que "una serie de cuestionamientos hacia una mejora continua" y Feigenbaum, (1986), la define como "el conjunto total de las características del producto (bien o servicio) de marketing, ingeniería, fabricación y mantenimiento, a través del cual un producto en uso satisfará las expectativas del cliente".
De todas estas definiciones se desprende que calidad es gestionar bien, recursos, procesos, y aprender de los errores sobre la base de su análisis sistemático.
La (NC ISO 9000: 2005), define el término calidad como "el grado en que un conjunto de características inherentes cumplen con los requisitos".
En opinión de este autor la calidad es la correspondencia entre las características de un producto o servicio y los deseos de quien los recibe.
1.2. Enfoque basado en procesos
El enfoque basado en procesos ha mostrado a las empresas la manera de integrar tareas separadas, desde el punto de vista funcional, para convertirlas en procesos de trabajo, unificados y horizontales. Es una forma diferente de administrar las organizaciones, pues más que verlas como una jerarquía de funciones estáticas, éstas se consideran como un conjunto de procesos dinámicos. De este modo, cuando los directivos ponen la mirada en sus organizaciones, no ven estructuras, sino procesosa.
La norma NC ISO 9000:2005 pone énfasis en el enfoque basado en procesos, y facilita el camino de las organizaciones hacia la implantación de un sistema de gestión verdaderamente eficaz y ágil, donde se deja atrás el mero formalismo de "documentar para certificarse".
Según la NC ISO 9000:2005, cualquier actividad o conjunto de actividades que utiliza recursos para transformar entradas en salidas, puede considerarse como un proceso.
Todo proceso debe contar con los recursos necesarios para poder cumplir con los objetivos planificados. Además, es importante la medición de la eficacia del proceso y la retroalimentación para su mejora constante (NC ISO 9000:2005). En la figura 1 se muestra, esquemáticamente, un modelo de proceso.
Figura 1 Enfoque basado en procesos
(Fuente: Elaboración propia a partir de NC ISO 9001:2008)
Con este concepto coincide Galloway, (1998) y agrega que, "un proceso de trabajo incorpora valor a las entradas, transformándolas o utilizándolas para producir algo nuevo". De acuerdo con este autor, pueden considerarse como entradas los materiales, equipamiento, información, recursos humanos, monetarios, o condiciones medioambientales necesarios para llevar a cabo el proceso, el cual entrega al cliente sus resultados.
De otras definiciones consultadas de proceso (Harrington, 1993), (Evans, 1999), se concluye que "proceso es el conjunto de actividades relacionadas que transforman entradas (necesidades y expectativas), a partir de diferentes recursos, en salidas (resultados deseados)".
En la bibliografía se plantean distintos criterios con relación a la clasificación de los procesos de una organización (NC ISO 9000:2005), (Magaz, 1999), incluyendo nuestra organización SEPSA, pero éstos se pueden agrupar en tres categoríasb:
1 Procesos estratégicos: Aquellos procesos destinados a definir y controlar las metas de la organización, su política y estrategia. Estos procesos son gestionados directamente por la alta dirección en conjunto.
2 Procesos operativos: Procesos destinados a llevar a cabo las acciones que permiten desarrollar las políticas y estrategia definidas por la organización para dar servicios a los clientes. Son aquellos procesos que aportan valor al producto que se brinda a los clientes.
3 Procesos de apoyo: Son aquellos que reflejan los procesos a un nivel interno de la organización; están relacionados con los procesos internos de soporte directo a la prestación del servicio y gestión interna del negocio.
Trichier, (1998), considera que "el enfoque basado en procesos hace que todos los involucrados en un proceso tengan un objetivo, desarrollen su labor, formando parte de un equipo de trabajo, que tiene por objeto alcanzar la meta trazada, están debidamente coordinados, aunque pertenezcan a unidades funcionales distintas". La eficiencia de este enfoque y la rapidez y bajo costo que supone, es realmente superior a la tradicional organización jerárquica funcional. Además, aclara que la existencia de una organización orientada al proceso, no significa que las especialidades funcionales ya no sean importantes para ella. La organización funcional se concentra en servir a las funciones internas, mientras que la organización por procesos se concentra en servir a los grupos de interés del proceso.
La NC ISO 9000:2005 presupone que, para que las organizaciones operen de manera eficaz, tienen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. A menudo, la salida de un proceso forma directamente la entrada del proceso siguiente. La norma define, que "la identificación y gestión sistemática de los procesos se conoce como "enfoque basado en procesos".
La norma NC ISO 9000:2005 identifica entre los ochos principios de gestión de la calidad el Enfoque basado en procesos (un resultado deseado se alcanza más eficientemente cuando las actividades y los recursos relacionados se gestionan como un proceso) y el Enfoque de sistema para la gestión (identificar, entender y gestionar los procesos interrelacionados como un sistema, contribuye a la eficacia y eficiencia de una organización en el logro de sus objetivos).
Tal como expresa la norma NC ISO 9001:2008, "…Una ventaja del enfoque basado en procesos es el control continuo que proporciona sobre los puntos de unión entre los procesos individuales dentro del propio sistema de proceso, así como sobre su combinación e interacción".
Una adecuada identificación de los procesos generales dentro de la organización y su jerarquización, facilitan la eliminación del denominado "efecto silo" entre las actividades y dependencias organizativas que intervienen en la cadena de prestación del servicio. Al identificar, con exactitud, todas las interfases, y al ser tomadas en cuenta durante la documentación e implantación del Sistema de la Calidad, se está gestionando verdaderamente los procesos y, por tanto, gestionando la mejora continua, ver figura 2. Este modelo muestra que los clientes juegan un papel significativo para definir los requisitos como elementos de entrada.
Figura 2 Modelo del sistema de gestión de la calidad basado en procesos (fuente: NC ISO 9001:2008).
El autor considera que todas las definiciones antes expresadas se avienen con los objetivos de este estudio, considerando que es el enfoque basado en procesos el que facilita la interrelación de un equipo de trabajo interdisciplinario como el que se necesita para acometer la prestación del servicio de evaluación de riesgos de instalaciones portuarias.
Entre las herramientas que se utilizan en este trabajo para la elaboración del proceso de evaluación de la protección está el diagrama de flujo, considerado por Galloway, (1998) y Magaz, (2000) como una de las herramientas más útiles para la mejora continua de los procesos.
1.3. Planificación de la calidad
La planificación del producto y su diseño se realiza partiendo del conocimiento de las necesidades de los clientes y la demanda del mercado.
En la bibliografía consultada (Cuatrecasas, 1999, Grima, Tort-Martorell, 1995, Silvestre, 1997), se presentan metodologías de planificación de la calidad, que en su esencia coinciden, las cuales consideran que las etapas imprescindibles para planificar la calidad son las siguientes:
Identificar los clientes.
Captar sus necesidades (voz del cliente) Diseño del producto/servicio
Para identificar a los clientes basta con preguntarse ¿quiénes reciben o potencialmente podrán recibir nuestros productos/servicios? El objetivo de esta pregunta es conseguir un listado a partir de la cual se debe tratar de establecer qué necesidades tienen esos clientes, es decir, qué esperan los clientes que les ofrezcamos.
Silvestre (1999) considera que para captar las necesidades del cliente la empresa deberá disponer de métodos tales como:
Las encuestas, tienen como inconveniente que los cuestionarios son cerrados y a que las preguntas están previamente decididas, se considera una técnica pasiva. Se suele utilizar en productos o servicios con gran número de clientes, para obtener datos estadísticos.
Las entrevistas individuales o de grupos, es un método mucho más eficaz que el anterior y lo complementa. Cuando se aplica a un número grande de clientes tiene el inconveniente de ser algo más caro.
Las reclamaciones de los clientes, permiten obtener un gran número de conclusiones para la mejora de la empresa.
El departamento de venta, los vendedores y el personal de contacto de la empresa, al estar en contacto personal con los clientes pueden obtener una valiosa información para evaluar la calidad.
1.4. Evaluación de la protección de instalaciones portuarias
1.4.1. Evaluación de la protección
La evaluación de la protección de instalaciones portuarias es parte integrante y esencial del proceso de elaboración y actualización del plan de seguridad y protección física de la instalación portuaria (Código PBIP, 2004). La importancia que reviste el enfoque que se adopte para la evaluación de la protección está determinada por la necesidad de tomar decisiones basadas en riesgos, con el fin de definir aquellas medidas imprescindibles para mantener un nivel de seguridad aceptable en la instalación, habida cuenta de los limitados recursos disponibles para esta actividad.
La Parte Ac del Código PBIP (2004), pone énfasis en las actividades que, como mínimo, se deben tener en cuenta en el proceso de evaluación de la protección. Esto permite definir las medidas necesarias para proteger la instalación portuaria de una forma racional. Estas actividades son las siguientes:
1 Identificación y evaluación de los bienes e infraestructuras que es importante proteger;
2 identificación de las posibles amenazas para esos bienes e infraestructuras y la probabilidad de que se concreten, a fin de establecer medidas de protección y el orden de prioridad de las mismas;
3 identificación, selección y clasificación, por orden de prioridad, de las medidas para contrarrestar las amenazas, y de los cambios de procedimientos, y su grado de eficacia, para reducir la vulnerabilidad;
4 identificación de los puntos débiles, incluidos los relacionados con el factor humano, de las infraestructuras, políticas y procedimientos; y
5 elaboración de un informe de la evaluación de la protección.
De acuerdo con OMI/OIT, (2003) "la evaluación de la protección debe evaluar la capacidad, el grado de preparación y las medidas de protección vigentes en el puerto, por lo que constituye una parte esencial de la preparación de un plan de protección del puertod".
Para OEA/MARAD, (2004) "la evaluación es una operación compleja y variada, que exige la asistencia y los servicios de varias organizaciones, su dirección y su personal". También precisa que "la evaluación de la protección debe focalizar la vulnerabilidad en las instalaciones portuarias mediante la detección de sus debilidades en seguridad física, integridad estructural, sistema de comunicación, infraestructuras en el transporte, utilidades, y otras áreas de interés".
33 CFR Parte 101.105, (2002) define la evaluación de la protección como "un análisis que examina y evalúa la infraestructuras y las operaciones de la instalación, teniendo en cuenta las posibles amenazas, vulnerabilidades, las consecuencias y las medidas de protección existentes, los procedimientos y las operaciones".
Según ASB Consulting, (2003) "la evaluación de la protección de las instalaciones portuarias es un análisis basado en los riesgos de seguridad relacionados con las amenazas a la instalación portuaria". "La evaluación de las instalaciones portuarias debe abordar (1) los datos de la instalación portuaria, (2) los tipos de buques, la carga, los pasajeros, y (3) la ubicación de la carga o de pasajeros que sean aceptadas". También debería considerar la posibilidad de distintos escenarios relacionados con la seguridad y posibles respuestas a tales escenarios. Este documento precisa, al igual que (Ordenanza No. 6-03), que "la evaluación es un proceso que identifica las deficiencias de las estructuras físicas, los sistemas de protección, del personal, así como los procesos para eliminar o mitigar esos puntos débiles". La ISO 20858,(2007) establece como obligatoria la identificación de escenarios de la amenaza, requisito importante para la toma de medidas de protección.
La Resolución No. 2, (2001) define que a través del análisis de riesgos se puede determinar, con la mayor objetividad posible, el rango de incertidumbre de ocurrencia de una pérdida económica (consecuencias), lo que permite una apreciación más real y objetiva de las vulnerabilidades que presenta la instalación, posibilitando la adopción de medidas y estrategias de seguridad y protección, en correspondencia con la situación existente. También establece, que la capacidad de reducción del valor del riesgo puede venir dada por la reducción de la probabilidad respecto a la incertidumbre de ocurrencia de una pérdida económica, o por la reducción de la magnitud de los daños (consecuencias). Para esto, se deben identificar las amenazas que pueden ocurrir en la instalación.
En las disposiciones recomendatorias de la Parte Be del Código PBIP, se precisa que "la evaluación de la protección es fundamentalmente un análisis de riesgos de todos los aspectos de las operaciones de la instalación portuaria, con el objetivo de determinar qué elemento o elementos de éstas son más susceptibles y/o tienen más probabilidad de sufrir un ataque". En este contexto, "el riesgo es una función de la amenaza (probabilidad) de que se produzca un ataque, unido a la vulnerabilidad del blanco y a las consecuencias del ataque". Por ello, y para eso, la evaluación debe incluir lo siguiente:
1. Determinar la amenaza percibida para las instalaciones portuarias y la infraestructuras;
2. identificar los posibles puntos vulnerables; y
3. calcular las consecuencias de los sucesos.
Con el planteamiento de que la evaluación de la protección constituye un análisis de riesgos coinciden (NVIC 9-02, 2002), (NVIC 11-02, 2003), (Havnen, 2003), (Ordenanza No. 6-03), (Disposición (SSP y CN) 67/03), (Proyecto sobre Narcotráfico Marítimo, 2004) quienes agregan el empleo de la metodología de toma de decisiones basada en riesgos, en escenarios de la amenaza posibles, para definir las medidas de protección. El cálculo de los riesgos se realiza a través de una Matriz de Consecuencias y Vulnerabilidades para cada escenario de la amenaza, el cual se basa en una amenaza específica, de acuerdo a determinadas circunstancias. El enfoque, aunque distinto, resulta coincidente ya que al calcular el riesgo con este enfoque la amenaza se incluye de forma indirecta.
La evaluación de la protección es considerada como un campo controversial de la ciencia debido a que se manejan datos con grandes incertidumbres. La controversia es aún mayor cuando la toma de decisiones se efectúa sobre la base del resultado de la evaluación.
Sin embargo, la evaluación de la protección es considerada por los expertos como un instrumento de mucho valor para asegurar que la toma de decisiones basada en riesgos se fundamente en la mejor ciencia disponible, y para ayudar a que los limitados recursos económicos y humanos que se asignan a la protección se dirijan hacia aquellos bienes e infraestructuras importantes a proteger, los cuales se priorizan por su importancia relativa para la instalación.
La evaluación de la protección debe ser un proceso con amplia participación e interacción entre el que ofrece el servicio y el que lo recibe, con el objetivo de incrementar la capacidad y habilidad para entender la información sobre el riesgo y aumentar la habilidad de las personas encargadas de tomar las decisiones.
En Cuba, no siempre la dirección de la instalación portuaria es quien toma las decisiones. Esto está condicionado tanto por el volumen de recursos financieros que es necesario invertir, como por los esquemas de planificación de éstos, por lo que las decisiones se adoptan por la dirección de las empresas, organismos, e incluso, cuando la importancia lo amerita, por el más alto nivel del Gobierno y el Estado. Por tal motivo, en la ejecución de la evaluación deben emplearse los mejores métodos de la ciencia y, por otro lado, la información que se genere para la toma de decisiones debe ser lo más completa posible, con la mayor cantidad de evidencias documentadas, tanto escritas como en fotos, videos, modelaciones, etc.
El autor considera que, de lo antes expuesto, se puede destacar el nuevo enfoque con relación al proceso de evaluación de la protección de las instalaciones dado por el Código PBIP; y comparte esta conceptualización de la evaluación de la protección ya que permite hacer un mejor uso de los escasos recursos que se destinan a la protección y está en correspondencia con el objetivo de este estudio.
1.4.2. Riesgo
El riesgo portuario ha ido adquiriendo una mayor connotación en los últimos tiempos debido al incremento de la actividad delictiva en este sector. Para una aproximación al tema, a continuación se analizan algunas definiciones de riesgos.
"El riesgo constituye una medida para evaluar el nivel de probabilidad de un acto o un hecho" (Proyecto sobre Narcotráfico Marítimo, 2004), (Cigarruista RF, 2004).
"Es el efecto combinado de la gravedad de un incidente, la amenaza de ocurrencia del mismo y la vulnerabilidad del elemento" (Ordenanza No. 6-03).
"Aquellos hechos susceptibles de ocurrir, que alteran el desarrollo normal de una función, con un resultado negativo en términos económicos" (Resolución No. 2, 2001).
"Puntuación de riesgo para una determinada violación a la seguridad" (Uberti, 2004).
"Es la contingencia de que un bien pueda sufrir un daño" (Manual para el Director de Seguridad, 1996).
"Es toda posibilidad de sufrir una pérdida; bien sea una pérdida pecuniaria cuantificable, una pérdida cualitativa o una pérdida física en desmedro de la integridad de una persona" (Raygada, 2000).
"Es la posibilidad de sufrir lesiones, daños o pérdidas teniendo en cuenta la consecuencia de una amenaza y la probabilidad de su ocurrencia" (ISO/PAS 20858:2007(E)).
En estas definiciones resaltan tres aspectos:
• Las probabilidades de la ocurrencia de un hecho delictivo,
• el daño que puede resultar debido a sus vulnerabilidades, por lo que en dependencia al nivel, puntuación, valor que alcance el riesgo, y
• los criterios establecidos, se deciden las acciones a tomar para disminuir el riesgo.
En la bibliografía analizada en este acápite se observan dos tendencias en cuanto a los factores que se tienen en cuenta a la hora de calcular los riesgos. El planteamiento inicial es el mismo y se realiza a través de una las ecuaciones generales del riesgo:
Riesgo (R) = Frecuencia (F) x Consecuencia (C) (1) o
Riesgo (R) = Probabilidad (P) x Consecuencia (C) (2)
En la primera ecuación la frecuencia suele ser sustituida por la probabilidad de un evento, y se obtiene la fórmula (2). La probabilidad se suele estimar a partir de datos históricos o se calcula sobre la base de la probabilidad de hechos que puedan ocurrir. Sin embargo, para la seguridad, la probabilidad de un escenario general se debe evaluar mediante el examen de la amenaza específica a la seguridad de una instalación portuaria, y la vulnerabilidad de esa instalación a dicha amenaza.
Partiendo de este análisis, ha sido planteado por (NVIC 9-02, 2002), (NVIC 11-02, 2003), (ASB Consulting, 2003), (Ordenanza No. 6-03), (ISO 20858:2007), (Resolución No. 2, 2001), (Proyecto sobre Narcotráfico Marítimo, 2004), (Cigarruista RF, 2004) y (Uberti WJ, 2004) un enfoque en el que se consideran las amenazas potenciales para construir los escenarios de la amenaza en determinadas circunstancias, a fin de calcular los riesgos y decidir la aplicación de medidas de protección, utilizando la ecuación (3) siguiente:
Riesgo (R) = Vulnerabilidad (V) x Consecuencia (C) (3)
En otros documentos examinados (Código PBIP, 2004), (OMI/OIT, 2003) partiendo del mismo análisis, se construyen también escenarios de amenazas, pero el riesgo se calcula en función de la amenaza, las vulnerabilidades y las consecuencias según la fórmula siguiente:
Riesgo (R) = Amenaza (A) x Vulnerabilidad (V) x Consecuencia (C) (4)
En el caso de (OMI/OIT, 2003) la amenaza se valora como la probabilidad de que ocurra un ataque y (Mitchell, Decker, 2004) valora la probabilidad de un escenario de la amenaza pero en este enfoque la amenaza es una medida de la probabilidad de que un tipo específico de ataque se inicie en contra de un objetivo específico, es decir contra un escenario.
En este estudio se entiende como riesgo la probabilidad (graduación del riesgo) de que sobre un bien o infraestructuras importantes a proteger se intente llevar a cabo, o se materialice, un hecho delictivo. En este contexto, el riesgo es función de la amenaza o probabilidad de que hecho delictivo específico tenga lugar contra un bien o infraestructuras importante a proteger, unido a la vulnerabilidad de este elemento y a las consecuencias de tal hecho, por lo que existe plena coincidencia con el enfoque planteado por Código PBIP, (2004) y OMI/OIT, (2003).
1.4.3. Amenaza
La amenaza es un factor externo de riesgo y, como se analizó en el acápite 1.2.3, es la base, siempre, para la construcción de escenarios de la amenaza. En unos casos está incluida dentro de la ecuación de riesgos, y en otros no.
El Decreto Ley No. 186, (1998) establece que la amenaza es un acontecimiento, cuya posible ocurrencia, implicaría un peligro, daño o perjuicio para la integridad física de personas, bienes y recursos, "lo que se puede materializar mediante acciones concretas dirigidas a lograr ese fin", ampliándose lo recogido entre comillas por la Resolución No. 2, (2001) "lo que puede manifestarse de manera intencional, por imprudencia o accidentalmente".
Al respecto, Rasgada, (2000) plantea que "la manifestación intencional o por imprudencia o accidentalidad tiene una característica; existen factores que favorecen su ocurrencia y hay que poner mucha atención en ello" y agrega que "los hechos intencionales se pueden realizar porque hubo fallas… y en el caso de los hechos accidentales o por imprudencia hubo descuidos, negligencias….". A nuestro juicio deben agregarse a estos factores las insuficiencias en las estructuras físicas, los sistemas de protección del personal, los procesos, los procedimientos por lo que es necesario identificar todos los puntos vulnerables como parte de la evaluación de la protección tal y como se plantea en la Parte A del Código PBIP.
"Para la determinación y evaluación de la amenaza es necesario analizar diversos factores como la capacidad y las intenciones, pero se debe reconocer que, si bien su evaluación es una herramienta clave de apoyo a la decisión, las mismas son dependientes de los datos de inteligencia, incluso si se analizan con frecuencia, por lo que nunca se sabrá si se ha identificado cada amenaza o si se tiene la información completa acerca de ellas" (NVIC 9-02, 2002). Por su parte, el Proyecto sobre Narcotráfico Marítimo, (2004) considera que "es necesario realizar una evaluación analítica de información de inteligencia, antecedentes de incidentes similares, incluida la frecuencia, ubicación y objetivos". "Este tratamiento analítico debe ser mesurado para evitar los excesos de apreciación o las consideraciones de índole subjetivas que puedan desvirtuar los niveles de probabilidad y ocurrencia" (Cigarruista, 2004).
Para Ordenanza No. 6, (2003), Código PBIP, (2004) "la amenaza es la posibilidad o probabilidad de que un incidente de protección o ataque ocurra en una instalación portuaria". OMI/OIT, (2003) agrega que se deben tomar como base la intención y los medios de quienes lo cometan.
Para este estudio se ha considerado la amenaza como la probabilidad de que se intente o se produzca un hecho delictivo sobre los bienes e infraestructuras importantes a proteger.
1.4.4. Bienes e infraestructuras importantes a proteger
En la bibliografía (NVIC 9-02, 2002), (NVIC 11-02, 2003), (Cigarruista, 2004), (ASB Consulting, 2003), (Uberti, 2004) y (Ordenanza No. 6-03) se plantea que para identificar los bienes e infraestructuras importantes a proteger se debe realizar una evaluación de la criticalidad. La criticalidad es la magnitud del impacto que una amenaza o siniestro puede crear, y puede afectar a la misión, objetivos, operación, estructura y valores. La evaluación de la criticalidad ayuda a identificar las actividades y operaciones vitales para un puerto y todos los bienes e infraestructuras deben incluirse en la evaluación, la cual debe considerar, para cada bien e infraestructuras, los elementos siguientes: su misión, efecto de su destrucción, su capacidad de recuperación.
Bien
De acuerdo a la Resolución 230, (2002) del Ministerio del Transporte por bien se entiende "toda cosa de valor incluyendo la mercancía que se almacene, se acarree, se estibe o se descargue en la instalación portuaria".
De acuerdo con Gestión Integral de Servicios Protección, (1996) "los bienes están conformados por las instalaciones y valores de la organización, incluidos los edificios, instalaciones técnicas, mobiliario, proyectos de I + D, documentación, información, dinero, etc., en relación a la seguridad y protección que se ha de garantizar, y los medios y recursos que se han de disponer al respecto".
El bien, según el Manual del Director de Seguridad, (1997), "es toda persona, animal o cosa que, en unas determinadas circunstancias, posee, o se le atribuye, una o varias cualidades benéficas en virtud de lo cual resulta objeto de valoración. Viene definido por la determinación de sus elementos característicos, como son la cosa valiosa o bien propiamente dicho, la cualidad benéfica que posee el bien, y las circunstancias que determinen el bien y la cualidad benéfica". "Los bienes son muy variados y van desde la información contenida en una documentación, que se entrega a un mensajero para su transporte, hasta las personas que trabajan y visitan la organización, pasando por el mobiliario, las instalaciones técnicas, almacenes, archivos, maquinaria, etc.".
Para el objetivo de este estudio se adopta la definición de bien dada en la Resolución 230, (2002) del Ministerio del Transporte.
1.4.4.2. Infraestructuras
De acuerdo al Decreto No. 274, (2002) del Ministerio de Transporte por Infraestructuras portuaria "se entiende las obras y las edificaciones de superestructura destinadas al movimiento y operaciones de mercancías, pasajeros y embarcaciones de recreo, turísticas y deportivas; a la construcción o reparación de buques o embarcaciones; así como a la prestación de servicios marítimo-portuarios".
Otro concepto de infraestructuras se da por el Manual para el Director de Seguridad, (1996): "conjunto de elementos o servicios que se consideran necesarios para la creación y funcionamiento de una organización o para el desarrollo de una actividad. Por ejemplo las infraestructuras portuarias".
De acuerdo al 33 CFR Parte 101.105, (2002), "infraestructuras significa las instalaciones, las estructuras, los sistemas, los bienes, los servicios vitales para el puerto y su economía que su desorganización, la incapacidad, o destrucción tendría un efecto debilitador sobre la defensa, la seguridad, el medio ambiente, la prosperidad económica, salud pública o la seguridad del puerto, a largo plazo".
Para OMI/OIT, (2003) "infraestructuras se utiliza en su acepción más amplia, e incluye las superestructuras, los servicios y las demás instalaciones".
Para el objetivo de este estudio, se adopta la definición de infraestructuras dada por el Decreto No. 274, (2002) incluyendo en su alcance "el personal (trabajadores, operadores, importadores, exportadores, prestadores de servicios portuarios, clientes y usuarios), equipos y las demás instalaciones".
1.4.5. Vulnerabilidad
La vulnerabilidad es un factor interno del riesgo y puede determinarse a través de la probabilidad de éxito de un ataque; se evalúa mediante el examen de los factores que contribuyen a la vulnerabilidad de la instalación portuaria o las medidas de seguridad existentes, la ubicación y la efectividad del control (personal y medios de control) (Proyecto sobre Narcotráfico Marítimo, 2004) o a través de los niveles de medidas de protección existentes (OMI/OIT, 2003).
Según (Ordenanza No. 6-03), (OMI/OIT, 2003), (NVIC 9-02, 2002), (NVIC 11-02,
2003) y (Cigarruista, 2004) la vulnerabilidad es la predisposición o susceptibilidad que tiene un elemento a ser afectado por un incidente de protección. Consta de cuatro elementos: disponibilidad, accesibilidad, protección orgánica y estructura de la instalación, los cuales son descritos en sus contextos sin que existan incongruencias. Para estos elementos se definieron categorías y criterios para su valoración que tampoco varían mucho de uno a otros, ya que sus objetivos son los mismos. En el caso de OMI/OIT, (2003) solamente se analiza un elemento, las medidas de protección, el cual se descompone en cuatro categorías
Cigarruista, (2004) da varias definiciones de vulnerabilidad: "es la capacidad de las amenazas de poder penetrar una instalación"; "es la expectativa de recibir un peligro, un perjuicio físico o un daño moral" y, "es la capacidad de una amenaza de penetrar barreras, controles, procesos o sistemas".
Para el Proyecto sobre Narcotráfico Marítimo, (2004) "la vulnerabilidad es un indicio del grado de riesgo derivado del escenario en cuestión y consiste en los siguientes factores: las medidas de seguridad existentes, la ubicación y la efectividad del control (personal y medios de control)".
Para este estudio se adopta la definición de vulnerabilidad dada por OMI/OIT, (2003).
1.4.6. Consecuencia
Varios documentos (NVIC 9-02, 2002), (NVIC 11-02, 2003), (ASB Consulting, 2003), (Cigarruista, 2004) (Ordenanza No. 6-03), (Proyecto sobre Narcotráfico Marítimo, 2004) y (OMI/OIT, 2003) coinciden en que la consecuencia "se evalúa a través de la probabilidad de pérdidas humanas, lesiones, daños al medioambiente, pérdidas económicas, daños a los bienes e infraestructuras".
La ISO 28001, (2006) definió la consecuencia "como la probable pérdida de vidas, los daños a la propiedad, problemas económicos, incluida la interrupción de los sistemas de transporte, a causa de un ataque contra una organización de la cadena de suministro o por el uso de la cadena de suministro como un arma".
Como puede apreciarse las definiciones dadas en la bibliografía examinada se corresponden.
1.4.7. Hecho delictivo
El término hechos delictivos para el objetivo de este estudio debe entenderse como actos ilícitos, tal y como se recoge en el Código Penal (Capítulo IV) definidos como hechos que causan daño o perjuicio a otro. El hecho delictivo también constituye acciones y actos terroristas, como se recoge en la Ley No. 93 Ley contra el terrorismo de 21 de diciembre del 2001, o como suceso que afecta a la protección marítima, como se recoge en el Convenio SOLAS, donde se define el hecho delictivo "como todo acto que levante sospecha y que constituya una amenaza para la protección de una instalación portuaria o de una interfaz buque-puerto".
1.4.8. Adversario
El término adversario, para el objetivo de este estudio, se debe entender como el comisor de hechos delictivos.
1.4.8.1. Análisis del adversario
Teniendo en cuenta la necesidad de hacer suposiciones de las intenciones y capacidad del adversario para un escenario de la amenaza determinado, y considerando que el adversario puede no ser el mismo para una instalación que para otra, para tomar las medidas correspondientes se necesita llevar a cabo un estudio de las intenciones y capacidad del adversario.
Para la rama nuclear se propone una metodología de 4 pasosf: Identificación, colección y organización de la información; tipo y objetivo del adversario y sus tácticas; acciones potenciales del adversario; motivación del adversario y capacidades del adversario.
Los tipos de adversarios pueden ser internos, externos, o externos en connivencia con internos. Los objetivos del adversario son lo que éste pretende lograr con determinada acción. Las tácticas (formas a utilizar por el adversario para llevar a cabo su propósito) son: la fuerza (Intento forzado y abierto de violar el sistema de seguridad y protección); el sigilo (Intento de vulnerar, a escondidas, el sistema de seguridad y protección) y el engaño (Intento de vulnerar el sistema de seguridad y protección mediante identificaciones o documentos falsos).
Las motivaciones de los adversarios pueden ser: ideológicas, económicas o personales. La capacidad se caracteriza por número de atacantes, armas, equipamiento, transporte, experiencia técnica, conocimientos que posee el adversario para llevar a cabo sus acciones (referido a la información que posee o conoce previamente sobre la instalación, operaciones, sistema de seguridad y vulnerabilidades del lugar donde se realizará la acción) y asistencia local.
Después que ha sido recopilada toda la información sobre el adversario, es necesario ponerla en una forma que la haga útil; en este caso, en tablas, una para el adversario interno, y otra para el adversario externo.
El autor considera que esta metodología, con las modificaciones pertinentes es válida también para la rama portuaria y que es necesario tenerla en cuenta en los escenarios de la amenaza creados con el objetivo de analizar y evaluar los riesgos a que están sometidos los bienes e infraestructuras importantes a proteger en las instalaciones portuarias, así como para definir las medidas de protección encaminadas a disminuir los riesgos y amenazas aceptables.
1.4.9. Escenario de la amenaza
Para NVIC 9-02, (2002) un escenario de ataque (de la amenaza) "consiste en una amenaza potencial o clase de blanco específico en determinadas circunstancias. Agrega que es importante que el escenario, o los escenarios propuesto(s), estén, dentro de lo posible y, como mínimo, enfocados a la capacidad o intentos conocidos, como demuestran los acontecimientos pasados y de inteligencia posible".
El autor coincide con este planteamiento. Considera que el escenario de la amenaza es la combinación de las amenazas, reales o posibles, con la información resultante del análisis de la amenaza y los antecedentes delictivos.
1.4.10. Medidas de protección
De acuerdo con el Decreto Ley No. 186, (1998) las medidas de seguridad y proteccióng son el conjunto de medidas organizativas y de control, personal y medios de seguridad y protección, destinados a garantizar la integridad y custodia de las personas, bienes y recursos ante posibles amenazas de diversa índole. En la Resolución No. 2, (2001) del Ministerio del Interior se precisa que estas medidas son aquellas destinadas a prevenir, detectar, retardar y neutralizar la ocurrencia de amenazas, así como reducir los niveles de riesgos que puedan dar origen a hechos delictivos, que el Código PBIP, (2004) refiere como medidas físicas y operativas para reducir, al mínimo, el riesgo de que haya un fallo de protección, así como las consecuencias de los posibles riesgos.
Todas las definiciones dadas son válidas, no existiendo contradicciones entre ellas.
1.4.11. Información de la evaluación de la protección para la toma decisiones basada en riesgos.
Según Pulido, (2005) cada etapa y paso del proceso de evaluación de la protección deberá documentarse. La documentación debe incluir los datos tenidos en cuenta para la puntuación de los riesgos identificados que inciden en los bienes e infraestructuras importantes a proteger. Las razones para elaborar la documentación son las siguientes:
a) Demostrar que el proceso es conducido apropiadamente.
b) Proveer evidencia de un enfoque sistemático de identificación y análisis de riesgos.
c) Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la organización.
d) Proveer, a los tomadores de decisión, de información y propuestas de medidas.
e) Proveer un mecanismo y herramientas de responsabilidad.
f) Facilitar el continuo seguimiento y revisión.
g) Proveer una pista de auditoría.
h) Compartir y comunicar información.
A estas razones se debe agregar que la información debe ser suficiente y robusta, tanto para la toma de decisiones basada en riesgos como para mantener un control permanente de los riesgos y, por consiguiente, de las vulnerabilidades y consecuencias asumidas. Toda la información debe ser parte del informe de la evaluación de la protección, el cual debe aprobarse y pasar a formar parte del punto II del plan de seguridad y protección física de la instalación portuaria.
1.4.12. Modelo teórico conceptual de la evaluación de la protección
Sobre la base del análisis bibliográfico realizado, el Repertorio de recomendaciones prácticas sobre protección en los puertos y los requisitos que establece el Código PBIP se elaboró el modelo teórico conceptual de la evaluación de la protección de instalaciones portuarias que se muestra en la Figura 3 y que sustenta la metodología desarrollada para la evaluación de la protección de las instalaciones portuarias.
Figura 3 Modelo teórico conceptual de la evaluación de la protección de instalaciones portuarias. (Fuente: Elaboración propia a partir del análisis bibliográfico realizado, el Repertorio de recomendaciones prácticas sobre protección en los puertos y los requisitos que establece el Código PBIP).
1.5. Contexto del desarrollo de la evaluación de la protección de las instalaciones portuarias
1.5.1. Origen de los procesos de evaluación de la protección de las instalaciones portuarias
Hasta fines de los años ochenta los temas de seguridad y protección, si bien no formaban parte de las negociaciones comerciales internacionales, en general, eran de preocupación preponderantemente nacional y su solución estaba dada mediante políticas internas y acuerdos interinstitucionales entre las organizaciones de los países.
Tradicionalmente los temas portuarios no habían sido parte de la agenda de la OMI, con excepción de aquellos aspectos relacionados con mercancías peligrosas, seguridad en la construcción y mantenimiento de contenedores, e instalaciones de recepción de residuos provenientes de buques en puertos.
En la década de los noventa, ciertos temas delictuales que involucran al transporte marítimo fueron agudizándose, entre ellos, el tráfico ilícito de drogas, armas, y desechos; el contrabando de mercancías fraudulentas, objetos de artes y especies forestales, animales y vegetales protegidas; el tráfico de indocumentados, polizontes y personas en peligro rescatadas en alta mar; crecientes actos de piratería y asalto a tripulantes y pasajeros; enormes pérdidas por mercancías robadas desde los puertos, y otros actos ilícitos. Lo que eran hechos aislados, fueron convirtiéndose en actividades programadas por organizaciones criminales de alta sofisticación, y que vinculaban, entre sí, los tráficos de drogas y armas con grupos y actos terroristas, etc. Esto llevó al desarrollo de un conjunto de recomendaciones, directrices y resoluciones, directa o indirectamente relacionadas con la seguridad y la protección marítima. Luego del 11 de septiembre de 2001, esto se hizo más evidente y se avanzó hacia una noción más integral de la seguridad, incluyendo en la misma normativa el tema de la seguridad física, tanto de instalaciones portuarias como de buques. Dicha modernización en la concepción de la seguridad se incorporó, a partir del 2001, a través de la Resolución A.924(22) en la que se apela al término de "Protección Marítima", y luego definitivamente, como parte de las enmiendas realizadas a los capítulos V y XI del Convenio SOLAS, incorporándolas al nuevo Código PBIP, donde se establece la evaluación de la protección como una condición obligatoria a realizar por todos los Estados Contratantes del Convenio SOLAS, los que deben elaborar sus planes de protección basados en estas evaluaciones.
En Cuba, desde el 1 de enero de 1959 la protección física de las instalaciones portuarias ha sido una necesidad imperiosa, debido a los diferentes sabotajes y actos terroristas llevados a cabo sobre estas instalaciones, con el objetivo acabar con la Revolución. El 27 de diciembre de 1976 se pone en vigor la Ley 1321 y el 8 de enero de 1983 entra en vigor el Decreto No. 111, donde se regula sobre el Cuerpo de Vigilancia y Protección y se establece el plan de protección física. Posteriormente se dictan otros 3 documentos para incrementar la protección de las instalaciones portuarias. Por último, el 17 de junio de 1998 se ponen en vigor el Decreto Ley No. 186 que deja sin vigor la Ley 1321 y el Decreto 111 y se pone en vigor, también, la Resolución No. 2 del Ministro del Interior, quedando establecida la obligatoriedad de realizar el análisis de riesgo y, en base a este análisis, elaborar el plan de seguridad y protección física.
A partir de la validación de la metodología propuesta en la presente tesis para la evaluación de la protección de las instalaciones portuarias se podrá contar en la República de Cuba con una herramienta para implementar las disposiciones internacionales establecidas en el Código PBIP y para la toma de decisiones basada en riesgos.
1.5.2. Tendencias de las evaluaciones de la protección de las instalaciones portuarias
De acuerdo a la bibliografía consultada, se detectó que existen dos enfoques para la evaluación de la protección de instalaciones portuarias, uno expuesto en el Código PBIP, (2004) y OMI/OIT, (2003), analizado en el acápite 1.2.3 en el que el riesgo es función de la amenaza (probabilidad de que se produzca un hecho delictivo), unida a las vulnerabilidades y las consecuencias. Este mismo enfoque se ha planteado por Mitchell, Decker, (2004), pero la amenaza se valora como la probabilidad de un escenario de la amenaza:
Riesgo (R) = Amenaza (A) x Vulnerabilidad (V) x Consecuencia (C) (4)
El segundo enfoque se recoge en NVIC 9-02, (2002), NVIC 11-02, (2003), ASB Consulting, (2003), Ordenanza No. 6, (2003), ISO 20858, (2007), ISO 28001, (2006), Havnen, (2003) donde se aplica la ecuación del riesgo (3):
Riesgo (R) = Vulnerabilidad (V) x Consecuencia (C) (3)
En este segundo enfoque la amenaza se utiliza, solamente, para conformar los escenarios de la amenaza. El riesgo se determina por la vulnerabilidad y consecuencias de cada escenario de la amenaza evaluado.
En ambos enfoques se identifican los bienes e infraestructuras importantes a proteger, como se describe en el acápite 1.2.5 y se formulan escenarios de la amenaza.
En Mitchell, Decker, (2004) se plantea que, en el caso de Estados Unidos, la Oficina de Contabilidad del Gobierno en su informe, "La lucha contra el terrorismo: Medidas necesarias para mejorar la gestión y ejecución de los programas antiterrorismo del Departamento de Defensa"h recomendó que se establezca un marco de gestión para la asignación de recursos dirigidos al programa antiterrorista; y que un proceso de gestión de riesgos comprendido por todos los involucrados puede ser una base eficaz para la asignación de los recursos.
Según este mismo documento, la Marina está aplicando los métodos y herramientas tradicionales de toma de decisiones basada en riesgos para apoyar las decisiones de asignación de recursos. Las herramientas sobre la seguridad industrial y la seguridad y salud en el trabajo están disponibles en línea para que puedan ser utilizadas de forma masivai. Sin embargo, las relacionadas con la protección de las instalaciones portuarias, aún no están disponibles.
Otra tendencia de la evaluación de la protección de instalaciones, pero relacionada con la calidad, es que las organizaciones que presten el servicio relacionado con la evaluación de la protección están obligadas a contar con un sistema de gestión de la calidad certificado. En Cuba la entidad Certificadora es la ONNj e incorpora en el proceso de certificación a la agencia ACERPROTk en calidad de asesora especializada en seguridad.
En la actualidad la ISO ha puesto en vigor las normas ISO 28000l para que se tengan en cuenta por aquellas organizaciones que deseen certificar su sistema de protección de la cadena de suministro.
1.5.3. Metodologías actuales que se emplean para la evaluación de la protección de las instalaciones portuarias
Según la bibliografía consultada se han desarrollado metodologías para la evaluación de la protección de instalaciones portuarias con el objetivo de complementar el Código PBIP tanto por organismos internacionales y regionales, como por los propios países como son:
La Matriz de Análisis de Amenazas y Riesgos (MAAR), método basado en el cálculo de los riesgos y una herramienta para la realización de las evaluaciones de la protección de las instalaciones, propuesta por (OMI/OIT, 2003).
La metodología para dar respuesta a la toma de decisiones basada en riesgos, para la asignación de recursos planteada por Mitchell, Decker, (2004).
Las metodologías propuestas por (NVIC 9-02, 2002), (NVIC 11-02, 2003), (ASB Consulting, 2003), (Ordenanza No. 6-03) y (ISO 20858:2007) las cuales tienen una base común y no se diferencian mucho unas de otras.
Todas estas metodologías cumplen con las disposiciones del Código PBIP.
1.6. Conclusiones del capítulo
Los resultados de la investigación bibliográfica realizada permiten establecer como conclusiones fundamentales las siguientes:
1. Abordar la metodología de evaluación de la protección, con enfoque basado en procesos, facilita la planificación y participación de todos los especialistas en seguridad en la evaluación, independientemente del área funcional a la que pertenezcan, lo que mejora su desempeño.
2. Una mejor comunicación y comprensión de los riesgos y un uso más eficaz de los limitados recursos destinados para la protección, a través de la toma de decisiones basada en riesgos, es más factible aplicando el siguiente enfoque para la evaluación de la protección:
• Identificación de los bienes e infraestructuras importantes a proteger, priorizados por su importancia para la instalación.
• Evaluación de la amenaza, las vulnerabilidades, las consecuencias según categorías y criterios preestablecidos, lo que permite a todas las parte entender los riesgos.
• Determinación de situaciones (escenarios) de la amenaza.
• Cálculo de los riesgos en función de la amenaza, las vulnerabilidades y las consecuencias.
• Priorización de las medidas de seguridad para disminuir los riesgos.
• Información suficiente y robusta de la evaluación de la protección.
Capítulo II
Diagnóstico de la evaluación de la protección
Este capítulo tiene como objetivo fundamental desarrollar un estudio de la evaluación de la protección de las instalaciones portuarias objeto de estudio de nuestra investigación e identificar las necesidades de las instalaciones portuarias con respecto a la evaluación de la protección, a partir del diseño y aplicación de un procedimiento para diagnóstico.
2.1. Diseño y aplicación del diagnóstico de la evaluación de la protección y las necesidades de las instalaciones portuarias.
A través del diagnóstico se obtiene una fotografía de la situación que presenta un proceso, actividad u organización, que permite identificar problemas y analizar causas a partir de diferentes herramientas analítica según la situación, también permite conocer las necesidades de los clientes con respecto a un producto o servicio para planificar la calidad de los mismos y poder satisfacer las expectativas de dichos clientes.
Para la realización del diagnóstico se diseñó y aplicó un procedimiento compuesto de 5 pasos que se muestra en la figura 4.
Figura 4 Pasos para la realización del diagnóstico.
2.1.1 Paso 1 Trabajo de exploración sobre la legislación nacional e internacional en materia de protección portuaria y la documentación del sistema de gestión de la calidad de SEPSA.
El objetivo de este paso es identificar todas las disposiciones recogidas en los documentos de obligatorio cumplimiento para la realización de la evaluación de la protección y la documentación del sistema de gestión de la calidad de SEPSA que debe aplicarse en el diseño y documentación de la metodología para la evaluación de la protección.
Como resultado del estudio exploratorio se identificaron los documentos nacionales e internacionales sobre evaluación de la protección y los documentos del sistema de gestión de la calidad de SEPSA a tener en cuenta en este estudio que se recogen en el anexo 1.
2.1.2 Paso 2 Identificación y análisis de los elementos a diagnosticar.
El objetivo de este paso es definir las variables, dimensiones e ítems del estudio de la evaluación de la protección.
Teniendo en cuenta el resultado del estudio exploratorio obtenido en el paso 1 se identificaron las variables, indicadores y dimensiones, así como los ítems por cada una de las dimensiones. En el anexo 2 se muestran las variables, dimensiones, indicadores e ítems de estudio que se utilizaron para el análisis.
2.1.3 Paso 3 Diseño de los instrumentos
Para la confección de los instrumentos se tuvieron en cuenta las variables, dimensiones, indicadores e ítems que se muestran en anexo 2. Los instrumentos fueron los siguientes:
• Encuesta a los Jefes de seguridad de instalaciones portuarias y de empresas (anexo 3).
• Cuestionario para entrevista a los Jefes de seguridad de instalaciones portuarias y empresas seleccionadas (anexo 4).
• Guía para entrevistas a directores de instalaciones portuarias (anexo 5).
• Guía para grupos focales (anexo 6).
En todos los instrumentos diseñados se hace referencia a los apartados de los documentos evaluados, para que sean consultados, en caso necesario, al responder cada pregunta.
Para determinar la confiabilidad de la encuesta se utilizó el programa SPSS y se aplicó el coeficiente alfa de Cronbach el cual resulto .8219. Fue asumido teniendo en cuenta que en las entrevistas a profundidad y los focos de discusiones las dimensiones se precisan con más detalles.
Los instrumentos diseñados se complementan uno a los otros, si bien la encuesta es un método pasivo de obtener información, la misma se precisa a través de las entrevistas individuales y las discusiones en colectivo en grupos focales.
Los objetivos de la aplicación de estos instrumentos fueron conocer:
a) la aplicación de los requisitos establecidos en los documentos nacionales e internacionales en materia de protección de las instalaciones portuarias, y
b) las necesidades de los clientes de la evaluación de la protección: directores y jefes de seguridad de las instalaciones portuarias.
2.1.4 Paso 4 Recolección de la información
Los objetivos de este paso fueron identificar y caracterizar las instalaciones portuarias sujetas al cumplimiento del Código PBIP, las cuales se consideran los clientes externos del servicio de protección, definir la muestra del estudio y establecer el procedimiento para la recogida de la información.
2.1.4.1 Identificación de las instalaciones portuarias
Las instalaciones portuarias sujetas al cumplimiento del Código PBIP fueron definidas por cada uno de los Organismos correspondientes y presentadas al Ministerio del Transporte y al Ministerio del Interior, a través de los cuales se obtuvo la relación oficial (anexos 7-9).
2.1.4.2 Población y muestra
Se tomaron todas las instalaciones portuarias sujetas al cumplimiento de Código PBIP, es decir la muestra coincidió con la población.
Con relación al estudio de los requisitos del sistema de gestión la calidad a tener en cuenta en el diseño del proceso de evaluación de la protección de las instalaciones portuarias, se tomó a la empresa de Servicios Especializados de Protección, S.A., a la cual le asignaron la responsabilidad de realizar dichas evaluaciones.
Características de las instalaciones portuarias y de la empresa de Servicios Especializados de Protección
Instalaciones portuarias
Las instalaciones portuarias sujetas al cumplimiento del Código PBIP son de diferentes tipos. Las hay comerciales, donde se realizan actividades de estiba, desestiba, carga, descarga, trasbordo, almacenamiento y procesamiento de materias primas y mercancías; las hay industriales, dedicadas al manejo de bienes y mercancías; y turísticas, dedicadas a la atención y operaciones de cruceros turísticos. Algunas pueden inclusive, ser de varios tipos a la vez.
Empresa de Servicios Especializados de Protección, S.A.
La empresa Servicios Especializados de Protección, Sociedad Anónima, conocida comercialmente como SEPSA, es una Sociedad Mercantil fundada el 25 de noviembre de 1993, creada al amparo de la legislación existente en el país, con acta de constitución registrada mediante la Escritura 174 de la Notaría Especial del Ministerio de Justicia, inscrita en el Registro Central de Compañías Anónimas en el Libro 159, Folio 90, Hoja 1602, Sección segunda, Inscripción 1ra. y en el Registro Mercantil Segundo de La Habana, en el Libro 667, Folio, 91 Hoja 6681, Inscripción 1ra.
SEPSA se define como una Empresa de prestación de Servicios de Seguridad y Protección, capacitada para prestar servicios a terceros, dentro y fuera del país.
SEPSA, como organización líder en el sector de la Seguridad y Protección, trabaja en función de satisfacer las necesidades y expectativas de los clientes. Posee implantado y certificado por la Oficina Nacional de Normalización, un Sistema de Gestión de la Calidad que satisface los requisitos de la NC ISO 9001:2008. En su alcance se recogen la mayoría de los servicios que se brindan a lo largo y ancho del país.
2.1.5 Paso 5 Análisis de la información
Los resultados del análisis de la información obtenida del diagnóstico se recogieron en el anexo 10.
2.1.5.1. Necesidades y expectativas de las instalaciones portuarias
Las necesidades expresadas y acordadas con los encuestados y en los grupos focales sobre las variables y dimensiones definidas para este estudio, así como las de carácter general, a tener en cuenta en el diseño de la metodología se recogen en la tabla 1.
Capítulo III
Este capítulo tiene como objetivo diseñar y validar una metodología para la evaluación de la protección de las instalaciones portuarias con un enfoque basado en procesos.
3.1. Concepción teórica de la metodología
La metodología para la evaluación de la protección de instalaciones portuarias está concebida sobre las bases teóricas siguientes:
• Un resultado deseado se alcanza más eficientemente cuando las actividades y los recursos relacionados se gestionan como un proceso – enfoque basado en procesos (NC ISO 9000:2005) y "…Una ventaja del enfoque basado en procesos es el control continuo que proporciona sobre los puntos de unión entre los procesos individuales dentro del propio sistema de proceso, así como sobre su combinación e interacción" (NC ISO 9001:2008).
• La identificación de los bienes e infraestructuras importantes a proteger y su ordenamiento, por su importancia relativa para la instalación portuaria, proporciona una base para la asignación de los limitados recursos destinados a la protección
• La evaluación de la protección de las instalaciones portuarias es un análisis basado en los riesgos de seguridad relacionados con las amenazas a la instalación portuaria (ASB Consulting, 2003).
• El riesgo es función de la amenaza, las vulnerabilidades y las consecuencias (Código PBIP, 2004), (OMI/OIT, 2003).
• La toma de decisiones basada en riesgos es una de las mejores herramientas para ejecutar una evaluación de la protección y para determinar las medidas de protección más adecuadas en una instalación portuaria. Es un proceso sistemático y analítico que permite considerar la probabilidad de que una violación de la seguridad pondrá en peligro un bien, infraestructura, e identificar las acciones que reducirán la vulnerabilidad y, así, mitigar las consecuencias de dicha violación (NVIC 9-02, 2002).
• Un escenario de la amenaza consiste en una amenaza potencial, creíble sobre un bien o infraestructura importante a proteger en determinadas circunstancias (NVIC 9-02, 2002), es decir lugar y misión, motivaciones, tácticas, capacidad del posible comisora.
• La Matriz de Análisis de la Amenaza y Riesgos (MAAR), método basado en el cálculo de riesgo (OMI/OIT, 2003).
• Cada etapa y paso de la evaluación de la protección deberá documentarse de tal manera que se demuestre que el proceso fue conducido apropiadamente. Debe proveer evidencia de un enfoque sistemático de identificar y analizar riesgos, proveer un registro de riesgo, y desarrollar una base de datos de conocimientos de la organización, proveer un mecanismo y herramienta de responsabilidad, facilitar el continuo seguimiento y revisión, proveer una pista de auditoría y compartir y comunicar información (Pulido, 2005).
3.2. Requisito para la aplicación de la metodología para la evaluación de la protección de las instalaciones portuarias
La aplicación de la metodología es una necesidad y un medio para aplicar las disposiciones recogidas en el Código PBIP obligatorias para todos los países Contratantes del Convenio SOLAS por lo que es interés de las direcciones de las instalaciones portuarias, las empresas a las que pertenecen, y sus Organismos.
3.3. Propuesta de una metodología para la evaluación de la protección de las instalaciones portuarias
3.3.1 Pasos para el diseño y validación de una metodología para la evaluación de la protección
Con el objetivo de diseñar y validar la metodología para la evaluación de la protección de las instalaciones portuarias con enfoque basado en proceso se aplicaron los pasos que se muestran en la figura 5.
Figura 5 Pasos para el diseño y validación de la metodología de evaluación de la protección de instalaciones portuarias.
3.3.1.1. Paso 1 Diagnóstico inicial de la evaluación de la protección.
Los objetivos de este paso fueron identificar los documentos obligatorios para la evaluación de la protección, identificar y caracterizar las instalaciones portuarias sujetas al cumplimiento del Código PBIP y las necesidades de la dirección de estas instalaciones (clientes de la evaluación de la protección). Este paso se llevó a cabo durante el diagnóstico inicial recogido en el capítulo II.
3.3.1.2. Pasos 2-4 Diseño del proceso de evaluación de la protección. Identificación de las entradas del proceso. Identificación de las salidas del proceso.
A partir de los resultados del diagnóstico de diseñó el proceso de evaluación de la protección de instalaciones portuarias, el cual se estructura en cuatro etapas y once pasos. Se tuvieron en cuenta todas las necesidades expresadas por las instalaciones portuarias (cliente) excepto la referida a la del programa informático para la evaluación por cuanto no estaba en el alcance de este estudio. Se identificaron las entradas y salidas del proceso (pasos 3 y 4) que se muestran en la figura 6.
Como parte de los elementos de entradas y salidas del proceso se diseñaron listas de chequeo, instrumentos para la recolección de datos, tablas de trabajo y matriz de riesgos y bienes e infraestructuras importantes a proteger. Además, se adoptó la Matriz de Análisis de Amenazas y Riesgos (MAAR) (OMI/OIT, 2003), recomendada por la Organización Marítima Internacional OMIb y la Organización Internacional del Trabajo OITc, que reúne las mejores prácticas internacionales para el cálculo de los riesgos, la cual fue modificada por el autor.
Una de las modificaciones efectuadas consiste en no definir situaciones de la amenaza como se plantea en la Matriz original, sino evaluar cada bien o infraestructura importante a proteger, con sus riesgos y amenazas asociados; los datos del adversario y los antecedentes delictivos; considerando estas combinaciones como escenarios de amenaza.
Otros dos cambios realizados a la Matriz original consisten en:
a) agregar dos columnas, una para incluir las medidas de protección actuales y otra para recoger las categorías de decisión con relación al riesgo calculado; es decir, disminuirlo o aceptarlo.
b) recoger en cada columna no solamente la puntuación dada a cada factor de riesgo, sino recoger la información recolectada sobre la amenaza, las vulnerabilidades, las consecuencias, las medidas actuales de protección y las medidas propuestas, de tal forma que en una sola Matriz se pueda visualizar la situación, casi completa, que presenta el bien o infraestructura analizado. De esta forma se facilita la combinación del análisis semi-cuantitativo con el análisis cualitativo.
A través de esta Matriz se realiza el cálculo del riesgo a partir de la situación que presentó la instalación en el momento de la evaluación y posterior a la propuesta de medidas para disminuir los riesgos al nivel aceptado para la instalación. Los análisis y cálculos de riesgos se realizan de acuerdo a las escalas y criterios recomendados para la Matriz original que se muestra en las tablas 2-4.
El riesgo es evaluado en función de la amenaza, las vulnerabilidades y las consecuencias sobre la base de los escenarios de la amenaza definidos. La ecuación para el cálculo del riesgo que se emplea es la siguiente:
Riesgo = Amenaza x Vulnerabilidad x Consecuencia (Código PBIP, 2004), (OMI/OIT, 2003), (Mitchell, Decker, 2004).
La puntuación del riesgo se podrá encontrar en el rango de 1 a 60, siendo 1 el resultado más bajo y 60 es el más elevado.
Además, se diseñó un formato y contenido para el informe de la evaluación, el cual incluye todos los instrumentos, tablas de trabajo y matrices que se utilizan durante la evaluación. Estos instrumentos y herramientas se describen en la documentación del proceso de evaluación de la protección desarrollado en el paso 9 del procedimiento para el diseño y validación de la metodología para la evaluación de la protección.
Etapas y pasos de la metodología para la evaluación de la protección de las instalaciones portuarias
Etapa 1 Caracterización de la instalación
Objetivo: Definir los bienes e infraestructuras importantes a proteger, (ordenados por su importancia relativa para la instalación), y conocer los antecedentes delictivos en la instalación, y el sector portuario, tanto nacional como internacionalmente.
Resultado: Relación de los bienes e infraestructuras importantes a proteger, por orden de importancia para la instalación.
Aplicación: Sobre la base de esta relación se determinan las amenazas inherentes a los bienes e infraestructuras, se configuran los escenarios de la amenaza, se identifican las vulnerabilidades y consecuencias en caso de producirse una amenaza y se lleva a cabo el cálculo de los riesgos para determinar la necesidad de aplicar medidas correctivas.
Etapa 2 Análisis y evaluación de riesgos y amenazas
Objetivo: Identificar las amenazas para cada uno de los bienes e infraestructuras importantes a proteger; caracterizar al adversario; conocer las medidas de protección aplicadas; definir los escenarios de la amenaza más pertinentes; identificar y evaluar las vulnerabilidades y consecuencias sobre la base de las amenazas identificadas; calcular el riesgo y definir las medidas correctivas para disminuir los riesgos, de ser necesario.
Resultado: Matriz de riesgos, relación de la caracterización del adversario, matriz de análisis de la amenaza y riesgos.
Aplicación: Para decidir si es necesario disminuir los riesgos a un nivel aceptable y proponer las medidas correctivas correspondientes.
Etapa 3 Identificación de Puntos Vulnerables
Objetivo: Identificar problemas que podrían necesitar mejoras.
Resultado: Relación de los puntos vulnerables y la propuesta de medidas correctivas.
Aplicación: Los problemas que necesitan mejoras pasan a formar parte, junto con las vulnerabilidades, de los bienes e infraestructuras importantes a proteger para la toma de decisiones.
Etapa 4 Documentación de la evaluación de la protección
Objetivo: Elaborar un informe de la evaluación de la protección de la instalación, una vez finalizada ésta.
Resultado: Informe de la evaluación de la protección.
3.3.1.3. Pasos 5-8 Definición de los Recursos. Definición de los Indicadores. Determinación del propietario del proceso. Identificación de los procesos de apoyos.
Se definieron los recursos necesarios (paso 5), se determinaron los indicadores de eficacia del proceso (paso 6), se determinó el propietario del proceso (paso 7), se identificaron los procesos de apoyo (paso 8). Esta información se recogió en la ficha de proceso (anexo 11) de acuerdo al formato establecido en el sistema de gestión de la calidad de SEPSA.
3.3.1.4. Paso 9 Documentación del proceso.
El objetivo de documentar la metodología es contar con una herramienta que pueda se utilizada por SEPSA, a nivel nacional, de forma homogénea, y sirva de base para incluir en el futuro este servicio en el alcance de la certificación del sistema de gestión de la calidad de SEPSA tal y como se exige por el Organismo Marítimo Internacional.
La metodología se documentó en el procedimiento PN-P-1205 (anexo 12) del sistema de gestión de la calidad de SEPSA, donde quedan detalladas todas las actividades que se deben realizar, paso a paso, los documentos de referencia que se deben consultar, los instrumentos, tablas de trabajo y matrices, con las instrucciones para su llenado y utilización.
3.3.1.5. Paso 10 Validación de la metodología para la evaluación de la protección de las instalaciones portuarias
Con el fin de validar la propuesta de metodología elaborada, ésta se aplicó en una de las instalaciones portuarias sujetas al cumplimiento de los requisitos internacionales del Código PBIP, cuyo nombre no se específica por razones de seguridad.
 Página anterior | Volver al principio del trabajo | Página siguiente  |