Adriana Joachin Hernndez

ANALISIS DE RIESGO
l anlisis del riesgo es un mtodo sistemtico de recopilacin, evaluacin, registro y difusin de informacin necesaria para formular recomendaciones orientadas a la adopcin de una posicin o medidas en respuesta a un peligro determinado. Hay pequeas variaciones en la terminologa utilizada por las tres organizaciones. Sin embargo, las tres organizaciones hermanas consideran el anlisis del riesgo como un proceso que consta de cuatro etapas:

identificacin del peligro; evaluacin del riesgo; gestin del riesgo; y comunicacin del riesgo.

La identificacin del peligro consiste en especificar el acontecimiento adverso que es motivo de preocupacin. En la evaluacin del riesgo se tiene en cuenta la probabilidad (la probabilidad real y no slo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone. (Obsrvese que esta descripcin de la evaluacin del riesgo es diferente de la definicin que figura en el Acuerdo MSF.) La gestin del riesgo consiste en la identificacin y aplicacin de la mejor opcin para reducir o eliminar la probabilidad de que se produzca el peligro. La comunicacin del riesgo consiste en el intercambio abierto de informacin y opiniones aclaratorias que llevan a una mejor comprensin y adopcin de decisiones. (Comercio, 2010) Es el proceso sistemtico de recogida y evaluacin CIENTFICA de la informacin relevante sobre un determinado peligro, para estimar su probabilidad de aparicin y las repercusiones de su ocurrencia.

(Sanchez Viscaino, 2010)

Adriana Joachin Hernndez

El anlisis de riesgo, tambin conocido como evaluacin de riesgo o PHA por sus siglas en ingls Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daos y consecuencias que stas puedan producir. Este tipo de anlisis es ampliamente utilizado como herramienta de gestin en estudios financieros y de seguridad para identificar riesgos (mtodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa). El primer paso del anlisis es identificar los activos a proteger o evaluar. La evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios de riesgo establecidos previamente. La funcin de la evaluacin consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestin, y asegurar un nivel mnimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los mtodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos. (Bot, 2013) En un entorno informtico existen una serie de recursos (humanos, tcnicos, de infraestructura...) que estn expuestos a diferentes tipos de riesgos: los `normales', aquellos comunes a cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organizacin o a toda la misma, como la inestabilidad poltica en un pas o una regin sensible a terremotos. Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un anlisis de riesgos, trmino que hace referencia al proceso necesario para responder a tres cuestiones bsicas sobre nuestra seguridad:

>qu queremos proteger? >contra quin o qu lo queremos proteger? >cmo lo queremos proteger?

En la prctica existen dos aproximaciones para responder a estas cuestiones, una cuantitativa y otra cualitativa. La primera de ellas es con diferencia la menos usada, ya que en muchos casos implica clculos complejos o datos difciles de estimar. Se basa en dos parmetros fundamentales: la probabilidad de que un suceso ocurra y una estimacin del coste o las prdidas en caso de que as sea; el producto de ambos trminos es lo que se denomina coste anual estimado (EAC, Estimated Annual Cost), y aunque tericamente es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en funcin de estos datos, en la prctica la inexactitud en la estimacin o en el clculo de parmetros hace difcil y poco realista esta aproximacin.

Adriana Joachin Hernndez

El segundo mtodo de anlisis de riesgos es el cualitativo, de uso muy difundido en la actualidad especialmente entre las nuevas `consultoras' de seguridad (aquellas ms especializadas en seguridad lgica, cortafuegos, testsde penetracin y similares). Es mucho ms sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimacin de prdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, por definicin siempre presentes en cualquier sistema, las vulnerabilidades, que potencian el efecto de las amenazas, el impacto asociado a una amenaza, que indica los daos sobre un activo por la materializacin de dicha amenaza, y los controles o salvaguardas, contramedidas para minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos). Por ejemplo, una amenaza sera un pirata que queramos o no (no depende de nosotros) va a tratar de modificar nuestra pgina web principal, el impacto sera una medida del dao que causara si lo lograra, una vulnerabilidad sera una configuracin incorrecta del servidor que ofrece las pginas, y un control la reconfiguracin de dicho servidor o el incremento de su nivel de parcheado. Con estos cuatro elementos podemos obtener un indicador cualitativo del nivel de riesgo asociado a un activo determinado dentro de la organizacin, visto como la probabilidad de que una amenaza se materialice sobre un activo y produzca un determinado impacto. (Morales, 2003)

(Sanchez Viscaino, 2010)

Adriana Joachin Hernndez

Bibliografa
Bot, E. (21 de Abril de 2013). Wikipedia. Recuperado el 1 de Mayo de 2013, de Wikipedia: https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo Comercio, O. M. (4 de Noviembre de 2010). Organizacion Mundial del Comercio. Recuperado el 1 de Mayo de 2013, de Organizacion Mundial del Comercio: http://www.wto.org/spanish/tratop_s/sps_s/sps_agreement_cbt_s/c2s5p1_s.htm Morales, J. (8 de Octubre de 2003). Geofisica. Recuperado el 1 de Mayo de 2013, de Geofisica: http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsechtml/node334.html Sanchez Viscaino, J. M. (13 de Julio de 2010). PDF. Recuperado el 1 de Mayo de 2013, de PDF: http://www.magrama.gob.es/es/ganaderia/temas/sanidad-animal-e-higieneganadera/analisis_de_riesgos__j_m_vizcaino_tcm7-5638.pdf