Diagnóstico de la STPS

Según el Reglamento Federal de Seguridad y Salud en el Trabajo de México a

la identificación de las Condiciones Inseguras o Condiciones Peligrosas de los
agentes físicos, químicos o biológicos o de los Factores de Riesgo Ergonómico
o Factores de Riesgo Psicosocial capaces de modificar las condiciones del
ambiente laboral. De los peligros circundantes al Centro de Trabajo, así como
de los requerimientos normativos en materia de Seguridad y Salud en el
Trabajo que resulten aplicables, se le denomina Diagnóstico de Seguridad y
Salud en el Trabajo. El objetivo de desarrollar un diagnóstico es examinar
detalladamente todo lo que podría dañar a los trabajadores. Incluso,
especialistas consideran que las fuentes de información se encuentran en todo
el espacio de trabajo. Por ejemplo, no debes olvidar preguntar al personal su
percepción de sus actividades. Además, considera los siguientes pasos:
Identifica los peligros por áreas y/o puestos. Detecta el tipo de daños
posibles y quiénes son más susceptibles a padecerlos. Evalúa los riesgos
para identificar medidas preventivas. Documenta y reporta tus hallazgos.
Planifica las acciones a realizar para reducir accidentes o enfermedades.
Actualiza constantemente tu diagnóstico inicial. Al considerar estos puntos,
cumplirás con los requisitos de un entorno de trabajo seguro y saludable.
Además, tendrás grandes beneficios como una reducción considerable de los
accidentes que reportes. Incluso, podría mejorar la productividad de tus
trabajadores, quienes tendrán más confianza en las acciones que
desempeñan. Si deseas generar un diagnóstico de tus actividades, llama a
CESE Consultores. Nosotros podremos ayudar a mejorar tus procesos
productivos con buenas medidas de seguridad y salud. ¡Contáctanos! Seguro
podremos ayudarte
-Investigación de accidentes e incidentes
La diferencia entre accidente e incidente radica en daño real o potencial que
pueden causar. Un accidente es un suceso que genera daños materiales o
humanos de diversa gravedad. Mientras que un incidente es un evento que
podría generar daños o no, y que podría ocasionar un accidente en el futuro si
no se corrigen las fallas que lo originaron. Los términos accidenten e incidente
son utilizados en el ámbito de la seguridad industrial, el área encargada de
crear las normas para prevenir o disminuir el riesgo de daños en el área de
trabajo.
Accidente laboral
En el ámbito de la seguridad industrial se utiliza el término accidente laboral
para referirse a los daños que pueda sufrir un trabajador durante el
cumplimiento de su labor. Las delimitaciones de esta definición corresponden a
las leyes de cada país y a las autoridades locales en materia de protección de
los trabajadores. Un accidente laboral puede ser ocasionado por otro
trabajador, por maquinaria o materiales de la empresa o por unas
circunstancias fortuitas. Tendrá esta denominación siempre y cuando tenga
que ver con la ejecución de una tarea asignada u ocurra dentro de las
instalaciones de la empresa. También se considera accidente laboral a los
daños que pueda sufrir el empleado en el trayecto desde y hacia su trabajo.
Cuando el trabajador sufre daños causados por su imprudencia o
incumplimiento de las medidas de seguridad industrial, se considera un
accidente no laboral. En este caso, la empresa es libre de tomar las acciones
que considere adecuadas, ya que no tiene responsabilidad alguna con el
trabajador.
Ejemplos de accidente laboral
Algunos accidentes laborales incluyen el desarrollo de patologías ocasionadas
por la ausencia o deterioro de los equipos de trabajo, o por la forma de ejecutar
el trabajo, como, por ejemplo: dolencias lumbares por la utilización de sillas
no adecuadas. Desarrollo o agudización de condiciones respiratorias o de
otra naturaleza por la inhalación de sustancias químicas. Caídas por suelo
resbaloso o escaleras en mal estado en las instalaciones laborales.
Incidente laboral
En el área de la seguridad industrial, los incidentes laborales son situaciones
de consecuencias leves, pero que tienen el potencial de convertirse en
accidentes. Su definición y alcance depende de los organismos y normas
industriales de cada país. Por esta razón es tan importante la aplicación de las
normas de prevención de accidentes. Un incidente inadvertido o no reportado
puede convertirse en un accidente laboral con graves consecuencias para el
trabajador y la empresa.
Ejemplos de incidente laboral
Entre los incidentes laborales más comunes, están: derrames de líquido en
el suelo de las instalaciones (podrían generar accidentes laborales como
resbalones o caídas). Deterioro de los implementos de trabajo (sillas en mal
estado, lámparas flojas, materiales químicos por vencerse, etc.) Deterioro de
las instalaciones (escaleras dañadas, intermitencias eléctricas, etc.).

-Inspecciones planeadas y no planeadas.

Las inspecciones de seguridad cualquiera que sea sus modalidades
(generales o parciales, internas o externas, voluntarias u obligatorias, oficiales),
puede realizarse mediante una programación, estableciendo previamente un
calendario: planificadas o sin fechas, informales, sin previo aviso o motivadas
por alguna circunstancia especial; inspecciones no planificadas.
Las inspecciones planificadas permiten una mayor preparación y son más
eficaces porque tanto en inspector como el inspeccionado pueden prepararlas
mejor. Sin embargo, las no planificadas tienen la ventaja de mostrar un cuadro
más real pero el inconveniente de ser peor recibidas y, en ocasiones fallidas.
La observación del trabajo como técnica incluida en la inspección o técnica
aparte puede, sin embargo, planificarse previamente, pero es más eficaz si se
aprovecha el factor sorpresa, es decir, si no se planifica.
Las inspecciones generales pueden obedecer a un programa establecido o a
multitud de razones. Las inspecciones parciales o específicas de ciertos
equipos o instalaciones tienen que ajustarse, en ocasiones, a los periodos de
desgastes y al uso de dichos equipos por lo que generalmente se trata de
inspección periódicas. Las inspecciones reglamentarias tienen siempre
establecidas los plazos en la normativa que sea de aplicación. Sin embargo,
ciertas inspecciones oficiales (visitas de la inspección), suelen ser sin previo
aviso o tener un carácter aperiódico (un accidente).
En las inspecciones generales se realiza un seguimiento planificado a través de
un área completa. La Inspección General observa todo con el fin de buscar
exposiciones a riesgos.
Un programa de Inspección General Planificada deberá incluir las
siguientes características:
Determinación de las áreas de inspección: Incluir la inspección de todas las
áreas de operación, mantenimiento, maquinaria, almacenaje y oficinas.
Asignación de responsabilidades: Deberán incluir a las personas con mayor
conocimiento de cada área. Determinación de la frecuencia: Normalmente las
inspecciones deberán llevarse a cabo trimestralmente o incluso mensualmente.
frecuencia dependerá de la cantidad de la actividad laboral, el número de
personas y el nivel relativo de riesgo de área.
En la inspección planeada del trabajo, se suele descomponer el trabajo en
fases, las cuales se evaluarán y estudiarán con el objetivo de poder identificar
peligros y disfunciones y posteriormente adoptar medidas de control
necesarias.
Es un instrumento para observar condiciones y prácticas de una manera
organizada y sistemática, y permite: Determinar necesidades de formación e
información del personal. Identificar prácticas que pudieran provocar
accidentes o ineficacias. Destacar los comportamientos del personal para el
reconocimiento y reforzamiento. Verificar que los métodos y procedimientos de
trabajo o tarea existentes son los adecuados.
-Análisis de seguridad en el trabajo
La mayoría de los programas de seguridad se consideran reactivos, una
medida en respuesta a un incidente (por ejemplo, la administración de primeros
auxilios
después de una lesión). Sin embargo, un análisis de seguridad en el trabajo
(JSA, por sus siglas en inglés) se considera como enfoque activo a la
seguridad en el trabajo. Un JSA puede llamarse Análisis de Peligros en el
Trabajo. Un JSA es una herramienta usada para aumentar la seguridad en el
trabajo mediante: El identificar los peligros o peligros potenciales asociados
con cada paso de un trabajo El encontrar medidas eficaces de control para
prevenir o eliminar la exposición
Dividir el trabajo en pasos básicos
Una vez seleccionado un trabajo, se inicia un JSA. Cada paso del trabajo
siendo considerado se anota en la primera columna de la hoja de trabajo del
JSA. Los pasos se anotan por orden de acontecimiento junto con una
descripción breve. El análisis no debe ser tan detallado que resulte en un
número grande de pasos, ni tan generalizado que se omiten pasos básicos. Si
hay más de quince pasos, el trabajo debe dividirse en más de un JSA. Un
trabajador con experiencia debe ayudar a dividir el trabajo en pasos. Por lo
menos una otra persona debe observar la ejecución del trabajo bajo
condiciones y horas normales. Se les debe explicar a estos trabajadores el
propósito y aspectos prácticos de un JSA. Una vez divido el trabajo en pasos,
todas las personas participando deben repasar y aprobar la lista.
Identificar los peligros dentro de cada paso Cada paso se analiza para peligros
existentes y potenciales. Después, el peligro se anota en la segunda columna
de la hoja de trabajo que corresponde a su paso del trabajo. Al identificar
peligros, todas las posibilidades lógicas deben considerarse. La pregunta
principal que hay que hacer al evaluar cada paso es, “¿Podría este paso
provocar un accidente o lesión?” Considere estas condiciones al evaluar cada
paso del trabajo: • Golpeado contra - ¿puede el trabajador golpearse contra
algo (bordes filosos, objetos salientes, maquinaria, etc.)? • Golpeado por -
¿algo puede moverse y golpear al trabajador repentina o fuertemente? •
Contacto con - ¿puede el trabajador llegar en contacto con equipo bajo tensión
eléctrica o contenedores de químicos? • Ser tocado por - ¿puede algún agente
tales como soluciones calientes, fuego, arcos eléctricos, vapor, etc. llegar a
venir en contacto con el trabajador? • Atrapado en - ¿puede alguna parte del
cuerpo atraparse en un recinto o abertura de algún tipo? Engancharse en -
¿puede engancharse el trabajador en algún objeto que después podría jalarlo
adentro de maquinaria en movimiento? • Atrapado entre - ¿puede alguna parte
del cuerpo atraparse entre algo en movimiento y algo estacionario o entre dos
objetos en movimiento? • Caída del mismo nivel - ¿puede el trabajador
resbalarse o tropezarse en algo que resultaría en una caída? • Caída de otro
nivel - ¿puede el trabajador caerse de un nivel a otro debido a un resbalo o
tropiezo? • Esfuerzo Excesivo - ¿puede el trabajador lastimarse al levantar,
jalar, empujar, doblarse o cualquier otro movimiento.
Controlar Cada Peligro
En este paso se identifican las medidas de control para cada peligro y se
anotan en la próxima columna. La medida de control recomienda un
procedimiento laboral para eliminar o reducir accidentes o peligros potenciales.
Considere estos cinco puntos para cada peligro identificado: • Cambie el
procedimiento del trabajo – Lo que se necesita considerar es como cambiar el
equipo y el área de trabajo o proporcionar herramientas o equipo adicional para
hacer el trabajo más seguro. Tal vez puedan utilizarse recursos de ingeniería o
herramientas que disminuyen el trabajo para hacer seguro el trabajo o el área
de trabajo. La meta debe determinarse y se debe analizar las varias maneras
de lograr la meta de la manera más segura. • Cambie las condiciones físicas –
las condiciones físicas pueden incluir a herramientas, materiales y equipo que
tal vez no sean apropiados al trabajo. Controles tales como los administrativos
o los de ingeniería pueden corregir el problema. Por ejemplo, el adquirir
producto en paquetes más pequeños si es que se requiere mucha fuerza para
levantar o el volver a diseñar el área de trabajo para mejorar la seguridad. •
Cambie los procedimientos laborales – Un ejemplo de cambios de
procedimientos laborales, para evitar quemaduras de un motor caliente, haga
mantenimiento al equipo antes de comenzar el turno en vez de al fin del turno.
Algunos cambios en los procedimientos tal vez causen otros peligros. Por eso,
se debe tomar mucha precaución al cambiar procedimientos. • Reducir la
frecuencia – La frecuencia se refiere al periodo de tiempo expuesto al peligro.
Cambios en los controles administrativos pueden reducir la frecuencia de
exposición en situaciones peligrosas. Por ejemplo, tal vez se le exija al
trabajador trabajar solamente dos horas en vez de cuatro en el ambiente de
mucho ruido
• Usar equipo de protección personal – el equipo de protección personal se
debe usar temporariamente y como último recurso para proteger a los
empleados de peligros
-Análisis de riesgos de operatividad en los procesos HAZOP
La metodología de Análisis Funcional de Operabilidad (o también HAZOP, de la
expresión inglesa " es una técnica de Análisis de Riesgo de Proceso (PHA)
basada en la premisa de que los riesgos, los accidentes o los problemas de
operabilidad, se producen como consecuencia de una desviación de las
variables de proceso con respecto a los parámetros normales de operación.
El análisis de riesgos HAZOP es adecuado tanto para una etapa de diseño,
como en la etapa de operación, evaluando en ambos casos las consecuencias
de posibles desviaciones en todas las unidades de proceso, tanto si es
continuo como discontinuo. La técnica consiste en analizar sistemáticamente
las causas y las consecuencias de unas desviaciones de las variables de
proceso, planteadas a través de unas "palabras guía".

¿Cuándo hacer un HAZOP?

Se utiliza para identificar y estudiar los riesgos de operaciones y procesos
potencialmente peligrosos. La metodología HAZOP es la técnica de análisis
más utilizada en el mundo en las industrias química, farmacéutica, petrolera y
nuclear. Se utiliza durante las fases de diseño de un nuevo proceso o proyecto,
en caso de modificaciones de gran calado y en la revisión periódica de las
operaciones existentes. Descargado por Jorge Humberto Martinez Manzanares
(jorgehumbertomartinezmanzanare@gmail.com) lOMoARcPSD|25724910 La
mayoría de las autoridades y aseguradoras solicitan a las empresas
operadoras realizar estudios y evaluaciones de riesgos durante el diseño de
una instalación, así como también antes de la construcción y durante la
operación. Las autoridades requieren que los estudios de riesgos sean
registrados y se realice un seguimiento, estando sujetos a auditorías y
aprobación administrativas. Aunque no existen estadísticas que soporten esta
afirmación, se cree que el análisis HAZOP es el método más empleado en la
prevención de daños por su sencillez, adaptabilidad, requisitos técnicos previos
del personal involucrado, así como por la implicación de distintos
departamentos involucrados en la seguridad de la planta.
Ventajas de un HAZOP
Identificación de fallos y problemas potenciales en instalaciones con riesgo alto
El HAZOP alienta a los equipos involucrados en la seguridad de una instalación
a considerar otras formas menos obvias en que se pueda producir una
desviación, no importa cuán improbable pueda parecer a primera vista,
ayudando a identificar los fallos y problemas potenciales, no identificados
previamente en el proyecto. No sólo permite mejorar la seguridad de una
instalación, sino que también sirve para poner de relieve los posibles
problemas de diseño y/o de operatividad en una fase temprana del desarrollo
del proyecto. También se emplea como herramienta eficaz para auditorías de
seguridad o identificación de riesgos de una instalación existente, o para
anticipar medidas de seguridad ante posibles cambios de un determinado
proceso. Es una buena ocasión para contrastar distintos puntos de vista de
una instalación Es una técnica sistemática que puede crear, desde el punto
de vista de la seguridad, hábitos metodológicos útiles. El coordinador mejora
su conocimiento del proceso No requiere prácticamente recursos
adicionales, con excepción del tiempo de dedicación.
-Listas de verificación
Las listas de verificación son herramientas que se utilizan para organizar
mejores tareas y para verificar fácilmente sus tareas más importantes. Han sido
diseñadas para reducir los errores y garantizar la coherencia y la integridad en
el cumplimiento de una tarea o proceso. Cuando tienes esas terribles semanas
con tantas cosas que hacer y tan poco tiempo, te encantaría tener una
herramienta que pudiese ayudarte a organizar y a administrar tu trabajo. Esa
herramienta es la humilde lista de verificación que generalmente se utiliza para
llevar a cabo verificaciones de rutina y para garantizar que el operador o la
persona a cargo de los controles de operación no omita ningún paso. ¿Qué es
una lista de verificación? Son listas diseñadas para la realización de
actividades repetitivas, ya que permiten controlar el cumplimiento de una lista
de requisitos o recopilar datos de forma ordenada y sistemática. Se utilizan
para realizar verificaciones estandarizadas de actividades o productos,
asegurándose de que el trabajador o inspector no olvide ningún punto
importante. ¿Para qué son las listas de verificación? Puede usar las listas de
verificación para las siguientes tareas: • Llevar a cabo actividades en las que es
importante que no se olvide ningún paso y que las tareas se realicen en un
orden establecido. Realizar inspecciones en terreno. Verificar o examinar
productos y/o procesos. Examinar o analizar la ubicación de los problemas.
Verificar las causas de los defectos. Verificar y analizar las distintas
operaciones. Recolectar datos para análisis futuros. ¿Por qué usar listas de
verificación? Cuando realizas una tarea que involucra varios pasos, es fácil
olvidarse de uno de ellos. Las listas de verificación ayudan a no olvidar ningún
punto. Entonces, si haces algo repetitivamente y quieres hacerlo bien cada vez,
una lista de verificación es una herramienta indispensable. Descargado por
Las listas de verificación ahorran tiempo, permiten delegar tareas y nos ayudan
a simplificar nuestras vidas y a que nuestros negocios sean más productivos.
¿Cómo usar las listas de verificación? Antes de crear listas de verificación,
debes saber lo que necesitas para crear una que sea fácil de usar y eficiente.
Aquí te mostramos algunos puntos. Las listas de verificación deben estar
claramente diseñadas e incluir todos los aspectos que pueden proporcionar
datos de interés para tu organización. Una lista de verificación efectiva debe
establecer claramente lo que debe verificarse, cuál es el criterio de
cumplimiento o no conformidad y la frecuencia del control o verificación.
También es importante tener una sección de observaciones para proporcionar
información adicional. Las listas de verificación también se usan para
informar sobre el estado de las operaciones y para evaluar los procesos de
producción y las gestiones de comercialización sin la necesidad de estadísticas
o gráficos más complejos. Cómo hacer una lista de verificación efectiva Cada
elemento debe ser claro y conciso. Esto facilitará su uso. Organiza los
elementos por categoría. Esto permitirá que los usuarios naveguen fácilmente
entre las diferentes secciones y encuentren rápidamente los ítems que
necesiten para su trabajo. Las listas deben ser fáciles de entender y usar.
Crea pasos simples que le recuerden al usuario los pasos a seguir.
-Análisis de mod falla y efecto (AMEF)
El Análisis del Modo y Efecto de Fallas, también conocido como AMEF o FMEA
por sus siglas en inglés (Failure Mode Effect Analysis), nació en Estados
Unidos a finales de la década del 40. Esta metodología desarrollada por la
NASA, se creó con el propósito de evaluar la confiabilidad de los equipos, en la
medida en que determina los efectos de las fallas de los mismos.
¿Qué es el AMEF?
El Análisis del Modo y Efecto de Fallas (AMEF), es un procedimiento que
permite identificar fallas en productos, procesos y sistemas, así como evaluar y
clasificar de manera objetiva sus efectos, causas y elementos de identificación,
para de esta forma, evitar su ocurrencia y tener un método documentado de
prevención.
¿Para qué tener un método documentado de prevención?
Una de las ventajas potenciales del AMEF, es que esta herramienta es un
documento dinámico, en el cual se puede recopilar y clasificar mucha
información acerca de los productos, procesos y el sistema en general. La
información es un capital invaluable de las organizaciones.
Tipos de AMEF
El procedimiento AMEF puede aplicarse a:
Productos: El AMEF aplicado a un producto sirve como herramienta
predictiva para detectar posibles fallas en el diseño, aumentando las
probabilidades de anticiparse a los efectos que pueden llegar a tener en el
usuario o en el proceso de producción.
Procesos: El AMEF aplicado a los procesos sirve como herramienta
predictiva para detectar posibles fallas en las etapas de producción,
aumentando las probabilidades de anticiparse a los efectos que puedan llegar a
tener en el usuario o en etapas posteriores de cada proceso.
Sistemas: El AMEF aplicado a sistemas sirve como herramienta predictiva para
detectar posibles fallas en el diseño del software, aumentando las
probabilidades de anticiparse a los efectos que pueden llegar a tener en su
funcionamiento.
Otros: El AMEF puede aplicarse a cualquier proceso en general en el que se
pretendan identificar, clasificar y prevenir fallas mediante el análisis de sus
efectos, y cuyas causas deban documentarse.
Ventajas potenciales de AMEF
Este procedimiento de análisis tiene una serie de ventajas potenciales
significativas, por ejemplo: Identificar las posibles fallas en un producto,
proceso o sistema. Conocer a fondo el producto, el proceso o el sistema.
Identificar los efectos que puede generar cada falla posible. Evaluar el nivel
de criticidad (gravedad) de los efectos. Identificar las causas posibles de las
fallas. Establecer niveles de confiabilidad para la detección de fallas.
Evaluar mediante indicadores específicos la relación entre: gravedad,
ocurrencia y detectabilidad. Documentar los planes de acción para minimizar
los riesgos. Identificar oportunidades de mejora. Generar Know-how.
Considerar la información del AMEF como recurso de capacitación en los
procesos. ¿Cuándo se debe implementar el AMEF? El AMEF es un
procedimiento que enriquece a las organizaciones, de manera que considerar
implementarlo no requiere de condiciones específicas de las operaciones. Sin
embargo, pueden detectarse situaciones en los cuales el AMEF es una
herramienta vital de soporte, por ejemplo:
Diseño de nuevos productos y/o servicios.
Diseño de procesos.
Programas de mantenimiento preventivo.
Etapas de documentación de procesos y productos.
Etapas de recopilación de información como recurso de formación.
Por exigencia de los clientes.
El AMEF es por excelencia la metodología propuesta como mecanismo de
acción preventivo en el diagnóstico y la implementación del Lean
Manufacturing. Este se activa por medio de los indicadores cuando se requiere
prevenir la generación de problemas.
Procedimiento para realizar el AMEF de un proceso – AMEFP
En primer lugar, debe considerarse que para desarrollar el AMEF se requiere
de un trabajo previo de recolección de información; en este caso el proceso
debe contar con documentación suficiente acerca de todos los elementos que
lo componen. El AMEF es un procedimiento sistemático cuyos pasos se
describen a continuación: 1. Desarrollar un mapa del proceso (Representación
gráfica de las operaciones). 2. Formar un equipo de trabajo (Team Kaizen),
documentar el proceso, el producto, etc. 3. Determinar los pasos críticos del
proceso. 4. Determinar las fallas potenciales de cada paso del proceso,
determinar sus efectos y evaluar su nivel de gravedad (severidad). 5. Indicar
las causas de cada falla y evaluar la ocurrencia de las fallas. 6. Indicar los
controles (medidas de detección) que se tienen para detectar fallas y
evaluarlas. 7. Obtener el número de prioridad de riesgo para cada falla y tomar
decisiones. 8. Ejecutar acciones preventivas, correctivas o de mejora.
Desarrollar un mapa del proceso En este paso se busca representar
gráficamente los pasos del proceso.
Análisis por el método de árbol de fallas
¿Qué es el análisis de árbol de fallos?
El análisis de árbol de fallos o un FTA (del inglés “fault-tree analysis”), es un
análisis sistemático que permite identificar la causa raíz de un fallo a través de
un diagrama. Un árbol de fallos permite el análisis de una sola ocurrencia
indeseada, pero también puede utilizarse sistemáticamente para evaluar el
funcionamiento de un conjunto de componentes, lo que hace que esta
herramienta sea muy versátil. Las herramientas de análisis de causa raíz más
parecidas al árbol de fallos son el diagrama de dependencia, el diagrama de
bloques funcionales y el análisis de Markov. El análisis del árbol de fallos y el
FMEA también se comparan frecuentemente, pero hay diferencias sustanciales
entre ambos.
¿Para qué sirve el análisis del árbol de fallos?
diagnosticar la causa raíz de un fallo entender cómo el sistema puede
fallar determinar los riesgos asociados con el sistema identificar medidas
para reducir el riesgo estimar la frecuencia de los accidentes de seguridad
¿Cuáles son las ventajas de hacer un árbol de fallos?
aumentar el cumplimiento de las normas de seguridad mapear la relación
entre los fallos y los subsistemas establecer prioridades para el sistema en
su conjunto implementar cambios en el proyecto aún en la fase conceptual
para reducir el riesgo

¿Cuáles son las limitaciones del árbol de fallos?

Ningún análisis de la causa raíz es infalible y el árbol de fallos también tiene
algunas limitaciones. Estas son algunas de las desventajas del FTA: se trata
de un modelo estático, que no tiene en cuenta el tiempo y la vida útil de los
activos, lo que puede ser importante cuando estamos analizando el sistema en
una fase de concepto o de proyecto; es un sistema binario – cada hipótesis
se valida o se descarta, correspondiendo a 1 o 0 – lo que lo hace muy «rígido»
cuando hay muchos condicionantes (el fallo sólo se produce en determinadas
situaciones) o fallos parciales; no siempre es posible determinar la
probabilidad de que se produzca un fallo, lo que hace imposible utilizar el FTA
como método cuantitativo. -Analizar diferentes mapas de riesgos ya
construidos para comprender sus elementos. Cómo realizar un mapa de
riesgos para tu empresa en 5 sencillos pasos
1. Establece quién hará el mapa de riesgos
Lo primero que necesitas hacer es establecer un equipo o una persona
responsable del mapa de riesgos empresarial. Puedes hacer un grupo
compuesto de personas de diferentes áreas de tu organización o de una sola
área en caso de que cuentes con un departamento de gestión de riesgos. Es
importante que las personas o persona responsable tenga claros los objetivos
de la compañía, que conozca el plan de negocios y entienda las amenazas en
procesos, proyectos, áreas u operaciones de la empresa.
2. Identifica los riesgos de tu empresa
Una vez elegida la persona o equipo, se definirá qué es un riesgo. Ya sea que
tú, alguien más o un equipo estén a cargo de la creación del mapa, deberán
recordar que una amenaza debe ser algo que, en caso de que pase, realmente
afectaría o impactaría la operación esencial de la empresa. Si ya cuentas con
una política de control de riesgos seguramente en dicha documentación tienes
bien definido qué es un riesgo; de no ser así, piensa en los aspectos más
importantes para tu empresa y en qué puede afectarla impactando su curso
natural. Del mismo modo considera todos los elementos que puedan conducir a
pérdidas económicas. Un riesgo es algo complejo que no tiene una solución
inmediata, su impacto será significativo para los objetivos de la empresa;
obstaculiza un proceso y tiene un grado de incertidumbre o probabilidad
(porque tal vez no pase) y un potencial amenazante para la empresa.
3. Evalúa los riesgos empresariales
Una vez que has identificado los riesgos, tú o las personas encargadas del
proceso deberán hacer una evaluación de ellos, tanto cuantitativamente (es
decir, con un número o una cifra) como cualitativamente (que afecta
propiedades o valores que pueden ser más relativos y que no son medibles).
En este punto puede servir realizar un análisis DAFO o FODA (fortalezas,
oportunidades, amenazas y debilidades); en caso de que ya tengas uno,
revísalo para nutrir tu mapa de riesgos. Para determinar el nivel de riesgo
evalúa la probabilidad del suceso, es decir, qué tan probable es que ese
suceso ocurra y analiza el nivel del impacto cuantitativo que tendría. Con esas
dos variables, multiplica el impacto por la probabilidad y ese será el nivel del
riesgo que considerarás. En otras palabras, a mayor impacto y probabilidad,
mayor nivel del riesgo.
4. Realiza la proyección gráfica de riesgos
Con toda la información anterior ya puede hacerse una representación visual o
gráfica de los entornos de amenaza; esto en sí será tu mapa de riesgos
empresarial. En una columna vertical tú o la(s) persona(s) a cargo indicarán la
probabilidad de que suceda (poco posible, posible, muy posible) y una
horizontal que mostrará el impacto (bajo, medio, crítico).
La persona encargada de la realización del mapa es quien establece los
niveles que crea convenientes; pueden ser más o menos, por ejemplo:
improbable, ocasional, moderado, constante; o para el impacto: insignificante,
menor, mayor, crítico o catastrófico.
5. Implementa los controles de riesgos
Cuando ya tienes tu mapa de riesgos, representas gráficamente de una forma
sencilla y clara los riesgos, su nivel, dónde se ubican y cuáles serán las
acciones. Viene la etapa de implementación de control de riesgos, es decir
planear: quiénes atenderán lo que nos indica el mapa, qué acciones concretas
y cómo se hará. También establece quién realizará el monitoreo y los
mecanismos para verificar que el riesgo ya no está o que ya hay un control, en
caso de que ocurra esa amenaza.

-Evaluar la estructura de reportes del análisis de riesgos.

Un enfoque utilizado en seguridad de la información consiste en la aplicación
de controles de seguridad como resultado de la evaluación y tratamiento de
riesgos. En esta publicación vamos a revisar los primeros cuatro pasos de
OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability
Evaluation), una opción para evaluar riesgos de seguridad en 8 pasos,
desarrollada por SEI (Software Engineering Institute) y con documentación
disponible de forma gratuita.
El uso de este y otros modelos similares es una forma preventiva de hacer
frente a los riesgos que continuamente se presentan, ya que tienen como
objetivo anticiparse a la materialización de amenazas identificadas. Para este
enfoque, el reto consiste en considerar todas aquellas amenazas que podrían
afectar de manera negativa los objetivos de una organización, haciendo un
análisis de riesgos para reducirlos hasta un nivel aceptable, utilizando para ello
(por ejemplo) una metodología como MAGERIT
1. Establecer criterios de medición del riesgo
El primer paso consiste en definir criterios que permitan conocer la postura de
la organización en cuanto a su propensión a los riesgos. Se trata de la base
para la evaluación, ya que sin esta actividad no se puede medir el grado en el
que la organización se ve afectada cuando se materializa una amenaza. El
método establece la creación de un conjunto de criterios cualitativos con las
cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:
Reputación/confianza del cliente
Financiera
Productividad
Seguridad/salud
 Multas/penas legales
Además, hay una última que el usuario puede definir, utilizada para una
preocupación específica de la empresa. Para cada criterio se deben generar
áreas de impacto, es decir, condiciones de cómo la organización se verá
afectada por algún incidente de seguridad. El impacto puede ser alto, medio o
2. Desarrollar un perfil de activos de información
La evaluación de riesgos que se desarrolla se enfoca en los activos de
información, es decir, los conocimientos o datos que tienen valor para la
organización. Se documentan las razones por la cuales se eligen y además se
debe realizar una descripción de los mismos. También, se debe asignar un
custodio a cada uno de estos activos de información, el responsable de definir
los requisitos de seguridad para los mismos: confidencialidad, integridad y
disponibilidad, de acuerdo a su criterio y experiencia. Se crea un perfil para
cada activo de información que los encargados de la evaluación consideren
como crítico, ya que forma la base para identificar amenazas y riesgos en
pasos subsecuentes.
3. Evalúa los riesgos empresariales
Una vez que has identificado los riesgos, tú o las personas encargadas del
proceso deberán hacer una evaluación de ellos, tanto cuantitativamente (es
decir, con un número o una cifra) como cualitativamente (que afecta
propiedades o valores que pueden ser más relativos y que no son medibles).
En este punto puede servir realizar un análisis DAFO o FODA (fortalezas,
oportunidades, amenazas y debilidades); en caso de que ya tengas uno,
revísalo para nutrir tu mapa de riesgos. Para determinar el nivel de riesgo
evalúa la probabilidad del suceso, es decir, qué tan probable es que ese
suceso ocurra y analiza el nivel del impacto cuantitativo que tendría. Con esas
dos variables, multiplica el impacto por la probabilidad y ese será el nivel del
riesgo que considerarás. En otras palabras, a mayor impacto y probabilidad,
mayor nivel del riesgo
4. Realiza la proyección gráfica de riesgos
Con toda la información anterior ya puede hacerse una representación visual o
gráfica de los entornos de amenaza; esto en sí será tu mapa de riesgos
empresarial. En una columna vertical tú o la(s) persona(s) a cargo indicarán la
probabilidad de que suceda (poco posible, posible, muy posible) y una
horizontal que mostrará el impacto (bajo, medio, crítico). La persona encargada
de la realización del mapa es quien establece los niveles que crea
convenientes; pueden ser más o menos, por ejemplo: improbable, ocasional,
moderado, constante; o para el impacto: insignificante, menor, mayor, crítico o
catastrófico. Esto te va a generar un mapa de calor que puedes marcar con
colores. Por ejemplo, verde si está en los cuadrantes poco posible-impacto
bajo, posibleimpacto bajo, poco posible-impacto medio; en amarillo, si es muy
posible-impacto bajo, posible-impacto medio, poco posible-impacto crítico; y
rojo para posibleimpacto crítico, muy posible-impacto medio, muy posible-
impacto crítico.

5. Implementa los controles de riesgos

Cuando ya tienes tu mapa de riesgos, representas gráficamente de una forma
sencilla y clara los riesgos, su nivel, dónde se ubican y cuáles serán las
acciones. Descargado por Viene la etapa de implementación de control de
riesgos, es decir planear: quiénes atenderán lo que nos indica el mapa, qué
acciones concretas y cómo se hará. También establece quién realizará el
monitoreo y los mecanismos para verificar que el riesgo ya no está o que ya
hay un control, en caso de que ocurra esa amenaza.

Jorge Humberto Martinez Manzanares

30/10/2002