0 calificaciones0% encontró este documento útil (0 votos)
10 vistas16 páginas
El documento habla sobre el diagnóstico de seguridad y salud en el trabajo (STPS) en México. Según la regulación, un diagnóstico STPS identifica peligros físicos, químicos, biológicos, ergonómicos o psicosociales y requisitos de seguridad aplicables. El objetivo es examinar todo lo que podría dañar a los trabajadores. Se recomienda identificar peligros por área y puesto de trabajo, detectar posibles daños, evaluar riesgos e implementar medidas preventivas.
El documento habla sobre el diagnóstico de seguridad y salud en el trabajo (STPS) en México. Según la regulación, un diagnóstico STPS identifica peligros físicos, químicos, biológicos, ergonómicos o psicosociales y requisitos de seguridad aplicables. El objetivo es examinar todo lo que podría dañar a los trabajadores. Se recomienda identificar peligros por área y puesto de trabajo, detectar posibles daños, evaluar riesgos e implementar medidas preventivas.
El documento habla sobre el diagnóstico de seguridad y salud en el trabajo (STPS) en México. Según la regulación, un diagnóstico STPS identifica peligros físicos, químicos, biológicos, ergonómicos o psicosociales y requisitos de seguridad aplicables. El objetivo es examinar todo lo que podría dañar a los trabajadores. Se recomienda identificar peligros por área y puesto de trabajo, detectar posibles daños, evaluar riesgos e implementar medidas preventivas.
Según el Reglamento Federal de Seguridad y Salud en el Trabajo de México a
la identificación de las Condiciones Inseguras o Condiciones Peligrosas de los agentes físicos, químicos o biológicos o de los Factores de Riesgo Ergonómico o Factores de Riesgo Psicosocial capaces de modificar las condiciones del ambiente laboral. De los peligros circundantes al Centro de Trabajo, así como de los requerimientos normativos en materia de Seguridad y Salud en el Trabajo que resulten aplicables, se le denomina Diagnóstico de Seguridad y Salud en el Trabajo. El objetivo de desarrollar un diagnóstico es examinar detalladamente todo lo que podría dañar a los trabajadores. Incluso, especialistas consideran que las fuentes de información se encuentran en todo el espacio de trabajo. Por ejemplo, no debes olvidar preguntar al personal su percepción de sus actividades. Además, considera los siguientes pasos: Identifica los peligros por áreas y/o puestos. Detecta el tipo de daños posibles y quiénes son más susceptibles a padecerlos. Evalúa los riesgos para identificar medidas preventivas. Documenta y reporta tus hallazgos. Planifica las acciones a realizar para reducir accidentes o enfermedades. Actualiza constantemente tu diagnóstico inicial. Al considerar estos puntos, cumplirás con los requisitos de un entorno de trabajo seguro y saludable. Además, tendrás grandes beneficios como una reducción considerable de los accidentes que reportes. Incluso, podría mejorar la productividad de tus trabajadores, quienes tendrán más confianza en las acciones que desempeñan. Si deseas generar un diagnóstico de tus actividades, llama a CESE Consultores. Nosotros podremos ayudar a mejorar tus procesos productivos con buenas medidas de seguridad y salud. ¡Contáctanos! Seguro podremos ayudarte -Investigación de accidentes e incidentes La diferencia entre accidente e incidente radica en daño real o potencial que pueden causar. Un accidente es un suceso que genera daños materiales o humanos de diversa gravedad. Mientras que un incidente es un evento que podría generar daños o no, y que podría ocasionar un accidente en el futuro si no se corrigen las fallas que lo originaron. Los términos accidenten e incidente son utilizados en el ámbito de la seguridad industrial, el área encargada de crear las normas para prevenir o disminuir el riesgo de daños en el área de trabajo. Accidente laboral En el ámbito de la seguridad industrial se utiliza el término accidente laboral para referirse a los daños que pueda sufrir un trabajador durante el cumplimiento de su labor. Las delimitaciones de esta definición corresponden a las leyes de cada país y a las autoridades locales en materia de protección de los trabajadores. Un accidente laboral puede ser ocasionado por otro trabajador, por maquinaria o materiales de la empresa o por unas circunstancias fortuitas. Tendrá esta denominación siempre y cuando tenga que ver con la ejecución de una tarea asignada u ocurra dentro de las instalaciones de la empresa. También se considera accidente laboral a los daños que pueda sufrir el empleado en el trayecto desde y hacia su trabajo. Cuando el trabajador sufre daños causados por su imprudencia o incumplimiento de las medidas de seguridad industrial, se considera un accidente no laboral. En este caso, la empresa es libre de tomar las acciones que considere adecuadas, ya que no tiene responsabilidad alguna con el trabajador. Ejemplos de accidente laboral Algunos accidentes laborales incluyen el desarrollo de patologías ocasionadas por la ausencia o deterioro de los equipos de trabajo, o por la forma de ejecutar el trabajo, como, por ejemplo: dolencias lumbares por la utilización de sillas no adecuadas. Desarrollo o agudización de condiciones respiratorias o de otra naturaleza por la inhalación de sustancias químicas. Caídas por suelo resbaloso o escaleras en mal estado en las instalaciones laborales. Incidente laboral En el área de la seguridad industrial, los incidentes laborales son situaciones de consecuencias leves, pero que tienen el potencial de convertirse en accidentes. Su definición y alcance depende de los organismos y normas industriales de cada país. Por esta razón es tan importante la aplicación de las normas de prevención de accidentes. Un incidente inadvertido o no reportado puede convertirse en un accidente laboral con graves consecuencias para el trabajador y la empresa. Ejemplos de incidente laboral Entre los incidentes laborales más comunes, están: derrames de líquido en el suelo de las instalaciones (podrían generar accidentes laborales como resbalones o caídas). Deterioro de los implementos de trabajo (sillas en mal estado, lámparas flojas, materiales químicos por vencerse, etc.) Deterioro de las instalaciones (escaleras dañadas, intermitencias eléctricas, etc.).
-Inspecciones planeadas y no planeadas.
Las inspecciones de seguridad cualquiera que sea sus modalidades (generales o parciales, internas o externas, voluntarias u obligatorias, oficiales), puede realizarse mediante una programación, estableciendo previamente un calendario: planificadas o sin fechas, informales, sin previo aviso o motivadas por alguna circunstancia especial; inspecciones no planificadas. Las inspecciones planificadas permiten una mayor preparación y son más eficaces porque tanto en inspector como el inspeccionado pueden prepararlas mejor. Sin embargo, las no planificadas tienen la ventaja de mostrar un cuadro más real pero el inconveniente de ser peor recibidas y, en ocasiones fallidas. La observación del trabajo como técnica incluida en la inspección o técnica aparte puede, sin embargo, planificarse previamente, pero es más eficaz si se aprovecha el factor sorpresa, es decir, si no se planifica. Las inspecciones generales pueden obedecer a un programa establecido o a multitud de razones. Las inspecciones parciales o específicas de ciertos equipos o instalaciones tienen que ajustarse, en ocasiones, a los periodos de desgastes y al uso de dichos equipos por lo que generalmente se trata de inspección periódicas. Las inspecciones reglamentarias tienen siempre establecidas los plazos en la normativa que sea de aplicación. Sin embargo, ciertas inspecciones oficiales (visitas de la inspección), suelen ser sin previo aviso o tener un carácter aperiódico (un accidente). En las inspecciones generales se realiza un seguimiento planificado a través de un área completa. La Inspección General observa todo con el fin de buscar exposiciones a riesgos. Un programa de Inspección General Planificada deberá incluir las siguientes características: Determinación de las áreas de inspección: Incluir la inspección de todas las áreas de operación, mantenimiento, maquinaria, almacenaje y oficinas. Asignación de responsabilidades: Deberán incluir a las personas con mayor conocimiento de cada área. Determinación de la frecuencia: Normalmente las inspecciones deberán llevarse a cabo trimestralmente o incluso mensualmente. frecuencia dependerá de la cantidad de la actividad laboral, el número de personas y el nivel relativo de riesgo de área. En la inspección planeada del trabajo, se suele descomponer el trabajo en fases, las cuales se evaluarán y estudiarán con el objetivo de poder identificar peligros y disfunciones y posteriormente adoptar medidas de control necesarias. Es un instrumento para observar condiciones y prácticas de una manera organizada y sistemática, y permite: Determinar necesidades de formación e información del personal. Identificar prácticas que pudieran provocar accidentes o ineficacias. Destacar los comportamientos del personal para el reconocimiento y reforzamiento. Verificar que los métodos y procedimientos de trabajo o tarea existentes son los adecuados. -Análisis de seguridad en el trabajo La mayoría de los programas de seguridad se consideran reactivos, una medida en respuesta a un incidente (por ejemplo, la administración de primeros auxilios después de una lesión). Sin embargo, un análisis de seguridad en el trabajo (JSA, por sus siglas en inglés) se considera como enfoque activo a la seguridad en el trabajo. Un JSA puede llamarse Análisis de Peligros en el Trabajo. Un JSA es una herramienta usada para aumentar la seguridad en el trabajo mediante: El identificar los peligros o peligros potenciales asociados con cada paso de un trabajo El encontrar medidas eficaces de control para prevenir o eliminar la exposición Dividir el trabajo en pasos básicos Una vez seleccionado un trabajo, se inicia un JSA. Cada paso del trabajo siendo considerado se anota en la primera columna de la hoja de trabajo del JSA. Los pasos se anotan por orden de acontecimiento junto con una descripción breve. El análisis no debe ser tan detallado que resulte en un número grande de pasos, ni tan generalizado que se omiten pasos básicos. Si hay más de quince pasos, el trabajo debe dividirse en más de un JSA. Un trabajador con experiencia debe ayudar a dividir el trabajo en pasos. Por lo menos una otra persona debe observar la ejecución del trabajo bajo condiciones y horas normales. Se les debe explicar a estos trabajadores el propósito y aspectos prácticos de un JSA. Una vez divido el trabajo en pasos, todas las personas participando deben repasar y aprobar la lista. Identificar los peligros dentro de cada paso Cada paso se analiza para peligros existentes y potenciales. Después, el peligro se anota en la segunda columna de la hoja de trabajo que corresponde a su paso del trabajo. Al identificar peligros, todas las posibilidades lógicas deben considerarse. La pregunta principal que hay que hacer al evaluar cada paso es, “¿Podría este paso provocar un accidente o lesión?” Considere estas condiciones al evaluar cada paso del trabajo: • Golpeado contra - ¿puede el trabajador golpearse contra algo (bordes filosos, objetos salientes, maquinaria, etc.)? • Golpeado por - ¿algo puede moverse y golpear al trabajador repentina o fuertemente? • Contacto con - ¿puede el trabajador llegar en contacto con equipo bajo tensión eléctrica o contenedores de químicos? • Ser tocado por - ¿puede algún agente tales como soluciones calientes, fuego, arcos eléctricos, vapor, etc. llegar a venir en contacto con el trabajador? • Atrapado en - ¿puede alguna parte del cuerpo atraparse en un recinto o abertura de algún tipo? Engancharse en - ¿puede engancharse el trabajador en algún objeto que después podría jalarlo adentro de maquinaria en movimiento? • Atrapado entre - ¿puede alguna parte del cuerpo atraparse entre algo en movimiento y algo estacionario o entre dos objetos en movimiento? • Caída del mismo nivel - ¿puede el trabajador resbalarse o tropezarse en algo que resultaría en una caída? • Caída de otro nivel - ¿puede el trabajador caerse de un nivel a otro debido a un resbalo o tropiezo? • Esfuerzo Excesivo - ¿puede el trabajador lastimarse al levantar, jalar, empujar, doblarse o cualquier otro movimiento. Controlar Cada Peligro En este paso se identifican las medidas de control para cada peligro y se anotan en la próxima columna. La medida de control recomienda un procedimiento laboral para eliminar o reducir accidentes o peligros potenciales. Considere estos cinco puntos para cada peligro identificado: • Cambie el procedimiento del trabajo – Lo que se necesita considerar es como cambiar el equipo y el área de trabajo o proporcionar herramientas o equipo adicional para hacer el trabajo más seguro. Tal vez puedan utilizarse recursos de ingeniería o herramientas que disminuyen el trabajo para hacer seguro el trabajo o el área de trabajo. La meta debe determinarse y se debe analizar las varias maneras de lograr la meta de la manera más segura. • Cambie las condiciones físicas – las condiciones físicas pueden incluir a herramientas, materiales y equipo que tal vez no sean apropiados al trabajo. Controles tales como los administrativos o los de ingeniería pueden corregir el problema. Por ejemplo, el adquirir producto en paquetes más pequeños si es que se requiere mucha fuerza para levantar o el volver a diseñar el área de trabajo para mejorar la seguridad. • Cambie los procedimientos laborales – Un ejemplo de cambios de procedimientos laborales, para evitar quemaduras de un motor caliente, haga mantenimiento al equipo antes de comenzar el turno en vez de al fin del turno. Algunos cambios en los procedimientos tal vez causen otros peligros. Por eso, se debe tomar mucha precaución al cambiar procedimientos. • Reducir la frecuencia – La frecuencia se refiere al periodo de tiempo expuesto al peligro. Cambios en los controles administrativos pueden reducir la frecuencia de exposición en situaciones peligrosas. Por ejemplo, tal vez se le exija al trabajador trabajar solamente dos horas en vez de cuatro en el ambiente de mucho ruido • Usar equipo de protección personal – el equipo de protección personal se debe usar temporariamente y como último recurso para proteger a los empleados de peligros -Análisis de riesgos de operatividad en los procesos HAZOP La metodología de Análisis Funcional de Operabilidad (o también HAZOP, de la expresión inglesa " es una técnica de Análisis de Riesgo de Proceso (PHA) basada en la premisa de que los riesgos, los accidentes o los problemas de operabilidad, se producen como consecuencia de una desviación de las variables de proceso con respecto a los parámetros normales de operación. El análisis de riesgos HAZOP es adecuado tanto para una etapa de diseño, como en la etapa de operación, evaluando en ambos casos las consecuencias de posibles desviaciones en todas las unidades de proceso, tanto si es continuo como discontinuo. La técnica consiste en analizar sistemáticamente las causas y las consecuencias de unas desviaciones de las variables de proceso, planteadas a través de unas "palabras guía".
¿Cuándo hacer un HAZOP?
Se utiliza para identificar y estudiar los riesgos de operaciones y procesos potencialmente peligrosos. La metodología HAZOP es la técnica de análisis más utilizada en el mundo en las industrias química, farmacéutica, petrolera y nuclear. Se utiliza durante las fases de diseño de un nuevo proceso o proyecto, en caso de modificaciones de gran calado y en la revisión periódica de las operaciones existentes. Descargado por Jorge Humberto Martinez Manzanares (jorgehumbertomartinezmanzanare@gmail.com) lOMoARcPSD|25724910 La mayoría de las autoridades y aseguradoras solicitan a las empresas operadoras realizar estudios y evaluaciones de riesgos durante el diseño de una instalación, así como también antes de la construcción y durante la operación. Las autoridades requieren que los estudios de riesgos sean registrados y se realice un seguimiento, estando sujetos a auditorías y aprobación administrativas. Aunque no existen estadísticas que soporten esta afirmación, se cree que el análisis HAZOP es el método más empleado en la prevención de daños por su sencillez, adaptabilidad, requisitos técnicos previos del personal involucrado, así como por la implicación de distintos departamentos involucrados en la seguridad de la planta. Ventajas de un HAZOP Identificación de fallos y problemas potenciales en instalaciones con riesgo alto El HAZOP alienta a los equipos involucrados en la seguridad de una instalación a considerar otras formas menos obvias en que se pueda producir una desviación, no importa cuán improbable pueda parecer a primera vista, ayudando a identificar los fallos y problemas potenciales, no identificados previamente en el proyecto. No sólo permite mejorar la seguridad de una instalación, sino que también sirve para poner de relieve los posibles problemas de diseño y/o de operatividad en una fase temprana del desarrollo del proyecto. También se emplea como herramienta eficaz para auditorías de seguridad o identificación de riesgos de una instalación existente, o para anticipar medidas de seguridad ante posibles cambios de un determinado proceso. Es una buena ocasión para contrastar distintos puntos de vista de una instalación Es una técnica sistemática que puede crear, desde el punto de vista de la seguridad, hábitos metodológicos útiles. El coordinador mejora su conocimiento del proceso No requiere prácticamente recursos adicionales, con excepción del tiempo de dedicación. -Listas de verificación Las listas de verificación son herramientas que se utilizan para organizar mejores tareas y para verificar fácilmente sus tareas más importantes. Han sido diseñadas para reducir los errores y garantizar la coherencia y la integridad en el cumplimiento de una tarea o proceso. Cuando tienes esas terribles semanas con tantas cosas que hacer y tan poco tiempo, te encantaría tener una herramienta que pudiese ayudarte a organizar y a administrar tu trabajo. Esa herramienta es la humilde lista de verificación que generalmente se utiliza para llevar a cabo verificaciones de rutina y para garantizar que el operador o la persona a cargo de los controles de operación no omita ningún paso. ¿Qué es una lista de verificación? Son listas diseñadas para la realización de actividades repetitivas, ya que permiten controlar el cumplimiento de una lista de requisitos o recopilar datos de forma ordenada y sistemática. Se utilizan para realizar verificaciones estandarizadas de actividades o productos, asegurándose de que el trabajador o inspector no olvide ningún punto importante. ¿Para qué son las listas de verificación? Puede usar las listas de verificación para las siguientes tareas: • Llevar a cabo actividades en las que es importante que no se olvide ningún paso y que las tareas se realicen en un orden establecido. Realizar inspecciones en terreno. Verificar o examinar productos y/o procesos. Examinar o analizar la ubicación de los problemas. Verificar las causas de los defectos. Verificar y analizar las distintas operaciones. Recolectar datos para análisis futuros. ¿Por qué usar listas de verificación? Cuando realizas una tarea que involucra varios pasos, es fácil olvidarse de uno de ellos. Las listas de verificación ayudan a no olvidar ningún punto. Entonces, si haces algo repetitivamente y quieres hacerlo bien cada vez, una lista de verificación es una herramienta indispensable. Descargado por Las listas de verificación ahorran tiempo, permiten delegar tareas y nos ayudan a simplificar nuestras vidas y a que nuestros negocios sean más productivos. ¿Cómo usar las listas de verificación? Antes de crear listas de verificación, debes saber lo que necesitas para crear una que sea fácil de usar y eficiente. Aquí te mostramos algunos puntos. Las listas de verificación deben estar claramente diseñadas e incluir todos los aspectos que pueden proporcionar datos de interés para tu organización. Una lista de verificación efectiva debe establecer claramente lo que debe verificarse, cuál es el criterio de cumplimiento o no conformidad y la frecuencia del control o verificación. También es importante tener una sección de observaciones para proporcionar información adicional. Las listas de verificación también se usan para informar sobre el estado de las operaciones y para evaluar los procesos de producción y las gestiones de comercialización sin la necesidad de estadísticas o gráficos más complejos. Cómo hacer una lista de verificación efectiva Cada elemento debe ser claro y conciso. Esto facilitará su uso. Organiza los elementos por categoría. Esto permitirá que los usuarios naveguen fácilmente entre las diferentes secciones y encuentren rápidamente los ítems que necesiten para su trabajo. Las listas deben ser fáciles de entender y usar. Crea pasos simples que le recuerden al usuario los pasos a seguir. -Análisis de mod falla y efecto (AMEF) El Análisis del Modo y Efecto de Fallas, también conocido como AMEF o FMEA por sus siglas en inglés (Failure Mode Effect Analysis), nació en Estados Unidos a finales de la década del 40. Esta metodología desarrollada por la NASA, se creó con el propósito de evaluar la confiabilidad de los equipos, en la medida en que determina los efectos de las fallas de los mismos. ¿Qué es el AMEF? El Análisis del Modo y Efecto de Fallas (AMEF), es un procedimiento que permite identificar fallas en productos, procesos y sistemas, así como evaluar y clasificar de manera objetiva sus efectos, causas y elementos de identificación, para de esta forma, evitar su ocurrencia y tener un método documentado de prevención. ¿Para qué tener un método documentado de prevención? Una de las ventajas potenciales del AMEF, es que esta herramienta es un documento dinámico, en el cual se puede recopilar y clasificar mucha información acerca de los productos, procesos y el sistema en general. La información es un capital invaluable de las organizaciones. Tipos de AMEF El procedimiento AMEF puede aplicarse a: Productos: El AMEF aplicado a un producto sirve como herramienta predictiva para detectar posibles fallas en el diseño, aumentando las probabilidades de anticiparse a los efectos que pueden llegar a tener en el usuario o en el proceso de producción. Procesos: El AMEF aplicado a los procesos sirve como herramienta predictiva para detectar posibles fallas en las etapas de producción, aumentando las probabilidades de anticiparse a los efectos que puedan llegar a tener en el usuario o en etapas posteriores de cada proceso. Sistemas: El AMEF aplicado a sistemas sirve como herramienta predictiva para detectar posibles fallas en el diseño del software, aumentando las probabilidades de anticiparse a los efectos que pueden llegar a tener en su funcionamiento. Otros: El AMEF puede aplicarse a cualquier proceso en general en el que se pretendan identificar, clasificar y prevenir fallas mediante el análisis de sus efectos, y cuyas causas deban documentarse. Ventajas potenciales de AMEF Este procedimiento de análisis tiene una serie de ventajas potenciales significativas, por ejemplo: Identificar las posibles fallas en un producto, proceso o sistema. Conocer a fondo el producto, el proceso o el sistema. Identificar los efectos que puede generar cada falla posible. Evaluar el nivel de criticidad (gravedad) de los efectos. Identificar las causas posibles de las fallas. Establecer niveles de confiabilidad para la detección de fallas. Evaluar mediante indicadores específicos la relación entre: gravedad, ocurrencia y detectabilidad. Documentar los planes de acción para minimizar los riesgos. Identificar oportunidades de mejora. Generar Know-how. Considerar la información del AMEF como recurso de capacitación en los procesos. ¿Cuándo se debe implementar el AMEF? El AMEF es un procedimiento que enriquece a las organizaciones, de manera que considerar implementarlo no requiere de condiciones específicas de las operaciones. Sin embargo, pueden detectarse situaciones en los cuales el AMEF es una herramienta vital de soporte, por ejemplo: Diseño de nuevos productos y/o servicios. Diseño de procesos. Programas de mantenimiento preventivo. Etapas de documentación de procesos y productos. Etapas de recopilación de información como recurso de formación. Por exigencia de los clientes. El AMEF es por excelencia la metodología propuesta como mecanismo de acción preventivo en el diagnóstico y la implementación del Lean Manufacturing. Este se activa por medio de los indicadores cuando se requiere prevenir la generación de problemas. Procedimiento para realizar el AMEF de un proceso – AMEFP En primer lugar, debe considerarse que para desarrollar el AMEF se requiere de un trabajo previo de recolección de información; en este caso el proceso debe contar con documentación suficiente acerca de todos los elementos que lo componen. El AMEF es un procedimiento sistemático cuyos pasos se describen a continuación: 1. Desarrollar un mapa del proceso (Representación gráfica de las operaciones). 2. Formar un equipo de trabajo (Team Kaizen), documentar el proceso, el producto, etc. 3. Determinar los pasos críticos del proceso. 4. Determinar las fallas potenciales de cada paso del proceso, determinar sus efectos y evaluar su nivel de gravedad (severidad). 5. Indicar las causas de cada falla y evaluar la ocurrencia de las fallas. 6. Indicar los controles (medidas de detección) que se tienen para detectar fallas y evaluarlas. 7. Obtener el número de prioridad de riesgo para cada falla y tomar decisiones. 8. Ejecutar acciones preventivas, correctivas o de mejora. Desarrollar un mapa del proceso En este paso se busca representar gráficamente los pasos del proceso. Análisis por el método de árbol de fallas ¿Qué es el análisis de árbol de fallos? El análisis de árbol de fallos o un FTA (del inglés “fault-tree analysis”), es un análisis sistemático que permite identificar la causa raíz de un fallo a través de un diagrama. Un árbol de fallos permite el análisis de una sola ocurrencia indeseada, pero también puede utilizarse sistemáticamente para evaluar el funcionamiento de un conjunto de componentes, lo que hace que esta herramienta sea muy versátil. Las herramientas de análisis de causa raíz más parecidas al árbol de fallos son el diagrama de dependencia, el diagrama de bloques funcionales y el análisis de Markov. El análisis del árbol de fallos y el FMEA también se comparan frecuentemente, pero hay diferencias sustanciales entre ambos. ¿Para qué sirve el análisis del árbol de fallos? diagnosticar la causa raíz de un fallo entender cómo el sistema puede fallar determinar los riesgos asociados con el sistema identificar medidas para reducir el riesgo estimar la frecuencia de los accidentes de seguridad ¿Cuáles son las ventajas de hacer un árbol de fallos? aumentar el cumplimiento de las normas de seguridad mapear la relación entre los fallos y los subsistemas establecer prioridades para el sistema en su conjunto implementar cambios en el proyecto aún en la fase conceptual para reducir el riesgo
¿Cuáles son las limitaciones del árbol de fallos?
Ningún análisis de la causa raíz es infalible y el árbol de fallos también tiene algunas limitaciones. Estas son algunas de las desventajas del FTA: se trata de un modelo estático, que no tiene en cuenta el tiempo y la vida útil de los activos, lo que puede ser importante cuando estamos analizando el sistema en una fase de concepto o de proyecto; es un sistema binario – cada hipótesis se valida o se descarta, correspondiendo a 1 o 0 – lo que lo hace muy «rígido» cuando hay muchos condicionantes (el fallo sólo se produce en determinadas situaciones) o fallos parciales; no siempre es posible determinar la probabilidad de que se produzca un fallo, lo que hace imposible utilizar el FTA como método cuantitativo. -Analizar diferentes mapas de riesgos ya construidos para comprender sus elementos. Cómo realizar un mapa de riesgos para tu empresa en 5 sencillos pasos 1. Establece quién hará el mapa de riesgos Lo primero que necesitas hacer es establecer un equipo o una persona responsable del mapa de riesgos empresarial. Puedes hacer un grupo compuesto de personas de diferentes áreas de tu organización o de una sola área en caso de que cuentes con un departamento de gestión de riesgos. Es importante que las personas o persona responsable tenga claros los objetivos de la compañía, que conozca el plan de negocios y entienda las amenazas en procesos, proyectos, áreas u operaciones de la empresa. 2. Identifica los riesgos de tu empresa Una vez elegida la persona o equipo, se definirá qué es un riesgo. Ya sea que tú, alguien más o un equipo estén a cargo de la creación del mapa, deberán recordar que una amenaza debe ser algo que, en caso de que pase, realmente afectaría o impactaría la operación esencial de la empresa. Si ya cuentas con una política de control de riesgos seguramente en dicha documentación tienes bien definido qué es un riesgo; de no ser así, piensa en los aspectos más importantes para tu empresa y en qué puede afectarla impactando su curso natural. Del mismo modo considera todos los elementos que puedan conducir a pérdidas económicas. Un riesgo es algo complejo que no tiene una solución inmediata, su impacto será significativo para los objetivos de la empresa; obstaculiza un proceso y tiene un grado de incertidumbre o probabilidad (porque tal vez no pase) y un potencial amenazante para la empresa. 3. Evalúa los riesgos empresariales Una vez que has identificado los riesgos, tú o las personas encargadas del proceso deberán hacer una evaluación de ellos, tanto cuantitativamente (es decir, con un número o una cifra) como cualitativamente (que afecta propiedades o valores que pueden ser más relativos y que no son medibles). En este punto puede servir realizar un análisis DAFO o FODA (fortalezas, oportunidades, amenazas y debilidades); en caso de que ya tengas uno, revísalo para nutrir tu mapa de riesgos. Para determinar el nivel de riesgo evalúa la probabilidad del suceso, es decir, qué tan probable es que ese suceso ocurra y analiza el nivel del impacto cuantitativo que tendría. Con esas dos variables, multiplica el impacto por la probabilidad y ese será el nivel del riesgo que considerarás. En otras palabras, a mayor impacto y probabilidad, mayor nivel del riesgo. 4. Realiza la proyección gráfica de riesgos Con toda la información anterior ya puede hacerse una representación visual o gráfica de los entornos de amenaza; esto en sí será tu mapa de riesgos empresarial. En una columna vertical tú o la(s) persona(s) a cargo indicarán la probabilidad de que suceda (poco posible, posible, muy posible) y una horizontal que mostrará el impacto (bajo, medio, crítico). La persona encargada de la realización del mapa es quien establece los niveles que crea convenientes; pueden ser más o menos, por ejemplo: improbable, ocasional, moderado, constante; o para el impacto: insignificante, menor, mayor, crítico o catastrófico. 5. Implementa los controles de riesgos Cuando ya tienes tu mapa de riesgos, representas gráficamente de una forma sencilla y clara los riesgos, su nivel, dónde se ubican y cuáles serán las acciones. Viene la etapa de implementación de control de riesgos, es decir planear: quiénes atenderán lo que nos indica el mapa, qué acciones concretas y cómo se hará. También establece quién realizará el monitoreo y los mecanismos para verificar que el riesgo ya no está o que ya hay un control, en caso de que ocurra esa amenaza.
-Evaluar la estructura de reportes del análisis de riesgos.
Un enfoque utilizado en seguridad de la información consiste en la aplicación de controles de seguridad como resultado de la evaluación y tratamiento de riesgos. En esta publicación vamos a revisar los primeros cuatro pasos de OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation), una opción para evaluar riesgos de seguridad en 8 pasos, desarrollada por SEI (Software Engineering Institute) y con documentación disponible de forma gratuita. El uso de este y otros modelos similares es una forma preventiva de hacer frente a los riesgos que continuamente se presentan, ya que tienen como objetivo anticiparse a la materialización de amenazas identificadas. Para este enfoque, el reto consiste en considerar todas aquellas amenazas que podrían afectar de manera negativa los objetivos de una organización, haciendo un análisis de riesgos para reducirlos hasta un nivel aceptable, utilizando para ello (por ejemplo) una metodología como MAGERIT 1. Establecer criterios de medición del riesgo El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza. El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías: Reputación/confianza del cliente Financiera Productividad Seguridad/salud Multas/penas legales Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa. Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o 2. Desarrollar un perfil de activos de información La evaluación de riesgos que se desarrolla se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos. También, se debe asignar un custodio a cada uno de estos activos de información, el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia. Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. 3. Evalúa los riesgos empresariales Una vez que has identificado los riesgos, tú o las personas encargadas del proceso deberán hacer una evaluación de ellos, tanto cuantitativamente (es decir, con un número o una cifra) como cualitativamente (que afecta propiedades o valores que pueden ser más relativos y que no son medibles). En este punto puede servir realizar un análisis DAFO o FODA (fortalezas, oportunidades, amenazas y debilidades); en caso de que ya tengas uno, revísalo para nutrir tu mapa de riesgos. Para determinar el nivel de riesgo evalúa la probabilidad del suceso, es decir, qué tan probable es que ese suceso ocurra y analiza el nivel del impacto cuantitativo que tendría. Con esas dos variables, multiplica el impacto por la probabilidad y ese será el nivel del riesgo que considerarás. En otras palabras, a mayor impacto y probabilidad, mayor nivel del riesgo 4. Realiza la proyección gráfica de riesgos Con toda la información anterior ya puede hacerse una representación visual o gráfica de los entornos de amenaza; esto en sí será tu mapa de riesgos empresarial. En una columna vertical tú o la(s) persona(s) a cargo indicarán la probabilidad de que suceda (poco posible, posible, muy posible) y una horizontal que mostrará el impacto (bajo, medio, crítico). La persona encargada de la realización del mapa es quien establece los niveles que crea convenientes; pueden ser más o menos, por ejemplo: improbable, ocasional, moderado, constante; o para el impacto: insignificante, menor, mayor, crítico o catastrófico. Esto te va a generar un mapa de calor que puedes marcar con colores. Por ejemplo, verde si está en los cuadrantes poco posible-impacto bajo, posibleimpacto bajo, poco posible-impacto medio; en amarillo, si es muy posible-impacto bajo, posible-impacto medio, poco posible-impacto crítico; y rojo para posibleimpacto crítico, muy posible-impacto medio, muy posible- impacto crítico.
5. Implementa los controles de riesgos
Cuando ya tienes tu mapa de riesgos, representas gráficamente de una forma sencilla y clara los riesgos, su nivel, dónde se ubican y cuáles serán las acciones. Descargado por Viene la etapa de implementación de control de riesgos, es decir planear: quiénes atenderán lo que nos indica el mapa, qué acciones concretas y cómo se hará. También establece quién realizará el monitoreo y los mecanismos para verificar que el riesgo ya no está o que ya hay un control, en caso de que ocurra esa amenaza.