RIESGOS DE SEGURIDAD

A. INTRODUCCION
Cuando se habla de seguridad se refiere a la protección contra determinados riesgos,
adoptando medidas contra éstos, por eso es necesario definir y analizar ¿Qué es riesgo? Y
¿Qué son medidas de seguridad?
Comúnmente, para unos esta señal es de riesgo y para otros es de peligro (porque confunden
el riesgo con el peligro). Pero no es ninguna de ambas cosas. Es una señal indicadora de que
en este lugar "existe un agente dañino". Para que en este lugar haya riesgo o peligro hacen
falta más causas.
Riesgo, es la vulnerabilidad de "bienes jurídicos protegidos" ante un posible o potencial
perjuicio o daño para las personas y cosas, particularmente, para el medio ambiente.
La noción de riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está
vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la factibilidad del
perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la posibilidad de daño) y
peligro (la probabilidad de accidente o patología). En otras palabras, el peligro es una causa
del riesgo.
Aclaración del significado: Cuanto mayor es la vulnerabilidad mayor es el riesgo (e
inversamente), pero cuanto más factible es el perjuicio o daño mayor es el peligro (e
inversamente). Por tanto, el riesgo se refiere sólo a la teórica "posibilidad de daño" bajo
determinadas circunstancias, mientras que el peligro se refiere sólo a la teórica "probabilidad de
daño" bajo determinadas circunstancias. Por ejemplo, desde el punto de vista del riesgo de
daños a la integridad física de las personas, cuanto mayor es la velocidad de circulación de un
vehículo en carretera mayor es el "riesgo de daño" para sus ocupantes, mientras que cuanto
mayor es la imprudencia al conducir mayor es el "peligro de accidente" (y también es mayor el
riesgo del daño consecuente).
Existen riesgos de distinto tipo y que surgen en diferentes ámbitos. El riesgo laboral, por
ejemplo, permite nombrar a la falta de estabilidad o seguridad en un trabajo. El riesgo
biológico, por otra parte, hace mención a la posibilidad de contagio en medio de
unaepidemia o por el contacto con materiales biológicos que son potencialmente peligrosos.
El riesgo financiero, por último, está relacionado a la solvencia monetaria de unapersona,
una empresa o un país. Esta noción se refiere a la capacidad de pago de una deuda contraída.
Un país con altos niveles de desocupación, baja producción, elevada inflación y grandes
deudas, presenta un riesgo financiero muy alto. Por eso, es poco probable que dicha nación
acceda a nuevos créditos, ya que se enfrentaría a serias dificultades para pagarlos.
Riesgo vs Amenaza, otros conceptos vinculados son riesgo y amenaza. Una amenaza es un
dicho o hecho que anticipa un daño. Algo puede ser considerado como una amenaza cuando
existe al menos un incidente específico en el cual la amenaza se haya concretado.
Los métodos de probabilidad bayesiana permitirían asignar cierto grado de creencia al riesgo,
en función del grado de verosimilitud y de la magnitud de sus causas, incluso aunque el riesgo
concreto nunca se haya percibido antes. Además, del peligro, una causa de riesgo previa es la
amenaza. Las amenazas en un contexto de seguridad de la información, incluyen actos
dirigidos, deliberados (por ejemplo por crackers) y sucesos no dirigidos, aleatorios o
impredecibles (como puede ser un rayo). Amenaza es la causa de riesgo que crea aptitud
dañina sobre personas y bienes. En el ámbito económico las amenazas latentes (con
posibilidad de existencia) es, por ejemplo, la causa origen de pérdida de dinero por baja de las
cotizaciones de la bolsa, mientras que el riesgo de pérdida de las acciones es la posibilidad de
daño monetario.
B. CONCEPTO DE RIESGO
Podemos definir “riesgo” como la probabilidad de obtener un resultado desfavorable como
consecuencia de la exposición a un evento que puede ser casual, fortuito o inseguro. El “riesgo”
es la posibilidad de ocurrencia de un siniestro, el cual puede ser causado o no, directo o
indirecto de una acción, sea este efecto de una imprudencia, impericia o negligencia de quien la
realiza.
 Riesgo, es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se
entiende también como la medida de la posibilidad y magnitud de los impactos adversos, siendo
la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento.
Riesgo, es una medida de potencial de pérdida económica o lesión en términos de la
probabilidad de ocurrencia de un evento no deseado junto con la magnitud de las
consecuencias. (COVENIN 2270:1995)
El Riesgo, definido en documentos legales, técnicos, normativos, incluido el Diccionario de la
Real Academia de la Lengua Española, no presenta un enfoque homogéneo, por lo tanto
tomaremos la definición existente en el Glosario del DS. 009-MTPE, Reglamento de Seguridad
y Salud en el trabajo:
Riesgo: Probabilidad de que un peligro se materialice y genere daños a personas, equipos o al
ambiente
Riesgo Laboral: Probabilidad de que la exposición a un factor o proceso peligroso en el
trabajo, cause enfermedad o lesión y afecte la productividad.
Del análisis de las definiciones anteriores de Riesgo, podemos llegar a las siguientes
conclusiones:
1. Se define como una posibilidad o probabilidad de daños
2. Expresa capacidad de actuación de una situación para generar daños.
3. Depende de la exposición a una situación, frecuencia e importancia del daño que pudiera
ocurrir.
Si alguien llama riesgo a algo que puede ver o sentir, está percibiendo otra cosa.
C. FACTORES DE RIESGOS:
Elementos humanos, técnicos y organizativos que indican la existencia potencial del riesgo
productos, medios de trabajo, energías, sustancias, tecnologías, condiciones organizativas y
conductuales a los que estamos expuestos, que hacen más o menos probable la
materialización de sucesos. Los accidentes son observables, sus causas no, de igual forma, los
riesgos no son observables, sus factores de riesgos si. Ejm.
FACTORES: Estrés. Hipertensión arterial, hábitos alimentarios, hábitos de fumar, antecedentes
familiares, Sedentarismo
REISGO: Infarto
“Ningún médico puede ver directamente el riesgo infarto. Puede analizar el estado de factores
de riesgo y a partir de ahí, calcular o ponderar la probabilidad de que ocurra en un tiempo
determinado (Magnitud)”
D. CLASIFICACION DE LOS RIESGOS
Los riesgos que atentan contra la Seguridad son múltiples y variados, siendo difícil hacer una
enumeración de todos los existentes, por lo que la clasificación que se presenta a continuación,
solo debe tenerse como simple guía:
1. POR SU ORIGEN:
a. Accidentales:
1) Caídas
2) Golpes
3) Electrocución
4) Cortaduras
5) Aprisionamiento
b. Intencionales
1) Asalto
2) Robo
3) Secuestro
4) Estafas
5) Atentados
2. POR SU NATURALEZA
Es importante tener en cuenta los riesgos producidos por fenómenos naturales, porque
pueden afectar a las instalaciones que protegen al personal, a la información y material de
valor para la seguridad de las instalaciones. Entre estos fenómenos tenemos:
a. Naturales o geológicos
1) Sismos o terremotos
 2) Tsunamis
3) Epidemias
4) Desastres
5) Aluviones
6) Inundaciones
7) Marejadas
8) Tempestades eléctricas
9) Huracanes
10) Ciclones
11) Lluvias torrenciales
12) Derrumbes
13) Erupciones volcánicas
14) Corrimiento de tierra
b. Artificiales
1) Corto circuito
2) Incendios
3) Contaminación
4) Deforestación
3. POR SU AFECCION
a. Riesgos Físicos
1) Ruido.
2) Presiones.
3) Temperatura.
4) Iluminación.
5) Vibraciones
6) Radiación Ionizante y no Ionizante.
7) Temperaturas Extremas (Frío, Calor).
8) Radiación Infrarroja y Ultravioleta.
b. Riesgos Químicos
1) Polvos.
2) Vapores.
3) Líquidos.
4) Disolventes.
c. Riesgos Biológicos
1) Anquilostomiasis.
2) Carbunco.
3) La Alergia.
4) Muermo.
5) Tétanos.
6) Espiroquetosis Icterohemorrágica.
7) Infección viral
8) Epidemia
9) Material Biológico Peligroso
10) Agentes microscópicos altamente patógenos
d. Riesgos Ergonómicos o laborales
1) Accidente
2) Patología
e. Riesgos Psicosociales
1) Stress y características personales
f. Riesgos financieros
1) Riesgo de Crédito
2) Riesgo de Liquidez
3) Riesgo de Mercado
4) Riesgo Operacional
5) Riesgo Reputacional
4. POR ACCIÓN DE INDIVIDUOS O GRUPOS ENEMIGOS:
a. Riesgos evidentes.- Se llama así a las acciones realizadas por las personas en forma
ostensible y manifiesta; siendo los principales:
1) Ataques enemigos
2) Acciones de guerrillas
3) Disturbios civiles
4) Robos
5) Captura de personal amigo
6) Interrogatorio del enemigo a personal amigo
7) Rapto de personalidades.
b. Riesgos encubiertos.- Se llama así a las acciones que se ejecutan sin que nos demos
cuenta. Entre los principales riesgos encubiertos tenemos:
1) El espionaje
2) El sabotaje
3) La subversión
4) Observación y fotografía
5) Interceptación de todo tipo de comunicaciones
6) Radiogoniometría
7) Criptoanálisis.
c. Riesgos internos del propio personal:
Son los riesgos que se originan en nuestro mismo personal y que resultan de su propia
naturaleza, de su manera de ser, de su manera de pensar y de su carácter.
La mayoría de las veces estos riesgos no son ni calculados ni voluntarios, pero
constituyen un peligro constante, porque no pueden ser controlados desde fuera, ya que
son inherentes al individuo.
Estos riegos son muchos y variados, dependiendo del carácter de cada persona, pero los
más comunes son:
1) La Fe.- Es considerada generalmente como una virtud; sin embargo, desde el pinto de
vista Seguridad, puede no serlo. La experiencia demuestra que el personal no
adoctrinado, tiene fe y confianza en sus familiares y amigos íntimos, y por
consiguiente los puede hacer participes de informaciones clasificadas que por razones
de trabajo o de función han pasado a su conocimiento.
2) El Amor Propio.- Es el sentimiento de autoestimación que toda persona tiene en
mayor o menor grado y que hábilmente explotado por el enemigo o sus intermediarios,
pueden permitir a obtención de informaciones de valor. A nadie e gusta ser
considerado menos de lo que es. Muchas veces tratamos de comunicar a las
personas que nos rodean que “somos importantes” o que “estamos cumpliendo
funciones importantes‟, que son normalmente clasificadas, para satisfacer nuestro
amor propio.
3) El Entusiasmo.- Es la peculiaridad de algunas personas de tipo extrovertido, que al
preguntárseles sobre cualquier asunto, se entusiasmar y hablan más de lo necesario,
pudiendo, sin quererlo, proporcionar información clasificada y de valor, tan solo por
haberse dejado llevar por su entusiasmo.
4) El Orgullo.- Este término puede ser tomado en dos sentidos, ambos indicando actitud
peligrosa para la seguridad. El primero se identifica con el sentimiento elevado que
cada uno tiene por él puesto que ocupa, la función que desempeña o el trabajo que
realiza en la dependencia donde uno presta servicios. En este caso, por hacer resaltar
el elevado concepto que se tiene sobre estos aspectos, puede proporcionar
información clasificada. El segundo, se identifica con la vanidad u ostentación,
cayendo así en el amor propio ya visto.
5) La Ignorancia.- Se refiere a la falta de “conciencia de Seguridad” y al
desconocimiento de las medidas de Seguridad existentes en el lugar donde se presta
servicios, que pueden dar lugar a proporcionar información, en forma inocente, sin
darse cuenta del daño que se está ocasionando. Este es uno de los mayores riesgos.
6) El Rencor.- Los individuos rencorosos, por hacer daño a terceras personas, pueden
llegar al extremo de revelar información de valor, que si bien les puede permitir cumplir
 con su cometido de agraviar a la persona a quien tiene rencor, en cambio ocasiona un
grave daño a la Seguridad, por el solo hecho de alimentar dicha vigencia negativa.
7) La Desafección.- Es el hecho de perder la fe y la lealtad hacia una persona, causa o
institución y volverlas hacia otras, muchas veces antagónicas, como sería el caso de
un desafecto al INPE que comienza a realizar actividades en favor de los internos.
Este es de por sí peligroso y exige la adopción de medidas que permitan detectarlo a
tiempo, antes de que pueda causar grave daño a la Seguridad.
8) El Apetito Sexual.- Es otro de los móviles que frecuentemente utiliza una
organización interesada en obtener informaciones de otra. Este riesgo esta
íntimamente relacionado con el amor provocado por agentes especialmente
entrenados. En estos casos, los mejores frutos se obtienen mediante el chantaje.
9) La Extroversión.- Las personas extrovertidas son factibles de ser fácilmente
conducidas a dar informaciones en forma involuntaria ya que el entusiasmo puesto en
sus conversaciones, no le permiten controlar sus ideas o pensamiento que personas
interesadas pueden captar o conducir a obtener una información determinada.
Los riegos internos del personal, hábilmente aprovechados por el enemigo o elementos
interesados, pueden dar origen a otros riesgos como:
1) Delito de infidencia
2) Descuido e indisciplina del personal
3) Pérdida punible
4) Subversión
5) Traición
6) Rebelión, etc
5. POR SU REPERCUCIÓN
a. Graves
b. Medianos
c. Leves
E. CAUSAS DE LOS RIESGOS
1. INTERNAS
Inherentes a la organización y a los miembros de la empresa: Fallas mecánicas, fallas
operativas, condiciones inadecuadas, negligencia o descuido, actos erróneos, conflictos,
sabotajes
2. EXTERNAS
Incidencias ocasionadas por factores impredecibles o inevitables, ajenos a la organización:
Fallas de suministros, riesgos aledaños, alteración OO.PP., vandalismo, violencia
delincuencial.
3. NATURALES
Ajenos a la organización, producidos por fenómenos naturales: Movimientos sísmicos,
Tsunamis, lluvias torrenciales, huaycos, inundaciones
F. UBICACION DE LOS RIESGOS
Importante tener en cuenta para seguimiento del comportamiento empresarial en la supervisión:
Riesgos en las instalaciones, Riesgos en el personal, Riesgos en las comunicaciones, Riesgos
en los bienes y valores
1. RIESGOS EN LAS INSTALACIONES
a. En el diseño o infraestructura del local, por deterioro o defecto técnico
b. En los accesos, por la omisión de cualquier previsión o fallas en las medidas de
seguridad
c. En los controles y custodia, por descuido, negligencia o incumplimiento de las normas
previstas, por parte de los encargados
2. RIESGOS EN EL PERSONAL
a. En la captación y selección (recomendaciones o inadecuado trato en el proceso)
b. En la mala administración general
c. En la capacitación y entrenamiento por desatención a una rigurosa evaluación
3. RIESGOS EN LAS COMUNICACIONES
a. En la documentación: procedimientos, trámites, archivo, eliminación
 b. En la recepción y difusión oral: Malos medios y usos, exceso de limitaciones,
inadecuados controles
c. En la informática: Procedimientos y control errado, defecto del equipo, defecto en
archivos
4. RIESGOS EN LOS BIENES Y VALORES
a. En el movimiento local o trámite de la empresa
b. En la custodia bajo responsabilidad de la empresa
c. En el transporte ajeno a la organización
G. ANÁLISIS DEL RIESGO
Para la evaluación y prevención del riesgo es conveniente practicar una apreciación o análisis
que podría analizarse bajo tres aspectos: su identificación, ubicación y su intensidad.
Para una perfecta identificación tener en cuenta la clasificación anterior, para lo cual se debe
contribuir a la investigación con los datos teóricos e información general.
El Riesgo debe ser ubicado en el campo apropiado, donde se aplicará las medidas específicas,
sean las del SAFETY o las de SECURITY. El grado de intensidad del riesgo se medirá con
relación a la vulnerabilidad, incidencia, y repercusión que ha de producir.

H. PROCEDIMIENTO DE EVALUACION DE RIESGOS

Se realiza:
1. En los centros laborales, instalaciones y puestos de trabajo
2. De acuerdo a las características particulares de cada lugar
3. Con la participación de los trabajadores en la evaluación
La evaluación deberá realizarse considerando;
1. Información sobre la organización
2. Las características del trabajo
3. Materiales utilizados
4. Equipos existentes
5. Estado de salud de los trabajadores
La valorización de los riesgos debe efectuarse en función de criterios objetivos que brinden
confianza sobre los resultados a alcanzar. Cuando exista una “normativa” específica que deba
aplicarse, el procedimiento deberá ajustarse a las condiciones que la misma establece y
adecuarse a las normas o guías.
MEDIDAS DE SEGURIDAD
A. CONCEPTO
Acciones que adoptamos para prevenir, eliminar y/o contrarrestar el riesgo
1. CLASIFICACION DE MEDIDAS DE SEGURIDAD
a. POR SU FUNCION
1) Preventivas
2) De control
 3) Correctivas
b. POR SU CARÁCTER
1) Activas
2) Disuasivas
3) Pasivas
c. POR SU NATURALEZA
1) Humanas
2) Físicas
3) Electrónicas
2. NORMAS BASICAS DE SEGURIDAD
Son las disposiciones estables destinadas a contrarrestar, los riesgos que se presentan en
forma permanente. Estas normas permitirán alcanzar la Seguridad mínima y son las
siguientes:
a. Responsabilidad. La seguridad es una responsabilidad del Comando. Sin embargo toda
persona integrante de una unidad, dependencia o instalación es responsable del
cumplimiento estricto de las disposiciones dictadas para alcanzar dicha Seguridad.
b. Control. El Comando, para cumplir con su responsabilidad de Seguridad, ejerce el
control mediante la verificación constante del cumplimiento de las medidas dictadas para
alcanzar la Seguridad. Esta norma se cumple mediante el programa de inspecciones de
seguridad, periódicas o inopinadas.
c. Selección de Personal. El personal que tiene que trabajar con material clasificado,
deberá ser objeto de una cuidadosa selección a base de sus cualidades lealtad,
integridad, discreción, moralidad y carácter.
d. Adoctrinamiento del Personal. Es una de las normas básicas más importantes y en la
que reposa todo el armazón de la Seguridad. Permite eliminar „la ignorancia” del
personal, que es el riesgo interno, más peligroso. Esta norma consiste en desarrollar en
las personas “la conciencia de Seguridad”, mediante la ejecución de un buen programa
de instrucción, de constante entrenamiento y de control permanente.
e. Limitación de acceso. Es la norma básica destinada a proteger la información y material
clasificado, restringiendo su conocimiento o posesión únicamente a las personas
autorizadas que por sus funciones oficiales tienen necesidad de ellos y que además
disponen del acceso legal respectivo.
f. Custodia Apropiada. Es la norma básica que consiste en la designación de un
CUSTODIO, cuya misión es dar la protección adecuada a la información y material
clasificados, no permitiendo su conocimiento o posesión a personas no autorizadas,
cualquiera que sea su grado, puesto o función.
g. Clasificación, Marcado y Manejo. La CLASIFICACIÓN, es la selección de la
información y material, de acuerdo a su importancia y naturaleza, asignándosele un grado
de seguridad. La CLASIFICACION se materializa mediante el MARCADO, que consiste
en hacer visible el grado de Seguridad asignado. La clasificación y el marcado,
condicionan y facilitan el MANEJO en seguridad de la información y material clasificados.
h. Destrucción. Es la norma básica que consiste en que los borradores, desperdicios y
residuos de toda información clasificada, deben ser destruidos en forma tal, que no sea
posible su reconstrucción.
3. PRINCIPALES MEDIDAS DE SEGURIDAD
a. Las normas básicas de seguridad por sí solas no permiten alcanzar la condición de
Seguridad deseada, por lo que hay que complementarias con una serie de medidas de
Seguridad.
b. Las medidas de seguridad son múltiples y variadas, tantas como riesgos se hayan
determinado mediante el Estudio de Seguridad, pero todas ellas pueden estar incluidas
en las siguientes medidas:
1) Medidas activas. Son aquellas de carácter ofensivo que detectan, neutralizan o
eliminan los riesgos contra la seguridad.
2) Medidas Pasivas. Son aquellas de carácter defensivo, muchas de las cuales las
aceptamos como de rutina, por lo que normalmente se encuentran especificadas en el
 POV de seguridad. Estas medidas que son básicamente preventivas y su mejor
expresión se alcanza cuando el personal tiene “conciencia de seguridad”.
3) Medidas de Engaño. Son aquellas que se adoptan para desviar los esfuerzos y
acciones del enemigo atentatorios contra la seguridad, orientándolos sobre objetivos
falsos, con el fin de engañarlo o despistarlo. Estas medidas pueden ser de carácter
activo o pasivo.
Cada uno de estos tipos de medidas permite alcanzar determinado grado de seguridad, pero
la segundad deseada solo podrá obtenerse combinando apropiadamente los tres tipos de
medidas.
De manera general entre las principales medidas de Seguridad, podemos citar las
siguientes:
a. Buena utilización de la Inteligencia disponible sobre el enemigo para:
1) Prevenirlos de las sorpresas.
2) Prever todas sus acciones a fin de disponer del tiempo y de los medios suficientes
para reaccionar oportunamente y evitar, neutralizar o destruir dichas acciones.
b. Buen empleo de la Contrainteligencia para impedir que el enemigo obtenga inteligencia.
c. Empleo adecuado de las medidas de Contrasabotaje, para impedir actos de sabotaje.
d. Utilización de medidas de contrasubvercion, para detectar, neutralizar y/o impedir las
acciones subversivas.
e. Reconocimiento y contrarreconocimiento.
f. Observación y contraobservación.
g. Alarma oportuna.
h. Reacción oportuna.
i. Medidas de protección de las informaciones, del material y de las instalaciones.
j. Determinación de la lealtad del personal.
k. Sistema de comunicaciones eficientes.
l. Realización de censura de rutina y especiales.
m. Uso de fintas y demostraciones.
n. Difusión de información falsa.
o. Empleo de ardides y artimañas.
p. Acción psicológica para crear conciencia de seguridad.
4. GRADO DE SEGURIDAD
a. El grado de seguridad, se refiere a la condición de seguridad que requiere alcanzar una
unidad, instalación o dependencia, en función a su importancia para con los objetivos de
la institución o empresa.
b. El grado de seguridad requerido de la Unidad, instalación o dependencia puede ser
máximo, mediano o mínimo
1) Máximo. Se refiere a la mayor importancia que tiene la Unidad, instalación o
dependencia para con los objetivos del régimen, exigiendo que se adopten las
máximas medidas de seguridad necesarias a fin de evitar la presencia de grandes
riesgos.
2) Mediano. Se refiere al mediano grado de importancia que tiene la unidad, instalación
o dependencia para con los objetivos del régimen, exigiendo que se incrementen las
medidas de seguridad para evitar la existencia de riesgos.
3) Mínimo. Se refiere a la menor importancia de la unidad, instalación o dependencia
para con los objetivos del régimen, exigiendo que se adopten las medidas de
seguridad indispensables para evitar la existencia de riesgos.
c. Para determinar el grado de seguridad requerido hay que estudiar la Unidad, instalación o
dependencia, de acuerdo a los siguientes aspectos:
1) Misión. Al punto de vista de su alcance, duración, clasificación, personal que
interviene, material almacenado y en uso, etc.
2) Costo de reemplazo. Evaluar en dinero y tiempo cuanto costaría reemplazar la
instalación estudiada; hay que tener en cuenta especialmente el tiempo que hace falta
para adiestrar al personal principal y especializado.
3) Ubicación. La ubicación del inmueble con respecto al área que lo rodea, es un
aspecto que debe de tenerse en cuenta, para determinar el grado de seguridad
 requerido, ya que de ella pueden derivar peligros provenientes de la conformación
topográfica del área, de las personas que lo habitan o laboran en los alrededores y de
la propia naturaleza.
4) Existencia de Instalaciones Similares. Si se cuenta con otra u otras instalaciones
que puedan, en caso de desaparición de la estudiada, desempeñar la misma misión y
absorber sus funciones.
5) Documentación Clasificada. Determinar la mayor clasificación de los documentos
con que regularmente se trabaja en la instalación.
5. CATEGORIAS DE SEGURIDAD
Para su mejor estudio, la seguridad se clasifica en categorías, las mismas que son las
siguientes:
a. Tránsito
b. Comunicaciones
c. Instalaciones
d. Personal
e. Informaciones
f. Armamento, material y Equipo

APLICACIÓN DE LA SEGURIDAD INTEGRAL

A. CONCEPTO
La Seguridad Integral implica prevención y defensa en el frente interno y externo de una
organización, dicho en otros términos se refiere a la capacidad de reaccionar con efectividad
ante cualquier acto provocado o no, la Seguridad Integral es tratada en dos campos de
aplicación específica, denominados SAFETY y SECURITY.
1. La SAFETY, está referida al ámbito de la seguridad industrial, es decir, la adopción de
medidas frente a los riesgos accidentes presentados dentro de la empresa, en los que se
incluyen los riesgos por efectos naturales
2. La SECURITY, está referida al ámbito de la seguridad frente a los riesgos intencionales y
artificiales, aquellos ejecutados por el hombre, con o sin intención.

Safety Security
Ambos campos de aplicación abarca las siguientes secciones:
SAFETY:
1. Seguridad contra riesgos accidentales
2. Prevención de incendios
3. Prevención de accidentes
4. Control de emergencias y desastres
5. Primeros auxilios
6. Evacuación de instalaciones
7. Prevención de salud e higiene
8. Prevención ambiental
9. Seguridad industrial
10. Acción preventiva
SECURITY
Capacidad de reaccionar con efectividad ante cualquier acto provocado o no
1. Seguridad contra riesgos intencionales
2. Seguridad de instalaciones o protección de planta
 3. Seguridad del personal
4. Seguridad de las comunicaciones
5. Seguridad de dinero y valores
6. Control de crisis
7. Protección y resguardo
8. Acción de defensa
B. PLANEAMIENTO Y ORGANIZACION DE LA SEGURIDAD
Antes de iniciar las actividades operativas, toda organización, conjuntamente con el estudio
de factibilidad debe planificar su seguridad en base a un diagnóstico de prevención y de
defensa.
El planeamiento y la organización de la Seguridad comprenderán todo aquello destinado a
garantizar protección a sus operaciones, a las instalaciones y bienes, a sus trabajadores y sus
clientes.
1. PLANEAMIENTO DE LA SEGURIDAD.
El diagnóstico del estado de seguridad de la empresa, el diseño y la elaboración de
programas de seguridad que presentaremos a la Gerencia General de la empresa, deberán
ser realizados por personal técnico especializado, auxiliados por la ingeniería de seguridad,
esto nos va a permitir aproximarnos, a los requerimientos reales de la seguridad de la
empresa, concordante con sus objetivos y finalidades.
Para el planeamiento correspondiente se tendrá en cuenta los principios de la
organización, los cuales son:
 La autoridad que viene a ser el derecho de cierta persona o escalón quien va a exigir a
otros, los deberes inherentes a la ejecución de todas las medidas de seguridad, esta
puede ser directa y/o delegada.
 La responsabilidad es el sentido de respuesta a la obligación de ejecución de los deberes
asignados.
 Los niveles de autoridad y los grados de responsabilidad necesarios, considerando que la
autoridad se manifiesta en forma descendente (línea de autoridad, de mando o de
instrucción). En cambio si la responsabilidad va en sentido inverso o sea ascendente, se
denomina línea de responsabilidad o de ejecución.
 La división del trabajo, en la que se comparten grados de responsabilidad, la asignación
de los deberes y la determinación de efectivos, debe conservar ciertos límites: no
subdividir exageradamente las tareas para el cumplimiento dentro del horario normal.
 El control, complemento de la autoridad y de la responsabilidad persigue cumplir una
doble función: comprobar la observancia de las disposiciones superiores y comparar el
trabajo o resultado obtenido, con el objetivo buscado, lo que hace una eficiente
seguridad.
a. FASES DE PLANEAMIENTO DE LA SEGURIDAD
Estos pasos perfectamente definidos en el factor tiempo son: Estudio, Elaboración de
Programas, Implementación y la Supervisión.
1) EL ESTUDIO
Es el puto inicial para implementar la seguridad y la base para “estructurarla en la
empresa u organización”
Primero se efectúa una recopilación de información, posteriormente se hace el análisis
de riesgos y en base a esto, se plantea la alternativa de solución; esta deberá
considerar aspectos:
a) Tácticos: Métodos de operación para la eliminación de riesgos
b) Técnicos: Diseño adecuado y real para la empresa y su organización
c) Económicos: Alternativas de costos aplicables a los presupuestos establecidos
d) Conclusiones y recomendaciones del especialista para las decisiones sobre las
medidas a implementar
2) ELABORACION DE PROGRAMAS
Después de tomarse las decisiones sobre las medidas a implantar en la empresa, se
desarrollarán cronogramas basándose en los siguientes puntos:
a) Organización
 b) Entrenamiento
c) Equipamiento
d) Motivación y estrategia
Todos los puntos son muy importantes y se podrá dar mayor énfasis a cualquiera de
ellos dependiendo de la política de la empresa, pero ninguno se debe omitir.
3) IMPLEMENTACION
Esta etapa viene a ser la ejecución y desarrollo de los programas establecidos
4) SUPERVISION
Una vez implementados los programas, se deberá efectuar una constante supervisión,
que permita mantener el nivel de seguridad
2. ORGANIZACIÓN DE SEGURIDAD
Después de efectuado el planeamiento de seguridad de la empresa se procederá a
organizar el sistema de seguridad diseñado:
 Se elaborará una estructura orgánica y funcional, acorde a la realidad, que le permita
alcanzar todos los niveles.
 Para el efecto se deben establecer acciones de prevención, protección y defensa
contra todo riesgo a que esté expuesta la empresa.
 Se asignarán responsabilidades y funciones a cada uno de los componentes de la
organización.
 Se elaborarán planes específicos para cada una de las situaciones críticas de la
empresa.
a. PRINCIPIOS DE LA ORGANIZACIÓN
Los principios de la organización se basan en los conceptos del ingeniero pensador
Henry Fayol:
1) La coordinación, consiste en la disposición ordenada del esfuerzo del grupo para dar
unidad de acción con vista a un propósito común
2) La jerarquía, que implica que debe existir una suprema autoridad de donde emana la
conducción desde los elementos directivos hasta los ejecutivos.
3) El funcionamiento, requiere determinar clases de deberes perfectamente
diferenciados.
b. FUNCIONES DEL ADMINISTRADOR DE SEGURIDAD:
1) Contribuir al mejoramiento de niveles de eficiencia en la gestión de órganos y
servicios
2) Controlar que los servicios de vigilancia, se efectúen con calidad y oportunidad de
acuerdo con los contratos y los programas previstos.
3) Efectuar visitas programadas e imprevistas a los servicios para verificar su eficacia,
disciplina, armamento, presentación del personal, cumplimiento de consignas, etc.
4) Informar a la Gerencia de Operaciones de los resultados de las tareas de control
realizadas
5) Asesorar a la Gerencia de Operaciones en los asuntos relacionados con sus
funciones
6) Presenciar el relevo de los supervisores y firmar un registro correspondiente.
7) Comunicar los casos de emergencia al Gerente de Operaciones y/o Gerente General,
para que dicte las acciones necesarias. En su ausencia asumirá el control de la
situación con cargo a dar cuenta.
8) Tiene bajo su mando directo a todo el personal de supervisores y agentes
9) Cuando se instala un nuevo servicio, deberá hacerlo personalmente permaneciendo
en la instalación el tiempo necesario para ponerlo en perfecto funcionamiento.
C. LA CAPACITACIÓN EN SEGURIDAD
1. CONCEPTO
La capacitación en seguridad, juega un papel primordial, siendo su objetivo fundamental:
dotar a la organización, de una fuerza de trabajo con los necesarios conocimientos y
actitudes para su desempeño seguro y eficiente.
“La capacitación como elemento clave en la prevención de riesgos, y en las medidas de
seguridad”
 La capacitación profesional es un proceso permanente y planificado, concebido como
una inversión para el desarrollo que se lleva a cabo en las organizaciones con el objetivo
de que los trabajadores adquieran y perfeccionen su competencia laboral, de una vital
importancia para la implantación de un sistema de seguridad integral, permitiendo la
participación directa de los mismos en este proceso.
Los factores organizativos y humanos proporcionarán una respuesta tanto más
adecuada cuanto mejor sea la capacitación y entrenamiento de las personas que
intervengan en el diseño, en los procesos, en la dirección y en la operación de los sistemas.
Con la sensibilización ante la presencia de los riesgos, el conocimiento de su peligrosidad
y la necesidad de protección, comienza la creencia en la necesidad de la Seguridad y
Salud. Esta sensibilización ha de emanar del más alto nivel jerárquico de la empresa y
debe ser reflejada en el compromiso de dirección refrendado en la implementación de la
Política de Seguridad y Salud.
Los programas de capacitación y entrenamiento, tienen que estar correctamente
estructurados, deben comprender las fases:
a. Identificación de las necesidades de capacitación: ¿Cuál es el problema?, ¿Cuál es la
actividad a realizar?, ¿Cual es la forma segura de realizarla?
b. Establecer los objetivos de la capacitación ¿Qué es necesario conocer y/o practicar?
c. Definir los métodos para conseguir los objetivos: Conferencias, grupos de trabajo, cursos,
discusiones, proyección de videos educativos, etc.
d. Identificar los medios disponibles
e. Evaluar el programa. ¿Se han conseguido los objetivos? ¿Cómo se puede mejor el
programa?
f. Realizar el programa de capacitación. Desarrollar y ejecutar el programa planificado
La capacitación proporciona conocimiento sobre los riesgos, da confianza e induce a
conservar las precauciones a quien las recibe, haciéndolo partícipe de la seguridad
integrada, además de motivar el desarrollo del trabajo en un ambiente de confianza mutua.
2. PRINCIPIOS FUNDAMENTALES DE LA CAPACITACIÓN
Es un proceso continuo y permanente, flexible y dinámico que abarca a todas las categorías
de trabajadores (Dirigentes, trabajadores técnicos, obreros y de servicios, etc.). Se asume
como una inversión que reporta beneficios en la medida que se logra estimular la creatividad
y encaminarla hacia los objetivos de la empresa. No es un gasto. Abarca las acciones
necesarias para dotar a los trabajadores de los conocimientos y habilidades necesarias para
el desarrollo de la organización.
Parte de una determinación de las necesidades de capacitación, para garantizar la
integración del trabajador a la empresa, su adaptación al puesto de trabajo, la actualización
de sus conocimientos y su continuo desarrollo.
La capacitación de seguridad es de vital importancia para la prevención, ayuda a la
realización segura de las funciones que se desempeña, brinda a los trabajadores
conocimientos y habilidades en la búsqueda de valores, normas, actitudes y conductas.
Es un proceso contínuo, que abarca todas las categorías, en las siguientes materias:
a. Política y organización de la prevención en la empresa
b. Normativa y disposiciones legales existentes
c. Planes de emergencia, funciones específicas
d. Información y comunicación de los riesgos, accidentes e incidente
e. Primeros auxilios
f. Productos y materiales peligrosos en el proceso
g. Riesgos del proceso
h. Prevención y respuesta del incendio
i. Prevención y respuesta a escapes o fugas de gases y vapores peligrosos
j. Conocimiento y uso de los equipos de protección personal
k. Procedimientos de trabajo

PREVENCIÓN DE RIESGOS
A. INTRODUCCION
Implantación de un sistema efectivo de control del riesgo operacional en la empresa. Para
efectos de este trabajo necesariamente debemos entender por prevención de Riesgos,
Seguridad Industrial o seguridad minera como la misma materia, lo importante en este caso,
no es la diferencia entre ellos sino que el como se puede hacer más rentable un negocio,
manteniendo los recursos de la empresa disponibles el mayor tiempo posible, sin importar si
esta es una empresa productiva o de servicios. En general podríamos decir que en ambos
tipos de empresas se necesitan los mismos componentes, departamentos, sistemas o
subsistemas, para que esta pueda entregar un producto o un servicio final de calidad, objeto
del negocio. Lo que puede variar entre ellos son los riesgos y la forma en como se va a hacer
un efectivo control de ellos, pero el resultado final es siempre el mismo, evitar los accidentes o
pérdidas que deterioran el funcionamiento normal del la empresa. Toda actividad conlleva un
riesgo, ya que la actividad exenta de ello representa inmovilidad total. Pero aún así, si todos
nos quedamos en casa sin hacer nada y se detuviera toda actividad productiva y de servicios,
aún existiría el riesgo, no cabe duda que menores pero existirían, el riesgo cero no existe.
Entonces, debemos definir el riesgo como la probabilidad que un peligro (causa inminente de
pérdida), existente en una actividad determinada durante un periodo definido, ocasione un
incidente con consecuencias factibles de ser estimadas. También lo podemos entender como,
el potencial de pérdidas que existe asociado a una operación productiva, cuando cambian en
forma no planeada las condiciones definidas como estándares para garantizar el
funcionamiento de un proceso o del sistema productivo en su conjunto.
El riesgo incontrolado hace que el logro de los objetivos operacionales sea incierto.
B. CLASIFICACION EN PREVENCION DE RIESGOS
Los riesgos en general, se pueden clasificar en riesgo puro y riesgo especulativo.
1. El riesgo especulativo es aquel riesgo en la cual existe la posibilidad de ganar o perder,
como por ejemplo las apuestas o los juegos de azar. En cambio el riesgo puro es el que se
da en la empresa y existe la posibilidad de perder o no perder pero jamás ganar.
2. El riesgo puro en la empresa a su vez se clasifica en: Riesgo inherente y Riesgo
incorporado
a. El riesgo inherente Es aquel riesgo que por su naturaleza no se puede separar de la
situación donde existe. Es propio del trabajo a realizar. Es el riesgo propio de cada
empresa de acuerdo a su actividad, por ejemplo los mostrados en la siguiente tabla.
TIPO DE EMPRESA PRINCIPALES RIESGOS INHERENTES
Transporte Choques, colisiones, volcamiento
Metalmecánica Quemaduras, golpes,
Construcción Caída distinto nivel, golpes, atrapamiento
Minería Derrumbes, explosiones, caídas atrapamiento
Servicios Choque, colisiones, lumbago, caídas
b. El riesgo incorporado es aquel riesgo que no es propio de la actividad, sino que
producto de conductas poco responsables de un trabajador, el que asume otros riesgos
con objeto de conseguir algo que cree que es bueno para el y/o para la empresa, como
por ejemplo ganar tiempo, terminar antes el trabajo para destacar, demostrar a sus
compañeros que es mejor, etc.
Los siguientes son ejemplos de riesgos incorporados:
1) Clavar con un alicate o llave y no con un martillo.
2) Subir a un andamio sin amarrarse
3) Sacar la protección a un esmeril angular o amoladora.
4) Levantar sin doblar las rodillas.
5) Levantar o transportar sobrepeso
6) Transitar a exceso de velocidad
7) No reparar una falla mecánica de inmediato
8) Trabajar en una máquina sin protección en las partes móviles
Los riesgos inherentes en una empresa se deben controlar y/o eliminar los que sean
posibles, ya que como estos están en directa relación con la actividad de la empresa si
estos no lo asumen no puede existir. Los riesgos incorporados se deben eliminar de
inmediato.
 Cuando un riesgo se sale de nuestro control producen accidentes que provocan muertes,
lesiones incapacitantes, daños a los equipos, materiales y/o medio ambiente. Todo esto
resulta como perdida para la empresa, ya que ocurrido un accidente la empresa debe:
a. Contratar un nuevo trabajador y prepararlo para esa actividad.
b. Redistribuir los trabajadores en el área.
c. Perdidas de tiempo
d. Aumentos de seguro
e. Comprar o reparar la maquinaria y/o equipos
f. Pago de indemnizaciones
g. Perdida de tiempo de los trabajadores involucrados en el accidente
Los accidentes producto de un riesgo incontrolado puede ser tan grande que pueden
terminar en una empresa llevando a todos sus trabajadores a la cesantía.
En resumen Accidente es una pérdida o es un suceso no deseado, que
produce pérdidas. El riesgo con mayor potencial de pérdidas es aquel que
no se conoce.
C. PROGRAMA PERSONALIZADO DE PREVENCION DE RIESGOS/SEGURIDAD INDUSTRIAL
Ya hemos hablado del riesgos pero no como controlarlo, que debemos hacer, quién lo hace y
como lo hace. El programa personalizado es una calendarización o programación de
actividades periódicas que cada miembro de la empresa debe realizar con objeto de mostrar su
involucramiento o compromiso con el control del riesgo operacional, para finalmente hacer más
rentable el negocio y conocer en detalle aspectos fundamentales que sin este programa no
podría conocerse. Además de esta manera la administración superior tiene absoluta certeza
de lo que ocurre en ciertas áreas de la misma y fundamentalmente que áreas necesitan de su
especial atención.
Estas actividades tienen directa relación con el cargo que ocupa el trabajador, así por ejemplo
un gerente general tiene actividades distintas a los Gerentes de área, a los administradores,
Jefes de área, supervisores, capataces, trabajadores, etc.
Cada empresa debe ajustar su propio programa personalizado de acuerdo a su estructura
orgánica y objeto del negocio, sin olvidar que el objetivo final es el mismo.
1. ACTIVIDADES BÁSICAS DEL PROGRAMA
Todo programa personalizado debe tener las siguientes actividades como mínimo, las que
necesariamente deben quedar registradas en los formularios respectivos:
a. Reunión mensual de análisis : Esta reunión pretende analizar mes a mes la gestión y
avance del programa personalizado para corregir, análisis de accidentes y/o pérdidas,
controlar el cumplimiento de medidas correctivas, necesidades de capacitación,
reorientar, felicitar, llamar la atención, etc. Necesariamente esta reunión debe quedar
registrada en el formulario correspondiente. Se recomienda realizarla una vez al mes
antes del día 5 del mes siguiente al análisis. El responsable de la reunión es el gerente
general o quien lo reemplace.
b. Inspecciones de seguridad : Es una actividad operativa que se realiza de modo
sistemático y permanente, realizadas por la supervisión o la Gerencia, con el objeto de
detectar, analizar y controlar los riesgos incorporados a los equipos, el material y al
ambiente que pueden afectar el funcionamiento de los procesos productivos,
comprometiendo los resultados. La Inspección tiene por objeto fundamental verificar o
inspeccionar condiciones subestándares de los equipos, maquinarias, herramientas,
medio ambiente, etc., que puedan producir pérdidas.
c. Observaciones de seguridad: Es una actividad operacional que se realiza en forma
sistemática para verificar que las tareas se están desarrollando según los procedimientos
vigentes, lo cual garantiza que no habrá pérdidas por daño físico a los recursos, menor
producción, baja calidad, derroche, retraso o demora. Es la mejor forma de saber cómo
las personas ejecutan sus tareas debe ser realizada de manera personal y selectiva por
el supervisor. La Observación tiene por objeto fundamental verificar u observar en terreno
la conducta y actitud de los trabajadores hacia la seguridad.
d. Contactos personales o grupales: Son pequeñas reuniones que la administración
superior y la supervisión a cargo realiza con los trabajadores en un área determinada de
trabajo, para tratar un tema específico relacionado con la operación y la seguridad de la
 misma. El objeto fundamental es felicitar, corregir o confirmar procedimientos de trabajo,
motivar, dar a conocer la política de seguridad, medio ambiente o calidad, etc.
e. Charlas diarias de cinco minutos: Todos los días antes del inicio del trabajo cada
supervisor o jefe de área se reunirá con su personal para analizar rápidamente las tareas
del día, sus riesgos y sus formas de control, los elementos de seguridad que se usaran y
cualquier aspecto importante del día. Esta charla es por departamento o área de trabajo.
f. Charla integral semanal: Una vez a la semana todos los trabajadores recibirán una
charla en que se tratará la misma materia para todo el personal. En esta charla se
pueden tratar temas como las políticas de seguridad, calidad, medio ambiente, noticias,
leyes o decretos, analizar un procedimiento de trabajo, felicitar, llamar a la cooperación,
realizar seguimiento a las acciones correctivas, etc. El responsable de la charla es el
Asesor de Prevención de Riesgos y/o el Jefe del área y deben participar la totalidad de
los trabajadores de la empresa.
g. Investigación de accidentes: Es una actividad preventiva tendiente a determinar causas
de los accidentes, tomar acción para que estos no se repitan en el futuro. Para el control
de los riesgos que produjeron la pérdida en la empresa, es fundamental que exista
difusión de la investigación del accidente, en toda la empresa a modo de charla integral
semanal. Esto tiene por objeto fundamental que el análisis del accidente permita un
control de los riesgos por el personal que no estuvo involucrado en el accidente.
D. EVALUACIÓN DE RIESGOS
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas
negativas.
 Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor
se podrá utilizar para contrastar el costo de la protección de la información en análisis,
versus el costo de volverla a producir (reproducir).
 Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles.
De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan
de acción adecuado.
 Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en
los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los
recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y
las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada
para cada organización; pero se puede presupone algunas preguntas que ayudan en la
identificación de lo anteriormente expuesto (1):
 "¿Qué puede ir mal?"
 "¿Con qué frecuencia puede ocurrir?"
 "¿Cuáles serían sus consecuencias?"
 "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
 "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una
semana, cuanto tiempo?"
 "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
 "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
 "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
 "¿Se tiene control sobre las operaciones de los distintos sistemas?"
 "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en
condiciones de inhibir el procesamiento de datos?"
 "¿A que se llama información confidencial y/o sensitiva?"
 "¿La información confidencial y sensitiva permanece así en los sistemas?"
 "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para
adecuarse a los avances tecnológicos esperados?"
 "¿A quien se le permite usar que recurso?"
 "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre
ese recurso?"
 "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
  "¿Cómo se actuará si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
Tipo de Riesgo Factor
Robo de hardware Alto
Robo de información Alto
Vandalismo Medio
Fallas en los equipos Medio
Virus Informáticos Medio
Equivocaciones Medio
Accesos no autorizados Medio
Fraude Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
Tabla 9.1 - Tipo de Riesgo-Factor
Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en
particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.
Como puede apreciarse en la Tabla 9.1, los riesgos se clasifican por su nivel de importancia y
por la severidad de su pérdida:
 Estimación del riesgo de pérdida del recurso (R i )
 Estimación de la importancia del recurso (I i )
Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor numérico de 0
a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo
de perderlo (10 es el riesgo más alto). El riesgo de un recurso será el producto de su
importancia por el riesgo de perderlo (1):

Luego, con la siguiente fórmula es posible calcular el riesgo general de los recursos de la red:

Otros factores que debe considerar para el análisis de riesgo de un recurso de red son su
disponibilidad, su integridad y su carácter confidencial, los cuales pueden incorporarse a la
fórmula para ser evaluados.
Ejemplo: el Administrador de una red ha estimado los siguientes riesgos y su importancia para
los elementos de la red que administra:
E. IDENTIFICACIÓN DE AMENAZAS
Una vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta
pueden influir en la organización es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe
una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra
tampoco.
Se suele dividir las amenazas existentes según su ámbito de acción:
 Desastre del entorno (Seguridad Física).
 Amenazas del sistema (Seguridad Lógica).
 Amenazas en la red (Comunicaciones).
 Amenazas de personas (Insiders-Outsiders).
Se debería disponer de una lista de amenazas (actualizadas) para ayudar a los administradores
de seguridad a identificar los distintos métodos, herramientas y técnicas de ataque que se
pueden utilizar. Es importante que los Administradores actualicen constantemente sus
conocimientos en esta área, ya que los nuevos métodos, herramientas y técnicas para sortear
las medidas de seguridad evolucionan de forma continua. En la siguiente sección se explica una
metodología para definir una estrategia de seguridad informática que se puede utilizar para
implementar directivas y controles de seguridad con el objeto de aminorar los posibles ataques
y amenazas. Los métodos se pueden utilizar en todos los tipos de ataques a sistemas,
independientemente de que sean intencionados, no intencionados o desastres naturales. La
 metodología se basa en los distintos ejemplos (uno para cada tipo de amenaza) y contempla
como hubiera ayudado una política de seguridad en caso de haber existido.
F. EVALUACIÓN DE COSTOS
Desde un punto de vista oficial, el desafío de responder la pregunta del valor de la información
ha sido siempre difícil, y más difícil aún hacer estos costos justificables, siguiendo el principio
que "si desea justificarlo, debe darle un valor" (1). Establecer el valor de los datos es algo
totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se
valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la
documentación o las aplicaciones.
Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las
organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender
que los esfuerzos invertidos en la seguridad son costeables. La evaluación de costos más
ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede
causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta
política es el análisis de lo siguiente:
 ¿Qué recursos se quieren proteger?
 ¿De qué personas necesita proteger los recursos?
 ¿Qué tan reales son las amenazas?
 ¿Qué tan importante es el recurso?
 ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y
oportuna?
Con esas sencillas preguntas (más la evaluación de riesgo) se debería conocer cuáles recursos
vale la pena (y justifican su costo) proteger, y entender que algunos son más importantes que
otros.
El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor,
invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
 CP: Valor de los bienes y recursos protegidos.
 CR:Costo de los medios necesarios para romper las medidas de seguridad establecidas.
 CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea lógica y consistente se debe cumplir que:
 CR > CP: o sea que un ataque para obtener los bienes debe ser más costoso que el valor de
los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben
compensar el costo de desarrollo del ataque.
 CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la
protección.
Luego, CR > CP > CS y lo que se busca es:
 "Minimizar el costo de la protección manteniéndolo por debajo del de los bienes protegidos"
(2). Si proteger los bienes es más caro de lo que valen (el lápiz dentro de la caja fuerte),
entonces resulta más conveniente obtenerlos de nuevo en vez de protegerlo.
 "Maximizar el costo de los ataques manteniéndolo por encima del de los bienes protegidos"
(3). Si atacar el bien es más caro de lo que valen, al atacante le conviene más obtenerlo de
otra forma menos costosa.
Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos
contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial
énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces,
ocultos y no obvios (costos derivados).
Valor Intrínseco Es el más fácil de calcular (pero no fácil) ya que solo consiste en otorgar un
valor a la información contestando preguntas como las mencionadas y examinando
minuciosamente todos los componentes a proteger.
Costos Derivados de la Pérdida Una vez más deben abarcarse todas las posibilidades,
intentando descubrir todos los valores derivados de la pérdida de algún componente del
sistema. Muchas veces se trata del valor añadido que gana un atacante y la repercusión de esa
ganancia para el entorno, además del costo del elemento perdido. Deben considerarse
elementos como:
  Información aparentemente inocua como datos personales, que pueden permitir a alguien
suplantar identidades.
 Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
 Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para
ahorrarse el costo (y tiempo) necesario para su desarrollo.
Punto de Equilibrio Una vez evaluados los riesgos y los costos en los que se está dispuesto a
incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio entres
estas magnitudes:

Como puede apreciarse los riesgos disminuyen al aumentar la seguridad (y los costos en los que
incurre) pero como ya se sabe los costos tenderán al infinito sin lograr el 100% de seguridad y por
supuesto nunca se logrará no correr algún tipo de riesgo. Lo importante es lograr conocer cuan
seguro se estará conociendo los costos y los riesgos que se corren (Punto de Equilibrio).