Análisis y Evaluación de Riesgos - ASIS ECUADOR

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 97

Curso de Seguridad Física

Análisis del Riesgo

William Ramírez C., CPP


Daniel Ramírez L., Matemático
Bogotá, D. C. 9 de Octubre de 2.004
Diplomado en Seguridad Física

MODULO I

Introducción a la Teoría del Riesgo


y
Probabilidad
Reflexión :
Cuál es su tipo de Seguridad ?
FRAGMENTADA Agregando ingredientes sin un
programa coherente.

REACTIVA Respondiendo unicamente en los siniestros

UNIDIMENSIONAL Basada en una sola medida.


Ej. : Solo seguros o solo vigilantes

EMPAQUETADA Instalando sistemas de seguridad “porque todos


lo hacen”; en el supuesto de que un paquete
responderá a cualquier clase de problema.

INTEGRAL Basada en el análisis de riesgos y evaluación


de vulnerabilidades, con cobertura sobre todos
los aspectos de la empresa.
Proceso General de la Seguridad
1. Requerimiento del Gerente General
Entrevista inicial 2. Estudio Preliminar
Cliente Gerente Responsable
Contacto Compresión Empresa
División del Trabajo
Identificación 3. Análisis y
Herramienta Probabilidad/Frecuencia Evaluación de los Tiempo/Recursos Recomienda
Riesgos Balance Planos
Criticalidad/Impacto Asumir
Organigrama
Transferir
4. Estudio o Encuesta Propósitos del Estudio
Producto Evitar
de Seguridad Estado Actual de la Seguridad 5. Matriz de Decisión
Repartir
Análisis Físico en el Evaluar Vulnerabilidades
sitio Tipos de Prevenir
Determinar Sujetos de Riesgo
Administración del Combinación
Riesgo
Programas de Apoyo a la Seguridad Medidas de Prevención
Conciencia y Cultura
Programas de Seguridad
Entrenamiento
Seguridad Física
Análisis de Información
Seguridad de
Información

Seguridad de Personal
Programa de
Emergencia y Crisis Investigacions
Retardar

6. Reporte del 7. Diseño de los Detectar


Resultados del Programas
Estudio
Responder
Investigaciones

Intervención 8. Seguimiento y
Indicadores de Gestión
Operacional Mejoramiento Continuo

Técnica y Profesional
9. Educación
10. Sub Proceso de Entrenamiento y
Manejo de Información Capacitación
Conciencia y Cultura
Criticalidad del evento de pérdida
Matriz de decisión
Frecuencia de pérdida
Severidad de Alta Media Baja
Pérdida

Evitar Prevención de Transferencia


Alta Pérdidas por medio de
y evitar seguro
Evitar y Prevención de Asumir y
Media Prevención de Pérdidas repartir
Pérdidas y transferencia
por medio de
seguro
Prevención de Prevención de Asumir
Baja Pérdidas Pérdida
y Asumir
DISEÑO Y EVALUACION DE UN SISTEMA DE SEGURDAD 7. Diseño de
los Programas
DISEÑO
FINAL

DEFINICION PREPARACION RESOLUCION ANALISIS Y


PROBLEMA SOLUCION PROBLEMA EVALUACION

Selección alternativa Diagramas sec. adver


Comprensión de Arbol de
La empresa Amenaza lógica Implementación Indicadores/Int.Op

Identificación Diseño de la Monitoreo y Modelo Evaluación


Activos solución mejoramiento

REDISEÑO
Perfil del evento
• Barreras
de pérdida Retardo • Control del Acceso

Probabilidad del • Sensores Exteriores


evento pérdida • Sensores interiores
• CCTV
Detección • Valoración alarma
Impacto o efecto • Comunicación y consola de
del evento pérd. alarma
• Control de entrada

Respuesta • Fuerza de respuesta


• Comunicaciones
EVALUACION DE UN SISTEMA DE SEGURDAD
CONCEPTUALIZACION

Riesgo

„ Incertidumbre de pérdida financiera.


„ Variaciones entre resultados actuales y esperados.
„ Probabilidad que una pérdida ocurra.
„ Probabilidad de ocurrencia de un suceso no deseado.
„ El resultado final del riesgo es una pérdida o una reducción
en el valor.
CONCEPTUALIZACION

Divisiones del riesgo:

• Personal
• Propiedad
• Responsabilidad
CONCEPTUALIZACION

„ Probabilidad

„ Impacto, Criticalidad, severidad, red de costos

„ Vulnerabilidad

„ Amenaza

„ Analisis, Valoración, cuantificación


ANALISIS DE RIESGOS

Herramienta de gestión cuyos patrones para medir estan


determinados por lo que la gerencia estima aceptable con
respeto a pérdidas incurridas. Para proceder de forma
lógica para realizar un análisis del riesgo, es necesario
llevar a cabo de antemano algunas tareas básicas:
1. Identificar los bienes que necesitan protección.
2. Especificar los tipos de riesgos que pueden afectar los
bienes involucrados.
3.Establecer la probabilidad de incidencia del riesgo.
4. Determinar el impacto o el efecto si ocurriera una
pérdida determinada.
CONCEPTUALIZACION

Riesgo

„ Incertidumbre de pérdida financiera.


„ Variaciones entre resultados actuales y esperados.
„ Probabilidad que una pérdida ocurra.
„ Probabilidad de ocurrencia de un suceso no deseado.
„ El resultado final del riesgo es una pérdida o una reducción
en el valor.
CONCEPTUALIZACION

Divisiones del riesgo:

• Personal
• Propiedad
• Responsabilidad
CONCEPTUALIZACION

„ Riesgo convencional o especulativo:


ADMON CONVENCIONAL

„ Riesgo Puro
TAREA DE LA ADMON DE RIESGOS O DEL PROFESIONAL DE
SEGURIDAD.
CONCEPTUALIZACION

„ Probabilidad

„ Impacto, Criticalidad, severidad, red de costos

„ Vulnerabilidad

„ Amenaza

„ Analisis, Valoración, cuantificación


ADMINISTRACION DE
RIESGOS

VULNERABILIDAD

PREVENCIÓN DE
PÉRDIDAS
ANALISIS Y ADMINISTRACION DE LOS RIESGOS

Ningún plan o programa puede ser efectivo a menos que esté basado
en un claro entendimiento de los riesgos que está destinado a
controlar.

El valor de un programa de seguridad depende no solo de la excelencia


de los recursos aplicados sino también de su relevancia.

Hasta que no estén claramente evaluadas las amenazas contra los


activos, las contramedidas no pueden ser escogidas excepto por
adivinación o “sentido común”.
Algunas Generalidades sobre el riesgo

Riesgo puede ser la incertidumbre de pérdida financiera, la diferencia


entre los resultados esperados y los reales en cualquier actividad o la
probabilidad de que una pérdida ocurrirá.

También puede decirse que los riesgos pueden ser personales, de la


propiedad y de responsabilidad.

La evaluación del riesgo es una herramienta de gestión cuyos


patrones para medir están definidos por lo que la alta gerencia estima
aceptable con respecto a una pérdida probable.
Terminología

Medios - Cualquier propiedad o persona tangible o intangible

Consecuencia - Un resultado secundario derivado de una acción o


decisión.

Análisis del costo Beneficio - Un proceso de planeación relacionado


con las decisiones que comprometen fondos o medios. Usualmente este
proceso involucra tres pasos:

• Identificación de las consecuencias directas e indirectas del gasto

• Asignación de un valor monetario a todos los costos y beneficios


resultantes del gasto

• Descuento esperado de futuros costos y ganancias provenientes


del gasto
Criticalidad - Es el impacto de un evento de perdida típicamente
calculado como la red de costo de ese evento.

Evento - Algo que pasa; un acontecimiento importante.

Good Will - El valor de un negocio que ha sido construido a través de


la reputación del producto del negocio y de sus dueños.

Evento de pérdida - Una ocurrencia que produce una pérdida


financiera o un impacto negativo sobre los bienes.

Desastre Natural - Un evento o calamidad que ocurre naturalmente


trayendo gran daño, pérdida o destrucción

Probabilidad - La posibilidad y en algunos casos la certeza matemática


de que un evento dado ocurrirá.
Cualitativo - Relativo a una característica de algo que hace que sea lo
que es.

Cuantitativo - Relativo, concerniente o basado en la cantidad de algo


capaz de ser medido o expresado numéricamente.

Riesgo - La posibilidad de pérdida resultante de una amenaza incidente


de seguridad o evento.

Análisis de riesgo - Examen que incluye la evaluación del riesgo y las


alternativas de manejo, desarrollado para entender la naturaleza de sus
consecuencias negativas para la vida, la salud, la propiedad o el
ambiente; proceso analítico para proveer información de eventos
indeseables; el proceso de cuantificación de las probabilidades y
consecuencias esperadas de un riesgo identificado.
Evaluación del riesgo - Proceso de evaluar riesgos relacionados
a la seguridad, provenientes de amenazas internas y externas.

Incidente de Seguridad - Ocurrencia o acción relativa a la


seguridad que puede llevar a la muerte, heridas o pérdidas
monetarias.

Vulnerabilidad - Debilidad o deficiencia de la seguridad que


puede ser explotada.

Sitio - Locación espacial que puede designarse por latitud y


longitud.
Estado del Arte - El más avanzado nivel de conocimiento y
tecnología alcanzado en cualquier campo en un tiempo dado.

Estadística - Una rama de las matemáticas relativa a la colección,


análisis, interpretación y presentación de grupos de datos
numéricos. En seguridad esto podría representar una colección de
datos cuantitativos tales como incidentes, reporte de crímenes e
información relacionada, que junto con otra información similar
sirve como estadísticas de seguridad

Amenaza - Un intento de daño o herida. Una indicación de algo que


podría ocurrir.
Recursos de Información para determinar los
Eventos de Riesgo de Pérdida

• Estadísticas locales y nacionales de la Policía, sobre crimen


• Reportes e investigaciones especiales o datos similares
• Documentos y reportes internos sobre incidentes
• Reclamos, informaciones y quejas anteriores de empleados,
contratistas, visitantes, etc.
• Reclamaciones civiles anteriores por seguridad inadecuada
• Inteligencia de agencias locales, regionales o nacionales, de seguridad,
acerca de atentados o riesgos potenciales.
• Información relativa de la industria acerca de tendencias de los riesgos
• Informaciones sobre tendencias económicas generales del área
• Presencia de generadores de crimen: proximidad a clubes nocturnos,
presencia de vagos, propiedades abandonadas, etc.
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
Definición del problema

Requiere reconocer y evaluar en términos cuantitativos tres factores:

1. Las clases de amenazas o riesgos que afectan los activos o Perfil del
evento de Pérdida (Loss Event Profile)

2. La probabilidad de que estas amenazas se conviertan en pérdidas o


Probabilidad del Evento de Pérdida (Loss Event Probability) también
llamada frecuencia.

3. El impacto o efecto sobre los activos en caso que la pérdida ocurra o


Criticalidad del Evento de Pérdida (Loss Event Criticality) también
llamada Severidad o Gravedad.
ANALISIS DE RIESGOS

Herramienta de gestión cuyos patrones para medir estan


determinados por lo que la gerencia estima aceptable con
respeto a pérdidas incurridas. Para proceder de forma
lógica para realizar un análisis del riesgo, es necesario
llevar a cabo de antemano algunas tareas básicas:
1. Identificar los bienes que necesitan protección.
2. Especificar los tipos de riesgos que pueden afectar los
bienes involucrados.
3.Establecer la probabilidad de incidencia del riesgo.
4. Determinar el impacto o el efecto si ocurriera una
pérdida determinada.
ADMINISTRACION DE
RIESGOS

VULNERABILIDAD

PREVENCIÓN DE
PÉRDIDAS
Análisis de Riesgos

Ningún Plan de seguridad o


programa puede ser efectivo sino
está basado en un claro
entendimiento de los riesgos
actuales y sus fases.
(Proceso)
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
PERFIL DEL EVENTO DE PERDIDA

Define las clases o tipos de amenazas o riesgos


que afectan los activos.
Es el segundo paso en la evaluación de
vulnerabilidad

„ Riesgo convencional o especulativo:


ADMON CONVENCIONAL

„ Riesgo Puro
TAREA DE LA ADMON DE RIESGOS O DEL PROFESIONAL DE
SEG.
Secuestro
Kidnap
Bomba/amenaza Bom
Bomb Threat/Attack Terrorismo Actividades Hostiles
Terrorist Obreros
Labor
Hostile Union Activity
Sabortaje Attack
Biochemical Huelgas-Paros
Strike
Extorsión
Extortion

Actos intensionales
Malicious Acts by Disgruntled Employees

Protesta de Consumidores
Consumer Lobby Drug/Substance Abuse
Tráfico de Drogas
Interestcon
Grupos Groups
intereses
Animal Rights Activists Empleados Theft
Hurto of de
Sensitive Information
información sensible
Activistas de Derechos de Animales Employee
Raude
Fraud
Hurto
Theft interno
Prácticas
Corrupt de corrupción
Practise
Secuestro
Kidnap
Major Extortion
Extorsión
Bomba/amenaza
Bomb Threat/Attack Bom Medios
Media Negative Publicity
Publicidad National/Local
Negativa local eLevel
internacional
ActosViolent
de violencia contra
Acts Against empleados
People
Theft
Hurto
Atraco
Armed Robbery Criminal
Crimen(External)
(Externo) Mapa de
THREAT MAP
Local
Property
Destrucción deDestruction
instalaciones Regional
Economic Environment
Incendio provocado Arson Amenazas7/3/2003 - v16
Ambiente Económico
National
Contaminación
Product de Productos
Contamination/Tampering International
Money de
Lavado Laundering
Modneda
Narcotraficantes
Narcotrafficers
Intereses
Private Privados
Interests/Agendas

Violence
Violencia Fire
Fuego
PresionesMade/Not
Decisions No hacer Political
Hacer/ Made Políticos
Inundaciones
Flood
Outcome Presidential
Elecciones Elections
Presidenciales
Ambientales
Environmental Caídas de
Lightning rayos
Strike
Terremotos
Storms
Epidemias
Epidemic
Legal
Polución
Pollution

Theft ofde
Hurto Information
información
Campañas
Negative de información
Information Negativa
Campaign/Press Leaks Major Market Competitors
Competidores Regulatory
Regulaciones
Poaching
Caza Senior Employees
de Ejecutivos CEO
PERFIL DEL EVENTO DE PERDIDA
Riesgo Puro

Guerra Nuclear Conflictos internos


Catástrofe Natural
Violencia en el sitio de
Desastre Industrial
Trabajo
Disturbios Civiles
Crimen Terrorismo
Sabotaje Secuestro
Robo interno
Huelgas Extorsión
PERFIL DEL EVENTO DE PERDIDA
UNA CONTRAMEDIDA DEBE SER PLANEADA
SÍ EL EVENTO DE PERDIDA TIENE LAS
SIGUIENTES CARACTERÍSTICAS

1. EL evento producirá una pérdida real.


2. La pérdida es medible por algún medio
standard como: dinero
3. La pédida no es especulativa en el sentido
que la no ocurrencia del evento resultaría en
una ganancia
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
Probabilidad o Frecuencia del Riesgo

La probabilidad de que una amenaza se convierta en pérdida o


probabilidad de Evento de Pérdida, también llamada frecuencia es
el segundo paso en la evaluación de vulnerabilidad.

La probabilidad o Frecuencia es el número de formas en las cuales


un evento en particular puede resultar de cierta actividad por el
número total de eventos que podrían ocurrir en esa actividad.

P = Probabilidad que un evento dado ocurra

P=
__f f = Número de resultados favorables a la ocurrencia
n n = Número total de resultados posibles
Factores de Probabilidad

Los factores de probabilidad son las condiciones o grupos de


condiciones que incrementarán la exposición de los activos al
riesgo de pérdida, estas categorías son:

(1) Medio ambiente físico

• Composición: material, masa, peso, volumen, densidad

• Clima: temperatura, humedad, lluvia, nieve, tormentas y estaciones

• Geografía: Latitud, longitud y elevación

• Ubicación: exposiciones del vecindario, ambiente abierto o cerrado,


controlado o no

• Condiciones de uso: horas, procesos y procedimientos


(2) Medio ambiente social

• Identidad étnica: variedad de población y distribución

• Grupos por edad: niños, adolescentes, ancianos, etc.

• Niveles de ingresos: pobres, desempleados, cuello blanco, ricos

• Vecindario: porcentaje residencial, industrial, negocios, institucional,


recreacional, desarrollado, deteriorado.

• Historia social: pacífico, incidentes locales, disturbios, cronología de


eventos importantes

• Planeación: reconstrucción, rehabilitación, extensión, etc.

• Crimen: altos índices, bajos, tipos de crímenes, relaciones con


policía, frecuencia y cantidad de patrullas y control
(3) Medio ambiente político

• Unidad de Gobierno: ciudad, pueblo, etc.

• Generalidades políticas: conservadores, liberales, partidos


tradicionales, minoritarios, mezclados, apolíticos

• Actitudes: fuertemente organizados, pobremente organizados,


organizaciones competitivas, grupos dominantes

• Area política: modos de elecciones, nivel local, regional, nacional,


federal, etc.
Experiencia histórica

Es una forma de apreciar las probabilidades aunque generalmente no


hay registros.

Dos problemas: o no existe el registro de la información o está


registrada de manera que sea posible hacer mediciones estadísticas.

Sabemos que la frecuencia es un indicio de probabilidad.

Una base de datos en tal sentido debería tener como mínimo los
siguientes registros:

• Lugar, Fecha y Hora del incidente tan precisos como sea posible
• Naturaleza del evento: accidente o crimen
• Descripción detallada del evento: incendio, robo, ataque, etc.
• Método de operación o modo de ocurrencia
• Número del evento por tipo o por localización
• Valor de los bienes o costo de la pérdida
Aplicación de los factores de probabilidad

Los factores de probabilidad se aplican al conocimiento general que


el gerente de seguridad deben tener acerca de la naturaleza de la
empresa, del medio ambiente y del negocio en general.

Estos factores pueden ser muy generales para tratar de aplicarlos al


análisis de las vulnerabilidades de una empresa en particular

El gerente debe recontextualizarlos a su empresa y reducir al nivel y


al detalle que su experiencia le indiquen para realizar el análisis.
El principal propósito de tener una clasificación de la probabilidad
(ratings) es permitir más adelante priorizar la selección de
contramedidas. Los ratings son:

• Virtualmente cierto 0.85 x K del evento dado


• Altamente probable 0.65 x K del evento dado
• Moderadamente probable 0.50 x K del evento dado
• Improbable 0.20 x K del evento dado
• Probabilidad desconocida
Clasificaciones de Probabilidad

(A) Virtualmente Cierto: dado ningún cambio en los factores de


probabilidad, el evento ocurrirá.
(B) Altamente Probable: la probabilidad de ocurrencia es mucho más
grande que la no ocurrencia.
(C) Moderadamente Probable: Es más probable que el evento ocurra a
que no ocurra
(D) Improbable: es menos probable que el evento ocurra a que no
ocurra. Esto no implica imposibilidad, solo improbabilidad.
(E) Probabilidad Desconocida: los datos disponibles son insuficientes
para hacer una evaluación.

Una práctica aceptada de seguridad es que ante la ausencia de datos,


entre dos clasificaciones posibles, se asigne la más alta.

La Probabilidad Desconocida debe tomarse como una calificación


temporal mientras se desarrollan y obtienen datos relevantes.
Probabilidad del evento de pérdida
(Frecuencia)

P = Probabilidad que un evento dado ocurra


P= F
n F = Número de resultados favorables a la
ocurrencia

n= Número total de resultados posibles


Probabilidad del evento de pérdida
(Frecuencia)

Los eventos de pérdida no se pueden predecir usando una


formula probabilística standard por que:
• No todos los eventos simultáneos son igualmente probables;
• Algunos eventos pueden ocurrir más de una vez.

Entre más formas haya de que un evento en


particular pueda ocurrir en unas circunstancias
dadas, mayor será la probabilidad que este ocurra.
A MAYOR FRECUENCIA, MAYOR PROBABILIDAD
Probabilidad: Para qué más sirve?

R = PA*[1 – (PI)]*C PD = PS * PT * PA
Probabilidad del evento de pérdida
(Frecuencia)

Clasificación de la probabilidad del evento de pérdida

Factor probabilístico
• Virtualmente Cierto (A) 0,85 x K del evento
• Altamente Probable (B) 0,65 x K del evento
• Moderadamente Probable (C) 0,50 x K del evento
• Improbable (D) 0,20 x K del evento
• Probabilidad desconocida (E)
Probabilidad del evento de pérdida
• Virtualmente Cierto: que dado ningún cambio en los
factores el evento ocurrirá.
• Altamente Probable: la probabilidad de la ocurrencia
es mucho más grande que la no ocurrencia.
• Moderadamente Probable: Es más probable que el
evento ocurra a que no ocurra.
• Improbable: Es menos probable que el evento
ocurra a que no ocurra. No implica imposibilidad,
sólo improbabilidad.
• Probabilidad desconocida: Los datos disponibles son
insuficientes para hacer una evaluación.
Probabilidad del evento de pérdida
Una práctica aceptada en seguridad, dentro de la
evaluación de la probabilidad, es que ante la ausencia
de datos, entre dos (2) calificaciones posibles, se asigne
la más alta.
La Probabilidad desconocida debe tomarse como una
clasificación temporal mientras se desarrollan y se
obtienen más datos.
Desde el punto de vista probabilístico SEGURIDAD es
definida como un paquete de procedimietos y
procesos que tomados como un todo, que tienen
el efecto de alterar la razón de eventos
indeseables en el total de eventos.
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
Criticalidad del evento de pérdida

Evaluar el impacto o efecto sobre los activos en


caso que la pérdida ocurra. Tambien llamada
severidad.

El impacto debe ser medido en dinero porque este


es el común denominador en todos los negocios.

Eventos altamente probables pueden no requerir


contramedidas sí el daño neto que en ellos
producirán es pequeño. Pero riesgos
moderadamente probables requerirán atención sí
el tamaño de la pérdida que producirán es grande.
Criticalidad del evento de pérdida

La única forma útil de evaluar las


contramedidas de seguridad es
comparar el costo estimado de
las pérdidas con el costo de la
protección.
Criticalidad del evento de pérdida

Clasificación de la Criticalidad (Ratings)

• Fatal (1)
• Muy Serio (2)
• Moderadamente Serio (3)
• Relativamente sin importancia (4)
• Severidad desconocida (5)
Criticalidad del evento de pérdida
Costos de las pérdidas
COSTOS DIRECTOS COSTOS INDIRECTOS
• Moneda • Reputación
• Instrumentos • Goodwill
negociables
• Pérdida de empleados
• Propiedades
• Moral de empleados
• Maquinaria
• Información
• Propiedad Intelectual
• Materia Prima
• Producto terminado
Criticalidad del evento de pérdida
Costos de las pérdidas

COSTOS COSTOS
DIRECTOS INDIRECTOS

COSTOS
REALES

PERDIDA DE PERDIDA DE
ACTIVOS INGRESOS
Criticalidad del evento de pérdida

COSTOS REALES DE LA PERDIDA

REEMPLAZO COSTOS
PERMANENTE RELATIVOS

SUSTITUCION INGRESOS
TEMPORAL PERDIDOS
Criticalidad del evento de pérdida

FORMULA COSTO TOTAL DE LA PERDIDA


SE CALCULA PARA UNA PÉRDIDA INDIVIDUAL Y SOBRE UNA BASE ANUAL

K = (Cp + Ct + Cr + Ci) – (I – a)
K = Criticalidad o costo total de pérdidas
Cp = Costo del reemplazo permanente
Ct = Costo del reemplazo temporal
Cr = Costo relativo
Ci = Costo ingresos perdidos
I = Indemnización por seguros
a = Monto de la prima de seguro
Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)

1. Precio de compra o costo de manofactura


2. Fletes y cargos de transporte y envío
3. Costos de instalación y puesta en marcha
Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)
Ct = El Costo de la sustitución temporal se compone de:
1. Costo de alquiler
2. Trabajo extra para compensar la producción perdida.

Una sustitución puede ser necesaria para mantener activa la


estructura de la empresa mientras llega el reemplazo permanente
porque minimiza las pérdidas de ingresos y ventas, evitando
tambíén las multas por incumplimiento de contratos.

Es aconsajable gastar en una sustitución temporal (Ct) de activos


cuando el costo de la sustitución permanente (Cp) de los activos
excede el costo de cerrar el negocio.
Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)
Cr = El Costo relativo o consecuente se
asimila al lucro cesante generado por la
pérdida.

LUCRO CESANTE: COSTO DEJADO


DE GANAR O PERCIBIR POR EL NO
FUNCIONAMIENTO DE UNA
MAQUINA
Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)
Ci = El Costo de ingresos perdidos, es el ingreso que
pudiera haber sido obtenido de haber invertido el dinero
que se ha gastado en las sustituciones permanentes y/o
temporales.

Ci = i Pxt
365
i = Tasa de interés efectivo anual
P = Monto disponible para la inversión P= Cp + Ct
t = Tiempo en días durante el cual P está disponible
para la inversión
Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)
EJERCICIO:
Calcular el Costo de ingresos perdios (Ci) y el costo
total de la pérdida (K) de un computador servidor
que ha sido robado de la oficina financiera, dados
los siguientes valores:
Cp = U$ 5.000 Ct = U$ 2.000 Cr = U$ 2.000

I = U$ 4.000 a = U$ 500 t = 90 días


Criticalidad del evento de pérdida

K = (Cp + Ct + Cr + Ci) – (I – a)
La indemnización de pérdidas, vía seguro, no debe
ser considerada como el único factor de protección
contra pérdidas porque la cobertura es limitada. La
mejor aproximación a un manejo integrado del
riesgo es la Administración de Riesgos (RM).
Administración de Riesgos (Risk Management) es
un concepto aplicado a las funciones combinadas
de:
1. Prevención de pérdidas.
2. Control de pérdidas
3. Indemnización de pérdidas
Criticalidad del evento de pérdida
El siguiente paso en la evaluación de la vulnerabilidad es
poner los riesgos en una secuencia de prioridad para
aplicar contramedidas. Cuando los riesgos ya han sido
“rankeados” mediante una combinación de probabilidad y
severidad. Ejemplo: A1, B3, C5 y D4, la tarea formal de la
evaluación de vulnerabilidad ha sido completada. La
siguiente etapa es la preparación de la solución.
Probabilidad Criticalidad
• Virtualmente Cierto (A) • Fatal (1)

• Altamente Probable (B) • Muy Serio (2)

• Moderadamente Probable (C) • Moderadamente Serio (3)

• Improbable (D) • Relativamente sin importancia (4)

• Probabilidad desconocida (E) • Severidad desconocida (5)


Criticalidad del evento de pérdida
Matriz de decisión
Frecuencia de pérdida
Severidad de Alta Media Baja
Pérdida

Evitar Prevención de Transferencia


Alta Pérdidas por medio de
y evitar seguro
Evitar y Prevención de Asumir y
Media Prevención de Pérdidas repartir
Pérdidas y transferencia
por medio de
seguro
Prevención de Prevención de Asumir
Baja Pérdidas Pérdida
y Asumir
Probabilidad del evento de pérdida
(Frecuencia)

EXPECTATIVA ANUAL DE PERDIDA

(f + i - 3)
ALE = 10
3
Probabilidad del evento de pérdida
(Frecuencia)
EXPECTATIVA ANUAL DE PERDIDA
ALE = 10 (f + i - 3)
3
Si la valoración del costo Si la frecuencia de ocurrencia
(impacto) del suceso es: estimada es:
$10, haga i = 1 Una vez en 300 años, haga f = 1
$100, haga i = 2 Una vez en 30 años, haga f = 2
$1.000, haga i = 3 Una vez en 3 años haga f = 3
$10.000, haga i = 4 Una vez en 100 días haga f = 4
$100.000, haga i = 5 Una vez en 10 días haga f = 5
$1.000.000, haga i = 6 Una vez por día haga f = 6
$10.000.000, haga i = 7 10 veces por día haga f = 7
$100.000.000, haga i = 8 100 veces por día haga f = 8
EXPECTATIVA ANUAL DE PERDIDA ALE = 10 (f + i - 3)

3
Valores de f
Valores 1 2 3 4 5 6 7 8
de i

1 $ 300 $3K $ 30K $300K

2 $300 3K 30K 300K 3M

3 $300 3K 30K 300K 3M 30M

4 $300 3K 30K 300K 3M 30M 300M

5 $300 3K 30K 300K 3M 30M 300M

6 3K 30K 300K 3M 30M 300M

7 30K 300K 3M 30M 300M


ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
Planeación de la solución
Arbol de Amenaza Lógica ROBO DE EVENTO
ACTIVO

VENCER LIMITE NOMBRE DEL EVENTO

PUERTA LOGICA

Vence la Vence la Vuela sobre Túnel debajo Vence la


Puerta Puerta el límite del límite malla
Peatonal Vehicular

E-AND VEH Vuelo Túnel SALTO

A B

Vence la
Vence V. área Vence A Puerta
primera entre segunda Vehicular
Puerta puertas Puerta
VEH
1-1 1-2 1-3
Planeación de la solución
Analisis de la Amenaza
El análisis de la amenaza indicará que aunque varios
riesgos estén separadamente identificados es posible que
una simple contramedida pueda neutralizarlos a todos o
detectar que un número de riesgos dependen de una
misma causa común o condición precedente.

Estas conexidades producen un patrón de amenaza


lógica el cual sugiere no sólo la interrelación entre
riesgos sino el punto de partida más apropiado para
interponer o aplicar la contramedida. La tarea de planear
ese patrón lógico es lo que se denomina análisis de la
amenaza.
Planeación de la solución

Principio de Apalancamiento
(Leverage)

Consiste en que la aplicación de una simple


contramedida en el lugar apropiado puede
neutralizar varias amenazas. Cada punto de
apalancamiento indica una posibilidad para una
contramedida.
Planeación de la solución

Principio de Apalancamiento
(Leverage)

Las contramedidas pueden ser


desarrolladas en puntos de unión o
puntos apalancamiento en el modelo de
amenaza lógica.
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
Planeación de la solución

Diseño de Red

Disponer u ordenar los riesgos, las


amenazas y las vulnerabilidades para encontrar
una común inter-relación y organizar las
contramedidas.
Planeación de la solución

Diseño de Red

El último paso en la planeación se denomina


Diseño de Red y consiste en organizar la
interrelación de los riesgos, las amenazas y las
vulnerabilidades con las contramedidas. Pero el
verdadero hecho final es la ocurrencia del evento
de pérdida
ROBO DE
ROBO DE
ACTIVO
ACTIVO
VENCER LIMITE
VENCER LIMITE

Vence la Vence la Vuela Túnel debajo Vence la


Vence la Vence la Vuela Túnel debajo Vence la del límite malla
Puerta Puerta sobre el
Puerta Puerta sobre el del límite malla
Peatonal Vehicular límite
Peatonal Vehicular límite
SALT
SALT E- VEH Vue Tún
O
E- VEH Vue Tún
O AND lo el
AND lo el
A
A

Vence Vence Vence


Vence Vence
Vence V. área
Vence Vence
Vence V. área Vence primera primera primera
primera primera
primera entre
primera segunda
primera entre segunda Puerta Puerta Puerta
Puerta Puerta
Puerta puertas
Puerta Puerta
Puerta puertas Puerta
1-1 1- 1-
1-1 1- 1- 2 3
2 3

ROBO DE ROBO DE
ACTIVO ACTIVO

VENCER LIMITE VENCER LIMITE

Vence la Vence la Vuela Túnel debajo Vence la Vence la Vence la Vuela Túnel debajo Vence la
Puerta Puerta sobre el del límite malla Puerta Puerta sobre el del límite malla
Peatonal Vehicular límite Peatonal Vehicular límite
SALT SALT
E- VEH Vue Tún
O E- VEH Vue Tún
O
AND lo el AND lo el
A A

Vence Vence Vence Vence Vence Vence


Vence V. área Vence Vence V. área Vence
primera primera primera primera primera primera
primera entre segunda primera entre segunda
Puerta Puerta Puerta Puerta Puerta Puerta
Puerta puertas Puerta Puerta puertas Puerta

1-1 1- 1- 1-1 1- 1-
2 3 2 3
ANALISIS DE RIESGOS

1. DEFINICION DEL PROBLEMA


1.1. Identificar los bienes que necesitan protección
1.2. Determinar el Perfil del evento de pérdida
1.3. Probabilidad del evento de pérdida
1.4. Criticalidad del evento de pérdida
2. PLANEACION DE LA SOLUCION
2.1. Arbol lógico de amenaza
2.3. Diseño de Redes (Identif. y examen de alternat)
3. RESOLUCION DEL PROBLEMA
3.1. Selección de una alternativa de admon del riesgo
3.2. Justificación económica del proyecto
3.3. Implementación de la alternativa seleccionada
3.4. Monitoreo y mejoramiento de la alternativa selec.
4. ADMINISTRACION DE RIESGOS
INTERACCION ENTRE LAS 3 FUNCIONES DE LA ADMON DE RIESGOS:
4.1. Prevención de pérdidas
4.2. Control de pérdidas
4.3. Indemnización de pérdidas
5. ESTUDIO DE SEGURIDAD
RESOLUCION DEL PROBLEMA

Selección de una alternativa de admon del riesgo.

Justificación económica del proyecto.

Implementación de la alternativa seleccionada.

Monitoreo y mejoramiento de la alternativa


seleccionada
RESOLUCION DEL PROBLEMA

Hay 3 principales razones para


Para cada contramedida que ocurran las pérdidas en
en un programa de seg. seguridad.
tres criterios deben ser
determinados: • Falla en el recocimiento de las
vulnerabilities
• Contramedidas equivocadas o
• Grado de confiabilidad no efectivas

• Costo • Falla al considerar un cambio

• Tiempo de El cambio puede estar en la


implementación (Retardo) vulnerabilidad o en la relevencia
de la contramedida. La
vulnerabilidad cambia cuando
hay cambios en la probabilidad o
en la severidad.
Administracion de Riesgos
Justificación económica

Los costos del programa deben ser menores que los costos de
las pérdidas que ocurrirían sin el programa.

Los costos totales que son relevantes para la administración de


riesgos incluyen:
1. Costos de las pérdidas que ocurren a pesar del
programa y que no serán indemnizadas vía seguro.
2. Costos del programa de prevención o control de
pérdidas al lado de los costos de los seguros.
3. Costos de las primas de seguro y la
administración de reclamos.
Administracion de Riesgos

Justificación económica de un proyecto o programa de


seguridad
Los gastos de seguridad deben ser costo-justificados
porque ellos implican desviación de recursos o la
aplicación de activos de la empresa hacia actividades que
no pertenecen a la esencia del negocio (Core business).

Seguridad debe demostrar cuantitativamente que está


retornando la suma invertida en sus programas de
contramedidas en forma de:
1. Pérdidas evitadas o minimizadas
2. Activos recuperados
Administracion de Riesgos
Justificación económica

Sí tomados juntos los anteriores costos (calculados en un año),


son menores que los costos de las pérdidas que probablemente
hubieran ocurrido sin el programa de prevención y control de
pérdidas; entonces los esfuerzos de la Administración de riesgos
son exitosos.
El control de pérdidas, la prevención o minimización de las
pérdidas, son las funciones específicas de un programa de
seguridad y protección de activos.
Cuando las contramedidas son propuestas o implementadas,
debe hacerse un segundo estimado de las pérdidas que
ocurrirían no obsdtante las contramedidas.
Administracion de Riesgos
Justificación económica

El primer elemento en el ejercicio de justificación económica son


las perdidas evitadas, que son la diferencia entre las pérdidas
estimadas sin el programa y las que probablemente ocurran con
el programa. Esta cantidad se usará en la llamada ecuación ROE
(Return of Expenditures) para justificar el gasto de seguridad.
Las tareas de seguridad bien desempeñadas y una
contramedidas de seguridad funcionando apropiadamente,
tendrán consecuencias financieras directas.
Un segundo elemento en el ejercicio de justificación económica
es la recuperación de activos. En este sentido sólo deben ser
tenidas en cuenta las recuperaciones hechas unicamente como
resultado de la aplicación del programa de seguridad.
Administracion de Riesgos

ECUACION ROE

AL + R
= ROE
CSP
Algunos de estos eventos o condiciones deben existir
simultáneamente, algunos pueden existir en secuencia lineal, algunos
pueden existir individualmente y algunos pueden existir
individualmente pero no en presencia de la línea de secuencia de otros.

Lógicamente, estas combinaciones pueden ser representativas en los


siguientes términos:

AND Existencia simultánea


AND Pero si X antes de Y
OR Si puede existir aisladamente
OR Pero si X no está en Y

El principio de apalancamiento, consiste en que la aplicación de una


simple contramedida en el lugar apropiado puede neutralizar varias
amenazas. Cada punto de apalancamiento indica una posibilidad para
una contramedida.

El último paso en esta planeación se denomina Diseño de Red o


Sistema de Seguridad y consiste en organizar la interrelación de las
contramedidas.
Técnica de evaluación de sistemas

Sistema es un arreglo regular y ordenado de partes y componentes en


un todo interrelacionado e integrado.

Para diseñar un sistema deben elegirse las medidas que serán


soportadas o soportarán a otras, de modo que cada recurso juegue un
papel único e indispensable en el sistema.

Este tipo de diseño reduce el número de contramedidas, baja costos y


optimiza las medidas y el sistema como un todo.

El sistema debe ser implementado y probado, virtual o físicamente e


involucra acciones y procedimientos de respuesta de humanos, los
cuales deben ser evaluados por medio de ejercicios y simulaciones.

Debe tenerse en cuenta que en algunos casos, márgenes de error


pueden ser permitidos frente a los costos de producir cero errores, pero
en otros, el cero errores debe ser un requisito indispensable.
Mantener el sistema en funcionamiento

Hay tres grandes razones para que ocurran las pérdidas en


seguridad:

1. Porque las vulnerabilidades no han sido reconocidas

2. Porque las contramedidas no son efectivas y/o

3. Porque no se ha reconocido un cambio

El cambio puede estar en la vulnerabilidad o en la relevancia de la


contramedida. La vulnerabilidad cambia cuando hay cambios en la
probabilidad o en la severidad del impacto o en ambos.
4. Administración de Riesgos

La tendencia de hoy es hacia una interacción más cercana entre las


tres funciones de la Administración de Riesgos:

(1) La prevención de pérdidas → Antes del evento de pérdida


(2) El control de pérdidas y → Durante o después
(3) la indemnización de pérdidas → Después del evento de pérdida

Muchas empresas combinan estas funciones bajo un mismo


ejecutivo: el Gerente de riesgos

La justificación económica de un proyecto o programa de Seguridad


se basa en que los gastos de seguridad deben ser costo –
justificados porque implican desviación de recursos o aplicación de
activos hacia actividades que no pertenecen a la esencia de su
negocio.
El gerente de Seguridad debe demostrar cuantitativamente que
está retornando la suma invertida en sus programas de
contramedidas en la forma de:

1. Pérdidas evitadas o minimizadas y

2. Activos recuperados

¿Retornaría la suma invertida en seguridad un valor equivalente al


obtenido si fuera colocada en el mercado de valores a una tasa de
interés normal?
Los costos totales relevantes para la administración de riesgos
incluyen:

1. Los costos de las pérdidas que ocurren a pesar del programa y que
no serán indemnizadas vía seguro.
2. Los costos del programa de prevención al lado de los costos de los
seguros y
3. Los costos de las primas de seguro y la administración de
reclamos.

Si tomados juntos, los tres tipos de costos son menores que los
costos de las pérdidas que probablemente hubieran ocurrido sin el
programa de prevención, los esfuerzos de administración de
riesgos son exitosos.

El Control de Pérdidas es la función específica de un programa de


seguridad.

Cuando las contramedidas son propuestas o implementadas, debe


hacerse un segundo estimado de las pérdidas que ocurrirían no
obstante las contramedidas.
El primer elemento en el ejercicio de justificación económica son las
pérdidas evitadas, que son la diferencia entre las pérdidas estimadas
sin el programa y las que probablemente ocurran con el programa.
Esta cantidad se usará en la llamada Ecuación ROE para justificar el
gasto en seguridad.

Si no puede ser predecible un retorno positivo del gasto propuesto,


esa será una buena razón para no aprobarlo.

Un segundo elemento en el ejercicio de justificación económica es la


recuperación de activos como resultado de la aplicación del programa
de seguridad. Este es otro elemento de la Ecuación ROE.

La Ecuación ROE (Return of Expenditures) para obtener el retorno de


los gastos hechos en un programa de seguridad se compone de:

AL + R AL = Pérdidas Evitadas
ROE = ------------- R = Recuperaciones hechas
CSP CSP = Costo del Programa de Seguridad
ROE = Retorno de Gastos
Para representar los costos del programa de Seguridad (CSP) es
necesario incluir:

1. Gastos de personal
2. Todos los gastos generales administrativos
3. Costos de capital aplicado
Administracion de Riesgos

La tendencia de hoy es hacia una interección más


cercana entre las tres funciones de la Administración
de riesgos:

1. PREVENCION DE PERDIDAS Antes del evento de


pérdida

2. CONTROL DE PÉRDIDAS Durante o después del


evento de pérdida.

3. INDEMNIZACION DE PERDIDAS Después del evento


Gracias, estudien mucho y todos
pasarán el examen el 07 de Mayo
de 2005

Discusión y preguntas
Presentado por:

William Ramírez C, CPP

También podría gustarte