Analisis de Riesgos en Seguridad Patrimonial

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 95

Propósito Gessein Perú EIRL

Compartir conocimientos y experiencias en Seguridad

Ocupacional, Seguridad Patrimonial y Liderazgo


Análisis de Riesgos en
Seguridad Patrimonial
Introducción
Descripción General

El profesional de seguridad debe ser capaz de supervisar


el proceso de brindar una solución integral a los
problemas de seguridad física
Descripción General

Las metas y objetivos de Seguridad Patrimonial deben


estar alineados con el Plan Estrategico de la empresa
Descripción General

Un sistema es un conjunto de productos, procesos, o


ambos, para proporcionar una solución a un problema u
objetivo
Descripción General

La integración, es la combinación de los componentes


(personas, procedimientos y tecnología) para formar un
sistema
Administración de Riesgos

Son las actividades coordinadas para dirigir y controlar


una organización en relación al riesgo
Administración de Riesgos

La administración de riesgos depende de la evaluación


del riesgo, lo que a su vez depende de la evaluación de
vulnerabilidades
Administración de Riesgos

La administración del riesgo incluye la amenaza, el valor


de los activos y la vulnerabilidad como parte del proceso
general de gestión de riesgos
Evaluación y Gestión del Riesgo
Riesgo

Es una situación incierta en la que una serie de


resultados adversos podrían ocurrir y que la empresa u
organización quiere evitar
Evaluación de Riesgo

Es el proceso de definir cuan grande es el riesgo (método


Mosler, Método Fine, Metodo What if)
Evaluación de Riesgo

Los riesgos deben ser identificados en el comienzo del


análisis, la lista de riesgos es el punto de partida del
análisis, no el resultado de la investigación
Evaluación de Riesgo

Las probabilidades deben estar basadas en información


objetiva, sin embargo, en seguridad es común estimar en
factores subjetivos, como la intuición, la experiencia y/o
información parcial
Evaluación de Riesgo

La información subjetiva agrega bastante dudas en el


análisis debido a la falta de información seria, sobre todo
en tipo de ataques de adversarios
Evaluación de Riesgo

La probabilidad de ocurrencia de un evento y de su


impacto pueden ser fácilmente evaluadas cuando se
utilizan escenarios causales
Evaluación de Riesgo

Los escenarios pueden ser sugeridos por personas con


experiencia o el historial de incidentes previos
Evaluación de Riesgo

La evaluación del riesgo examina el resultado de un


ataque exitoso, la probabilidad de que ocurra, como
podría desarrollarse y cuantas personas se verán
afectadas
Evaluación de Riesgo

• ¿Qué puede salir mal?

• ¿Cuál es la probabilidad de que salga mal?

• ¿Cuáles son las consecuencias?


Evaluación de Riesgo

La administración de riesgos se construye sobre la base


de la evaluación del riesgo
Evaluación de Riesgo

• ¿Qué se puede hacer?

• ¿Cuáles son las opciones disponibles?

• ¿Cuáles son las ventajas y desventajas?

• ¿Cuáles son los impactos de las decisiones de gestión?


Evaluación de Riesgo

La administración de riesgos es un proceso sistemático, y


basado en estadísticas, que utiliza evaluación y gestión
de riesgos y trata las fuentes de los fallos del sistema
Evaluación de Riesgo

Los riesgos pueden ser reducidos de tres formas:


Previniendo el ataque antes que suceda, Protegiéndose
ante un ataque, Reduciendo (mitigando) las
consecuencias
Evaluación de Riesgo

La prevención requiere de la recolección de inteligencia y


disuasión y la protección requiere de un sistema de
protección física.
Evaluacion del Riesgo

La mitigación significa reducir las consecuencias cuando


ocurrió el evento, estas pueden ser implementadas
antes, durante o después de un ataque
Evaluacion del Riesgo

En la gestión de riesgos es necesario determinar que


adversarios (humanos) intentaran robar o sabotear los
activos de importancia
Evaluacion del Riesgo

La evaluacion de riesgos permite identificar las


amenazas, activos y vulnerabilidades a través de un
proceso sistemático
Evaluacion del Riesgo

Amenaza es la combinación de las capacidades del


atacante, el equipamiento, la motivación y la
probabilidad de ataque
Evaluacion del Riesgo

Frecuencia es el numero de veces que suceden eventos


no deseados en un periodo de tiempo
Evaluacion del Riesgo

Probabilidad es la posibilidad de que un resultado suceda


dentro del total de resultados no deseados
Evaluacion del Riesgo

Consecuencia es el resultado no deseado del evento


Evaluacion del Riesgo

Las vulnerabilidades son las debilidades de un sistema de


protección física que pueden ser aprovechadas por el
atacante
Evaluacion del Riesgo

La efectividad del sistema es la habilidad del sistema de


protección física para prevenir un ataque exitoso una vez
que ha sido iniciado
Evaluacion del Riesgo

La evaluación de riesgos involucra el proceso de


identificar amenazas y vulnerabilidades internas y
externas
Evaluacion del Riesgo

Seguridad son las medidas utilizadas para proteger a las


personas, a la propiedad o las empresas, de las amenazas
humanas
Determinación de la Amenaza
Determinación de la Amenaza

La definición de la amenaza para la empresa debe ser


elaborada durante la evaluacion de riesgos y se debe
recolectar información especifica sobre el adversario
Determinación de la Amenaza

• Adversarios externos.

• Adversarios internos (empleado que tiene información


sensible o tiene influencia sobre este)

• Adversarios externos en complicidad con internos


Determinación de la Amenaza

Se debe identificar el tipo de amenaza, tácticas, modo de


operación, capacidades, niveles de amenaza y la
probabilidad de la ocurrencia
Determinación de la Amenaza

La identificación de la amenaza debe considerar que


vehículos se van a utilizar, armas, herramientas o
explosivos, y la motivación.
Determinación de la Amenaza

Los atacantes pueden estar motivados por razones


ideológicas, financieras o razones personales
Determinación de la Amenaza

No se pueden diseñar respuestas apropiadas sin saber


cuantos adversarios se espera que ataquen
Determinación de la Amenaza

Un establecimiento puede ser atacado por muchas


razones, y los ataques usualmente se enfocan en robar o
sabotear un activo
Determinación de la Amenaza

• Vándalos: grupo de personas con intención de dañar


los activos de la empresa

• Empleados descontentos: Pueden atacar a una persona


en el trabajo, el jefe, o equipos
Determinación de la Amenaza

• Delincuentes: Tienen el objetivo de robar objetos de


valor de la empresa o dinero (tienen ayuda del
interior)

• Extremistas: Su motivación es ideológica


Determinación de la Amenaza

No todas las instalaciones han sufrido un ataque violento


en el lugar de trabajo, sin embargo casi todos incluyen
amenazas violentas en el lugar
Antecedentes
Antecedentes

En las empresas, generalmente no están disponibles los


suficientes datos (antecedentes) en formato utilizable
Antecedentes

No existe información sobre actos delictivos anteriores, y


la información se encuentra en formatos que no permite
procesar estadísticamente
Antecedentes

La información histórica (base de datos) sobre perdidas o


hechos delictivos puede convertirse en la información
mas valiosa de una empresa
Antecedentes

Las estadísticas nos brindan información sobre la


frecuencia de la probabilidad de eventos futuros
Identificación de Activos
Identificación de Activos

Los activos deben ser identificados y priorizados de


acuerdo al impacto que su pérdida podría tener en la
empresa.
Identificación de Activos

Algunos activos dañados o perdidos pueden tener poco


impacto, otros activos son críticos para la empresa y su
perdida tiene consecuencias graves
Identificación de Activos

Los activos se pueden valorar por el impacto de la


perdida, por el valor económico o por políticas
establecidas
Evaluacion de Vulnerabilidades
Evaluacion de Vulnerabilidades

El análisis de vulnerabilidades, es el método de


identificar puntos débiles en una instalación, entidad,
establecimiento o persona
Evaluacion de Vulnerabilidades

La vulnerabilidad es una debilidad que puede ser


aprovechada por un adversario
Evaluacion de Vulnerabilidades

La evaluacion de vulnerabilidades debe ser realizada para


establecer la línea de base de la efectividad del sistema
de protección física en base a las amenazas definidas
Evaluacion de Vulnerabilidades

En la evaluacion se debe incluir a especialistas


(responsable del área, técnicos en cerrajería, etc) además
de conocer las normativas legales
Evaluacion de Vulnerabilidades

También se debe tener en cuenta las operaciones de la


empresa, las áreas y el impacto de las recomendaciones
Evaluacion de Vulnerabilidades

Se debe realizar una estudio de la instalación incluyendo


una descripción de los elementos de seguridad
Evaluacion de Vulnerabilidades

No solo se debe enfocar en la reparación de algunos


dispositivos de protección, debe enfocarse en la
evaluacion sistemática de los medios y medidas de
seguridad
Objetivos de una
Evaluacion de Vulnerabilidades
Objetivo de la Evaluacion de
Vulnerabilidades

Es identificar los elementos del Sistema de Protección


Física, el funcionamiento de los dispositivos de
detección, demora y respuesta y estimar su rendimiento
en relación con la amenaza
Objetivo de la Evaluacion de
Vulnerabilidades

También se deben revisar documentos relevantes,


realizar entrevistas con el personal en todos los niveles,
para evaluar los conocimientos de los procedimientos y
medidas de seguridad
Objetivo de la Evaluacion de
Vulnerabilidades

Las pruebas funcionales verifican que un dispositivo esta


en su lugar y se desempeña como se espera
(probabilidad de detección)
Objetivo de la Evaluacion de
Vulnerabilidades

Las pruebas de operatividad verifican que un dispositivo


esta encendido y se utiliza de forma correcta (que señala
en la dirección correcta)
Objetivo de la Evaluacion de
Vulnerabilidades

Las pruebas de desempeño repiten una prueba un


numero de veces para establecer una medida de la
capacidad de un dispositivo en relación a diferentes
amenazas
Objetivo de la Evaluacion de
Vulnerabilidades

Se debe identificar las vulnerabilidades en diferentes


situaciones (24/7/365) en operaciones normales, en
horarios de descanso, cambios de turno, en huelgas,
emergencias, cambios climáticos, etc
Objetivo de la Evaluacion de
Vulnerabilidades

Detectar, demorar y responder son las tres funciones


principales de un sistema de protección física
Objetivo de la Evaluacion de
Vulnerabilidades

La detección es descubrir una acción (cubierta o


descubierta) de un atacante
Objetivo de la Evaluacion de
Vulnerabilidades

La demora se refiere a retrasar el progreso del atacante


mediante personal de seguridad, barreras, cerraduras,
etc.
Objetivo de la Evaluacion de
Vulnerabilidades

La respuesta consiste en las acciones del personal de


seguridad para evitar el éxito del atacante
Objetivo de la Evaluacion de
Vulnerabilidades

El informe de evaluacion de vulnerabilidades debe


informar a la gerencia el estado de la protección física y
las recomendaciones
Objetivo de la Evaluacion de
Vulnerabilidades

El informe de evaluacion de vulnerabilidades es un


documento importante y no debe ser compartido
indiscriminadamente
Resumen
Resumen

Es fundamental establecer las metas y objetivos del


Sistema de Protección Física
Resumen

Los objetivos incluyen la definición de la amenaza, la


identificación de los activos y la caracterización del riesgo
Resumen

El riesgo es estimado a través del uso de la evaluación de


vulnerabilidades, y cada empresa debe determinar
cuanto riesgo es aceptable
Lista de Riesgos
N° Riesgo Justificación

3
Gracias
Martin Fernández: +51 965171485
[email protected]

También podría gustarte