El documento describe el proceso de evaluación de riesgos en seguridad patrimonial, incluyendo la identificación de amenazas, activos, vulnerabilidades y el desarrollo de un sistema integral de seguridad.
El documento describe el proceso de evaluación de riesgos en seguridad patrimonial, incluyendo la identificación de amenazas, activos, vulnerabilidades y el desarrollo de un sistema integral de seguridad.
El documento describe el proceso de evaluación de riesgos en seguridad patrimonial, incluyendo la identificación de amenazas, activos, vulnerabilidades y el desarrollo de un sistema integral de seguridad.
El documento describe el proceso de evaluación de riesgos en seguridad patrimonial, incluyendo la identificación de amenazas, activos, vulnerabilidades y el desarrollo de un sistema integral de seguridad.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1de 95
Propósito Gessein Perú EIRL
Compartir conocimientos y experiencias en Seguridad
Ocupacional, Seguridad Patrimonial y Liderazgo
Análisis de Riesgos en Seguridad Patrimonial Introducción Descripción General
El profesional de seguridad debe ser capaz de supervisar
el proceso de brindar una solución integral a los problemas de seguridad física Descripción General
Las metas y objetivos de Seguridad Patrimonial deben
estar alineados con el Plan Estrategico de la empresa Descripción General
Un sistema es un conjunto de productos, procesos, o
ambos, para proporcionar una solución a un problema u objetivo Descripción General
La integración, es la combinación de los componentes
(personas, procedimientos y tecnología) para formar un sistema Administración de Riesgos
Son las actividades coordinadas para dirigir y controlar
una organización en relación al riesgo Administración de Riesgos
La administración de riesgos depende de la evaluación
del riesgo, lo que a su vez depende de la evaluación de vulnerabilidades Administración de Riesgos
La administración del riesgo incluye la amenaza, el valor
de los activos y la vulnerabilidad como parte del proceso general de gestión de riesgos Evaluación y Gestión del Riesgo Riesgo
Es una situación incierta en la que una serie de
resultados adversos podrían ocurrir y que la empresa u organización quiere evitar Evaluación de Riesgo
Es el proceso de definir cuan grande es el riesgo (método
Mosler, Método Fine, Metodo What if) Evaluación de Riesgo
Los riesgos deben ser identificados en el comienzo del
análisis, la lista de riesgos es el punto de partida del análisis, no el resultado de la investigación Evaluación de Riesgo
Las probabilidades deben estar basadas en información
objetiva, sin embargo, en seguridad es común estimar en factores subjetivos, como la intuición, la experiencia y/o información parcial Evaluación de Riesgo
La información subjetiva agrega bastante dudas en el
análisis debido a la falta de información seria, sobre todo en tipo de ataques de adversarios Evaluación de Riesgo
La probabilidad de ocurrencia de un evento y de su
impacto pueden ser fácilmente evaluadas cuando se utilizan escenarios causales Evaluación de Riesgo
Los escenarios pueden ser sugeridos por personas con
experiencia o el historial de incidentes previos Evaluación de Riesgo
La evaluación del riesgo examina el resultado de un
ataque exitoso, la probabilidad de que ocurra, como podría desarrollarse y cuantas personas se verán afectadas Evaluación de Riesgo
• ¿Qué puede salir mal?
• ¿Cuál es la probabilidad de que salga mal?
• ¿Cuáles son las consecuencias?
Evaluación de Riesgo
La administración de riesgos se construye sobre la base
de la evaluación del riesgo Evaluación de Riesgo
• ¿Qué se puede hacer?
• ¿Cuáles son las opciones disponibles?
• ¿Cuáles son las ventajas y desventajas?
• ¿Cuáles son los impactos de las decisiones de gestión?
Evaluación de Riesgo
La administración de riesgos es un proceso sistemático, y
basado en estadísticas, que utiliza evaluación y gestión de riesgos y trata las fuentes de los fallos del sistema Evaluación de Riesgo
Los riesgos pueden ser reducidos de tres formas:
Previniendo el ataque antes que suceda, Protegiéndose ante un ataque, Reduciendo (mitigando) las consecuencias Evaluación de Riesgo
La prevención requiere de la recolección de inteligencia y
disuasión y la protección requiere de un sistema de protección física. Evaluacion del Riesgo
La mitigación significa reducir las consecuencias cuando
ocurrió el evento, estas pueden ser implementadas antes, durante o después de un ataque Evaluacion del Riesgo
En la gestión de riesgos es necesario determinar que
adversarios (humanos) intentaran robar o sabotear los activos de importancia Evaluacion del Riesgo
La evaluacion de riesgos permite identificar las
amenazas, activos y vulnerabilidades a través de un proceso sistemático Evaluacion del Riesgo
Amenaza es la combinación de las capacidades del
atacante, el equipamiento, la motivación y la probabilidad de ataque Evaluacion del Riesgo
Frecuencia es el numero de veces que suceden eventos
no deseados en un periodo de tiempo Evaluacion del Riesgo
Probabilidad es la posibilidad de que un resultado suceda
dentro del total de resultados no deseados Evaluacion del Riesgo
Consecuencia es el resultado no deseado del evento
Evaluacion del Riesgo
Las vulnerabilidades son las debilidades de un sistema de
protección física que pueden ser aprovechadas por el atacante Evaluacion del Riesgo
La efectividad del sistema es la habilidad del sistema de
protección física para prevenir un ataque exitoso una vez que ha sido iniciado Evaluacion del Riesgo
La evaluación de riesgos involucra el proceso de
identificar amenazas y vulnerabilidades internas y externas Evaluacion del Riesgo
Seguridad son las medidas utilizadas para proteger a las
personas, a la propiedad o las empresas, de las amenazas humanas Determinación de la Amenaza Determinación de la Amenaza
La definición de la amenaza para la empresa debe ser
elaborada durante la evaluacion de riesgos y se debe recolectar información especifica sobre el adversario Determinación de la Amenaza
• Adversarios externos.
• Adversarios internos (empleado que tiene información
sensible o tiene influencia sobre este)
• Adversarios externos en complicidad con internos
Determinación de la Amenaza
Se debe identificar el tipo de amenaza, tácticas, modo de
operación, capacidades, niveles de amenaza y la probabilidad de la ocurrencia Determinación de la Amenaza
La identificación de la amenaza debe considerar que
vehículos se van a utilizar, armas, herramientas o explosivos, y la motivación. Determinación de la Amenaza
Los atacantes pueden estar motivados por razones
ideológicas, financieras o razones personales Determinación de la Amenaza
No se pueden diseñar respuestas apropiadas sin saber
cuantos adversarios se espera que ataquen Determinación de la Amenaza
Un establecimiento puede ser atacado por muchas
razones, y los ataques usualmente se enfocan en robar o sabotear un activo Determinación de la Amenaza
• Vándalos: grupo de personas con intención de dañar
los activos de la empresa
• Empleados descontentos: Pueden atacar a una persona
en el trabajo, el jefe, o equipos Determinación de la Amenaza
• Delincuentes: Tienen el objetivo de robar objetos de
valor de la empresa o dinero (tienen ayuda del interior)
• Extremistas: Su motivación es ideológica
Determinación de la Amenaza
No todas las instalaciones han sufrido un ataque violento
en el lugar de trabajo, sin embargo casi todos incluyen amenazas violentas en el lugar Antecedentes Antecedentes
En las empresas, generalmente no están disponibles los
suficientes datos (antecedentes) en formato utilizable Antecedentes
No existe información sobre actos delictivos anteriores, y
la información se encuentra en formatos que no permite procesar estadísticamente Antecedentes
La información histórica (base de datos) sobre perdidas o
hechos delictivos puede convertirse en la información mas valiosa de una empresa Antecedentes
Las estadísticas nos brindan información sobre la
frecuencia de la probabilidad de eventos futuros Identificación de Activos Identificación de Activos
Los activos deben ser identificados y priorizados de
acuerdo al impacto que su pérdida podría tener en la empresa. Identificación de Activos
Algunos activos dañados o perdidos pueden tener poco
impacto, otros activos son críticos para la empresa y su perdida tiene consecuencias graves Identificación de Activos
Los activos se pueden valorar por el impacto de la
perdida, por el valor económico o por políticas establecidas Evaluacion de Vulnerabilidades Evaluacion de Vulnerabilidades
El análisis de vulnerabilidades, es el método de
identificar puntos débiles en una instalación, entidad, establecimiento o persona Evaluacion de Vulnerabilidades
La vulnerabilidad es una debilidad que puede ser
aprovechada por un adversario Evaluacion de Vulnerabilidades
La evaluacion de vulnerabilidades debe ser realizada para
establecer la línea de base de la efectividad del sistema de protección física en base a las amenazas definidas Evaluacion de Vulnerabilidades
En la evaluacion se debe incluir a especialistas
(responsable del área, técnicos en cerrajería, etc) además de conocer las normativas legales Evaluacion de Vulnerabilidades
También se debe tener en cuenta las operaciones de la
empresa, las áreas y el impacto de las recomendaciones Evaluacion de Vulnerabilidades
Se debe realizar una estudio de la instalación incluyendo
una descripción de los elementos de seguridad Evaluacion de Vulnerabilidades
No solo se debe enfocar en la reparación de algunos
dispositivos de protección, debe enfocarse en la evaluacion sistemática de los medios y medidas de seguridad Objetivos de una Evaluacion de Vulnerabilidades Objetivo de la Evaluacion de Vulnerabilidades
Es identificar los elementos del Sistema de Protección
Física, el funcionamiento de los dispositivos de detección, demora y respuesta y estimar su rendimiento en relación con la amenaza Objetivo de la Evaluacion de Vulnerabilidades
También se deben revisar documentos relevantes,
realizar entrevistas con el personal en todos los niveles, para evaluar los conocimientos de los procedimientos y medidas de seguridad Objetivo de la Evaluacion de Vulnerabilidades
Las pruebas funcionales verifican que un dispositivo esta
en su lugar y se desempeña como se espera (probabilidad de detección) Objetivo de la Evaluacion de Vulnerabilidades
Las pruebas de operatividad verifican que un dispositivo
esta encendido y se utiliza de forma correcta (que señala en la dirección correcta) Objetivo de la Evaluacion de Vulnerabilidades
Las pruebas de desempeño repiten una prueba un
numero de veces para establecer una medida de la capacidad de un dispositivo en relación a diferentes amenazas Objetivo de la Evaluacion de Vulnerabilidades
Se debe identificar las vulnerabilidades en diferentes
situaciones (24/7/365) en operaciones normales, en horarios de descanso, cambios de turno, en huelgas, emergencias, cambios climáticos, etc Objetivo de la Evaluacion de Vulnerabilidades
Detectar, demorar y responder son las tres funciones
principales de un sistema de protección física Objetivo de la Evaluacion de Vulnerabilidades
La detección es descubrir una acción (cubierta o
descubierta) de un atacante Objetivo de la Evaluacion de Vulnerabilidades
La demora se refiere a retrasar el progreso del atacante
mediante personal de seguridad, barreras, cerraduras, etc. Objetivo de la Evaluacion de Vulnerabilidades
La respuesta consiste en las acciones del personal de
seguridad para evitar el éxito del atacante Objetivo de la Evaluacion de Vulnerabilidades
El informe de evaluacion de vulnerabilidades debe
informar a la gerencia el estado de la protección física y las recomendaciones Objetivo de la Evaluacion de Vulnerabilidades
El informe de evaluacion de vulnerabilidades es un
documento importante y no debe ser compartido indiscriminadamente Resumen Resumen
Es fundamental establecer las metas y objetivos del
Sistema de Protección Física Resumen
Los objetivos incluyen la definición de la amenaza, la
identificación de los activos y la caracterización del riesgo Resumen
El riesgo es estimado a través del uso de la evaluación de
vulnerabilidades, y cada empresa debe determinar cuanto riesgo es aceptable Lista de Riesgos N° Riesgo Justificación