ANALISIS DEL RIESGO
Y
EL ESTUDIO DE SEGURIDAD
Traducción del libro “
Risk Analysis and the Security Survey
”
escrito por James F. Broder, CPP Security
y publicado por Butterworth-Heinemann en 1984
Traducido por encargo del
Capítulo Español
de la
American Society for Industrial Security
en Mayo 1998
por Eileen Gardner y Leandro Fernández
ÍNDICE GENERAL
Prefacio iv
Agradecimientos vi
Introducción vii
1. Análisis del Riesgo 1
¿Qué es riesgo? 1
¿Qué es el Análisis del Riesgo? 1
¿Qué es Análisis de la Evaluación del Riesgo? 2 ¿Qué puede hacer el Análisis del Riesgo para la Dirección 2 El papel de la Dirección en el Análisis del Riesgo. 2
Evaluación de Exposición al Riesgo 3
2. Identificación de Vulnerabilidades y Amenazas 5
Identificación de Riesgo 5
Ejemplos de Problemas de Identificación 6
Lista de Control de Seguridad 7
3. Medida del Riesgo y Cuantificación 14
Evaluación del Coste y la Frecuencia de Sucesos 14
Principios de Probabilidad 16
Probabilidad, Riesgo y Seguridad 17
Estimación de la Frecuencia de Probabilidad de Ocurrencia 18
4. Como cuantificar y priorizar el potencial de pérdida 19
Valoración de Criticalidad o Severidad 20
La Matriz de Decisión 20
5. Realizando un Análisis del Ratio Costo/ Beneficio 23
Ingeniería de Diseño de Sistemas 23
Costo 24
Fiabilidad 24
Retraso 24
Incorporando Redundancia en los Sistemas 25 Un Plan de Contramedidas de Seguridad 26
6. El Estudio de Seguridad 28
¿Por qué son necesarios los Estudios de Seguridad? 28 ¿Quién necesita un Estudio de Seguridad? 29 La Actitud de la Empresa hacía Seguridad 30 ¿Qué Puede Lograr un Estudio de la Seguridad? 31 ¿Por Que la Necesidad de un Profesional de Seguridad? 32 ¿Como se Vende Seguridad a la Dirección? 32
7. Técnicas de Auditoría de Gestión y el Estudio Preliminar 34
Ayudas de Auditoría para Estudios 34
Trabajo de Campo 35
Seis Formas del Trabajo de Campo 36
Definición y Propósito 37
La Entrevista Inicial 39
Obteniendo Información 40
Que información a obtener 40
Fuentes de Información 40
Observaciones Físicas 41
Diagramas de Flujo 41
Resumen 41
8. El Informe del Estudio 47
“Tengo que Escribir, Por Tanto lo Haré” 47 Para Llamar la Atención de la Dirección 49 Cuatro Criterios de un Buen Informe 49
Exactitud 49 Claridad 50 Concisión 50 Oportunidad 50 Tendencia o Tono 51 Formato 51
La Carta Adjunta/de transmisión 52
Cuerpo del Informe 52
Declaración de Opinión (Conclusiones) 53
Resumen 53
9. Determinando los Requisitos de Seguros 55
La Gestión del Riesgo Definido 55
Seguro contra Crimen 56
Cobertura contra Secuestro y Rescate 57
10. Estableciendo un Plan de Recuperación de Desastres 61
Introducción 61
¿Está Preparado para un Desastre? 61
Desastres Naturales 62
Desastres Provocados por el Hombre 62
Utilizando Recursos Internos 62
El Coordinador de Emergencias 63
El Comité Asesor de Emergencias 63
Entrenamiento para Gestión de Emergencias 63 Servicio de Guardias y Policías 63 Servicio Médico y de Sanidad Industrial 63 Servicio de Bienestar del Empleado 64
Servicio de Ingeniería 64
Equipos de Rescate 65
Dotación de la Organización de Emergencias 65 Planificación de las Operaciones de Emergencia 66
Necesidad de Coordinación 66
Como Desarrollar el Plan Básico de la Planta 67
Información de Apoyo 67
Centro de Control de Emergencias 68
Ubicación del Centro de Control de la Planta 68 Uso de Comunicaciones Disponibles 68 Sistemas de Aviso Interno y de Comunicación 68 Procedimiento de Cierre de Emergencia 69
Traslado a Refugios 70
Mantener Informados del Plan a los Empleados 70
Reevaluar el Sistema Actual 70
Ayuda del Supervisor 71
Informar a Nuevos Empleados 71
Mantenga Actualizada la Lista de Entrenamiento de Personal 71
Literatura Disponible 72
Una Lista de Control para la Mayoría de las Emergencias 73 Acciones a tomar por el Director de la Planta 73
Actuaciones para Proveer Información 74
11. Planificación de Emergencias 75
Introducción 75
Definición de la Planificación de Emergencias 75
Evitando Problemas 76
Evaluando Pérdidas Críticas 78
Controles Efectivos en Costo 78
Ensayo, Auditoría y Revisión 78
12. Planificación de la Gestión de Crisis 79
Planificación de la Amenaza de Secuestro de Ejecutivos y
Extorsión contra Corporaciones 79
Principios de Gestión de Crisis 79
Manejo del Contacto Inicial 81
Consideraciones de Rescate 82
Seguridad Preventiva 83
Sugerencias para Individuos Secuestrados 83
Conclusión 84
13. Monitorización de la Protección 85
Monitorización o Prueba del Sistema Existente 85
El Método Científico 85
Cinco Tipos Básicos de Ensayo 86
Evitar Fallos Previsibles 87
Algunas Directrices de Auditoria 87
Desarrollar un Plan de Acción 88
14. El Consultor de Seguridad 90
Asesoría Interna frente a Externa 90
¿Por qué utilizar Consultores de Seguridad Externos? 92 ¿Por qué Necesito Asesoría Externa? 92 ¿Como Puedo Justificar el Costo de un Consultor
con un Presupuesto Limitado? 92 ¿Puede un Consultor Externo proveer Asistencia para
poner en marcha el Programa Recomendado? 93 Propuestas de Seguridad (Redacción y Valoración del Costo) 93
La Introducción 94
La Propuesta 94
La Gestión 95
Costo 95
Resumen 96
Evaluación de Propuestas e Informes 96
Apéndice A: Estudio de la Seguridad - Hojas de Trabajo 98 Apéndice B: Estudio de Prevención de Incendios 113 Apéndice C: Plan de Gestión de Emergencias en Edificios 118 Apéndice D: Signos de Peligro de Fraude, Desfalco y Hurto 135 Apéndice E: Especificaciones de los Sistemas de Seguridad Electrónicas, 139
2 de febrero de 1981
Apéndice F: Propuesta de Póliza de Seguro contra Crimen de
Apéndice G: Muestra de un Plan de Contingencia de Secuestro y Rescate
Junio de 1983 148
PREFACIO
Este libro ofrece una contribución teórica, conceptual y práctica que ayudará al practicante de seguridad en ejercicio y al estudiante en la tarea de llevar a cabo estudios de seguridad y auditorías. También servirá como una guía útil para consultores en seguridad que deseen llegar a ser más capaces al efectuar evaluaciones y análisis de los muchos problemas que confrontan la industria de la seguridad.
El texto que sigue se ha dividido en cuatro categorías generales:
Conceptos Analíticos (Capítulos 1 a 5)
Técnicas del Estudio (Capítulos 6 a 8)
Necesidades de Seguros (Capítulo 9)
Desarrollo del Programa y Actividades Operacionales (Capítulos 10 a 14)
El libro ofrece una buena introducción al estudio de los conceptos de análisis del riesgo y el papel que el trabajo al hacer el estudio puede jugar en las técnicas de control de pérdidas. Traza el proceso de desarrollo que uno debe saber para entender a conciencia como se emplea el trabajo de hacer un estudio - en este caso un estudio del seguridad - como una base sólida sobre la que construir un programa eficaz para la protección de los bienes corporativos.
Debido a que los requisitos de seguridad varían de una organización a otra, de un local a otro, y de un tiempo a otro, no existe un conjunto de reglas o procedimientos únicos que garanticen la seguridad de todas las personas, en todos los sitios y en todo momento. No es el propósito de este libro servir de receta para una instalación segura sino como recordatorio de algunos de los factores que deberían considerarse a la hora de contemplar o diseñar un sistema de seguridad. Por ejemplo, he intentado presentar el análisis del riesgo en su totalidad como una herramienta de gestión y no meramente como un apéndice a la planificación de seguridad física.
Aunque se ha intentado que el texto sea comprehensivo, de ninguna forma es exhaustivo. Podrían ser deseables otros procedimientos y aplicaciones en ambientes muy sensibles. No obstante, el texto sí brinda pautas que el autor ha encontrado que funcionan a la hora de evaluar o diseñar programas de seguridad, y presenta métodos que puedan ser útiles para resaltar aquellas áreas de vulnerabilidad sobre las que habría que llamar la atención de la dirección.
Se incluyen aquí dos capítulos, “Determinación de las Necesidades de Seguros” (Capítulo 9), y “Planificación de Emergencias” (Capítulo 11) debido a la cada vez mayor necesidad de los profesionales de la seguridad de entender la relación entre seguridad y gestión del riesgo y el papel que cada uno juega en la protección de los bienes. La necesidad de planificación de emergencias sigue creciendo en importancia y los que trabajamos en seguridad hemos aprendido que no es suficiente desarrollar programas de prevención meramente. Es preciso tener un plan realista para manejar las mayores incidencias cuando los planes preventivos se muestran inadecuados o simplemente fallan debido a una variedad de razones prácticas.
El libro también trata con considerable extensión la organización de la planificación de recuperación de desastres (Capítulo 10) y la necesidad de otorgar responsabilidad en este proceso. He intentado analizar el proceso de recuperación de desastres para que los responsables de la planificación pueden proceder lógica y sistemáticamente para lograr su propósito. Se han listado los requisitos de datos básicos para planificar la recuperación de desastres en un ambiente industrial, y al final del capítulo hay una lista de control de las emergencias principales que será útil al lector al que le hayan asignado esta tarea.
Parte de la materia que aquí se presenta ha sido considerada anteriormente, enteramente o en parte, por otros autores en este campo. He hecho un intento serio por evitar duplicar aquellos trabajos al desarrollar un enfoque diferente y un método unificado de hacer estudios y auditorías de seguridad. Dejo a mis lectores juzgar la medida en que he cumplido con mi misión. Mis críticos, Dios les bendiga,
sin duda me proveerán con los necesarios comentarios para asistirme en la revisión y posterior puesta al día de los futuros ediciones de este libro.
James F. Broder, CPP Consultor de Seguridad San Francisco, California
AGRADECIMIENTOS
El autor agradece profundamente la ayuda y asistencia de todos aquellos que le han ofrecido sus consejos, experiencia y apoyo profesional, incluyendo profesionales compañeros como Phillip L. Schiedermayer, Consultor Principal, Profitec Incorporated; Charles E. Hayden, Asistente Vicepresidente y Consultor de Seguridad Senior, M & M Protection Consultants; y Charles A. Sennewald, Consultor, autor y profesor. Cada uno ha ayudado no solamente con su apoyo pero también con sus esfuerzos para que el autor se desarrollase en un profesional de la seguridad más experimentado y polifacético. Estoy humildemente agradecido por toda su ayuda.
Quisiera destacar la importancia de la ayuda y asistencia brindada por Donald J. Broder, mi amigo y hermano. La tarea de escribir, reescribir y editar hubiera sido mucho más difícil y me hubiera llevado mucho más tiempo sin su ayuda. También quisiera dar las gracias a Robert J. Sommers, un amigo que me ha apoyado mucho y un profesional.
Por último, quisiera agradecer a mi empresa, M & M Protection Consultants, un servicio técnico de Marsh & McLenna, Incorporated, Agentes de Seguros, el privilegio de exponerme a los problemas de seguridad de los clientes distinguidos de Marsh, que me ha brindado muchos años de crecimiento profesional por cada año de empleo.
INTRODUCCION
Según los estudios de la National Science Foundation y empresas de seguros independientes, los daños anuales estimados en bienes inmuebles en los Estados Unidos debido a sucesos de riesgos naturales exceden de $6.2 billones. En cambio, las perdidas anuales debidas a la delincuencia de cuello blanco se estima varían en el rango de $40 a $60 billones, según la fuente de la información. Estas estadísticas no intentan evaluar pérdidas de vidas humanas o sufrimiento, ni evalúan el precio económico pagado por la sociedad debido a dichos delitos. Simplemente intentan cifrar en dólares las perdidas incurridas con el propósito de fijar las tarifas futuras de los seguros. Es esencial que supervisores de seguridad, gerentes de riesgos, agentes de seguridad, ingenieros de diseño, consultores y otros que necesitan poder evaluar adecuadamente el riesgo inherente en estos incidentes, tengan conocimiento de y sobre riesgos, naturales y provocados por el hombre, para asegurar la vitalidad económica de cualquier empresa. Una encuesta reciente de Risk Management Journal reflejó que un 85 por ciento de los encuestados indicaron que la identificación y evaluación del riesgo es su prioridad número uno. Para cumplir con esta tarea y tratar la prioridad adecuadamente es primordial la recopilación de información fidedigna y detallada.
Tanto la gestión de seguridad y la gestión de riesgos tienen que ver con la protección y conservación de bienes y recursos corporativos. En estos momentos cuando la tecnología está creando nuevos productos, y así nuevos riesgos, a un paso explosivo, la tarea de protección se ha vuelto cada vez más compleja. Si añadimos a esto la tasa de delitos - alimentada por una sociedad inquieta y protegida por una legislación restrictiva - y el coste de hacer negocio que está incrementándose debido a la inflación, es evidente la importancia del análisis y la evaluación de riesgos para poder diseñar una protección adecuada.
La seguridad, en su forma genérica, y la auditoría del estudio de seguridad en su aplicación específica, son elementos esenciales de la función total de gestión de riesgo. El papel preciso que juega la seguridad dependerá del negocio bajo estudio. Un negocio que está plagado por problemas continuos de robos internos, por ejemplo, los comercios, puede mejorar substancialmente sus ganancias si establece un programa de seguridad eficaz.
En un banco u otra institución financiera, la seguridad normalmente forma una parte continua y vital del negocio. Por ejemplo, en un casino de juego la seguridad no está solamente presente sino que, en algunos casos, es agobiante. Y la seguridad que se aprecia superficialmente es solamente la punta del iceberg. La mayoría de la seguridad en tales establecimientos existe de manera encubierta. Uno tiene la sospecha que sería incomprensible manejar el producto tratado por bancos y casinos, es decir, dinero en efectivo, sin un programa continuo, funcional y totalmente efectivo de seguridad.
En otros negocios donde la necesidad de seguridad es menos obvia, el papel jugado por el departamento de seguridad depende mayormente de la percepción de la dirección de la necesidad e importancia de la seguridad dentro del marco de sus objetivos globales. Muchas veces encontramos una gran diferencia entre lo que la dirección percibe como un problema de seguridad (o control de pérdidas) y lo que demuestra un análisis e identificación de riesgo comprehensivo. Esta diferencia puede determinar el futuro de la empresa - o bien seguir de forma competitiva en el mercado o ir a la bancarrota.
No existe una fuente única que ofrezca todos los recursos esenciales para un análisis riguroso de los problemas inherentes de esta sociedad nuestra, llena de criminalidad. Una multitud de campos - for ejemplo, la seguridad privada, la justicia criminal, el derecho, la sociología, la economía, los negocios, la contabilidad, y la ciencia informática, editan literatura sobre el crimen económico. Desgraciadamente, la verdad es que cada campo ataca el problema dentro del marco de su propia referencia, la cual es limitada. Por ejemplo, la literatura contiene muchas referencias al costo estimado “directo” de delitos a empresas de $40 a 60 billón. Pongo énfasis en la palabra “directo” porque esta cifra, por muy suave que sea, no tiene en cuenta factores interrelacionados tales como la interrupción del negocio, un costo que muchas veces excede con creces el precio inicial del acto delictivo.
No es necesario citar más que un caso para hacer el punto. Un grupo de extorsionistas, utilizando una bomba con detonador, que no se podría ni tocar ni quitar, intentaron obtener $3 millones en efectivo de un casino en Lake Tahoe, Nevada. El plan falló cuando no se logró pagar el rescate debido al mal tiempo reinante y la necesidad de utilizar un helicóptero durante la noche en un terreno cercano montañoso.
Se llamó a un equipo de desactivación de explosivos para evaluar la situación y posiblemente desactivar el dispositivo, que inicialmente decidió apilar sacos de arena alrededor del objeto sospechoso. Pronto se vio, especialmente después de leer las instrucciones de los extorsionistas, que no se podía ni mover ni desactivar el dispositivo, y cualquier intento causaría una explosión antes de la hora fijada. El equipo decidió que el mejor procedimiento sería intentar controlar la dirección de la detonación, y así minimizar los efectos de la destrucción.
A falta de información de los extorsionistas sobre como desactivar la bomba, el dispositivo explotó según el horario previsto, causando daños estructurales al interior del casino valorados en $18 millones. Los medios de comunicación informaron ampliamente en aquel momento sobre las dos cifras - de la demanda de $3 millones y de los $18 millones en daños estructurales. De lo que no se informó fue la cuantía de las pérdidas sufridas por el casino por la interrupción del negocio antes, durante y después de la explosión de la bomba. El hotel y el casino, por supuesto, fueron desalojados y quedaron vacíos durante un periodo considerable de tiempo pendientes de una determinación por las autoridades de que la estructura estaba otra vez apta para alojarse. Durante este periodo, el negocio perdió ingresos estimados en más de $1 millón por día. Los daños estructurales, combinados con la pérdida de ingresos debido a la interrupción del negocio, arrojaron un gran total que excedió la demanda inicial de los extorsionistas de $3 millones en razón de 10 a 1.
Por medio de este ejemplo, es obvio que una vez que se identifican los riesgos, para el propósito de planificación de la seguridad, debemos evaluar y programar medidas de control de pérdidas en tres dimensiones, como sigue:
1. Implementar procedimientos de seguridad fiables para minimizar la probabilidad de que ocurra una incidencia.
2. Diseñar planes que minimicen las pérdidas o los daños si, a pesar del procedimiento anterior, la incidencia llegar a ocurrir.
3. Desarrollar y mantener los planes de recuperación de desastres y los procedimientos para asegurarse de que la instalación pueda recuperarse lo bastante rápidamente de los efectos de la pérdida o desastre como para seguir operando.
Los profesionales de la seguridad responsables del diseño o implementación de programas de prevención y control de pérdidas nunca deben permitirse suponer que los procedimientos preventivos y las contramedidas funcionarán siempre. Además, no se debe permitir que la dirección se encapricha tanto con su programa de seguridad que no presten la atención suficiente al plan de recuperación.
La premisa primordial de este libro descansa sobre un principio, que es: La filosofía más fundamental del control, diseño e implementación del riesgo tiene como principio básico hacer al programa o al cliente tan autosuficiente como sea posible en todos los aspectos relacionados con la seguridad. Eso incluye la moneda de dos caras del control de riesgos: (1) la protección de bienes por medio de identificar y analizar el riesgo, y (2) la recuperación del desastre. Espero sinceramente que el material contenido en este libro servirá de ayuda al lector en lograr estos objetivos.
1
ANALISIS DEL RIESGO
Los riesgos no son aberraciones sino elementos esenciales de
nuestra cultura que no se pueden descartar como meras incidencias de la casualidad. Hay que considerar a un riesgo como una realidad aunque no como una inevitabilidad
Fred A. Manuele
Vicepresidente y Director M & M Protection Consultants
¿QUE ES RIESGO?
Virtualmente cada actividad que uno puede imaginar conlleva algún riesgo, pero para el propósito de este libro, limitaré el sentido de la palabra riesgo a la incertidumbre de pérdida financiera, a la diferencia entre resultados actuales y esperados, o a la probabilidad que una pérdida ha ocurrido o ocurrirá. En la industria de los seguros, el término riesgo también se emplea para decir “el artículo asegurado”, por ejemplo la Compañía XYZ es el riesgo. También riesgo es la posible ocurrencia de un suceso no deseado.
No hay que confundir riesgos con riesgos medioambientales, que son las causas de los riesgos y son cosas como por ejemplo incendios, inundaciones y terremotos. Tampoco se debe de confundir riesgo con
peligro, que es un factor contribuyente a riesgos naturales. Casi cualquier cosa puede ser un peligro
-por ejemplo un arma cargado, una botella de ácido cáustico, un manojo de trapos llenos de aceite, o un almacén utilizado para almacenar productos de papel. El resultado final de riesgo es una pérdida o reducción de valor.
Generalmente se clasifican riesgos como “especulativos” (la diferencia entre pérdidas o ganancias, por ejemplo, el riesgo de apostar), y “riesgo puro”, una situación de pérdida o no-pérdida que se aplica generalmente al seguro.
Para el propósito de este libro, se limiten a tres categorías comunes las divisiones del riesgo:
Personal (perteneciente a bienes que son personas )
Propiedad (perteneciente a bienes materiales)
Responsabilidad (perteneciente a legalidades que pueden afectar a ambas de las mencionadas arriba como por ejemplo responsabilidad por errores u omisiones).
¿QUE ES EL ANALISIS DEL RIESGO?
El análisis del riesgo es una herramienta de gestión cuyos patrones para medir están determinados por lo que la dirección estima aceptable con respeto a pérdidas incurridas. Para proceder de forma lógica para realizar un análisis del riesgo, es necesario llevar a cabo de antemano algunas tareas básicas:
Identificar los bienes que necesitan protección (dinero, productos manufacturados y procesos industriales por nombrar unos pocos)
Identificar los tipos de riesgos que pueden afectar los bienes involucrados (robo interno, robo externo, encendio, o terremoto).
Determinar la probabilidad de incidencia del riesgo. Hay que tener en cuenta aquí que dicha determinación no es una ciencia sino un arte - el arte de proyectar la probabilidad.
Discutiré estos temas con más detalle más adelante en este capítulo en la sección titulada “Evaluación de la Exposición al Riesgo”.
¿QUE ES ANALISIS DE LA EVALUACIÓN DEL RIESGO?
El análisis de la evaluación del riesgo es una técnica racional y ordenada y una solución comprehensiva a la identificación del problema y a la determinación de la probabilidad. También es un método para estimar las pérdidas anticipadas o esperadas como resultado de la ocurrencia de un suceso adverso. La palabra clave aquí es estimación debido a que el análisis del riesgo no será nunca una ciencia exacta. No obstante, la respuesta a la mayoría, sino a todas, las preguntas sobre las debilidades en la seguridad de cualquiera puede lograrse por medio de un análisis detallado de la evaluación del riesgo.
¿QUE PUEDE HACER EL ANALISIS DEL RIESGO PARA LA DIRECCION?
El análisis del riesgo provee a la dirección con información sobre la que basar sus decisiones, tal como : ¿Es siempre mejor prevenir la ocurrencia de una situación? La política: ¿debería ser la de contener el efecto que pudiera tener una situación peligrosa? ¿Es suficiente meramente reconocer que existe una potencial adverso y de momento no hacer nada más que ser consciente del peligro? El objetivo final del análisis del riesgo es lograr el equilibrio económico entre el impacto de riesgo sobre el negocio y el coste de las medidas de protección.
Un análisis del riesgo llevado a cabo correctamente tiene muchos beneficios, entre los cuales hay:
El análisis mostrara la postura (perfil) actual de seguridad de la organización.
Destacará aquellas áreas donde se necesita más (o menos) seguridad.
Ayudará a reunir algunos de los hechos necesarios para desarrollar y justificar contramedidas (preventivas) rentables.
Servirá para incrementar la necesidad de seguridad a través de valorar los puntos fuertes y débiles en la seguridad en todos los niveles de la organización desde la dirección hasta lo operacional.
El analizar el riesgo no es una tarea que se haga de una vez para siempre. Hay que repetirlo periódicamente para mantenerse al día de los cambios en la misión, instalaciones y equipo. También, debido a que se ha probado que las medidas de seguridad que han sido diseñadas al principio de un sistema son generalmente más eficaces que las que se sobreponen después, debería haber un lugar para el análisis del riesgo en cada fase de diseño de cada sistema. Desafortunadamente, rara vez esto es así. El recurso mayor que se requiere para hacer un análisis del riesgo es la mano de obra. Por esta razón, el primer análisis será el más costoso debido a que los análisis siguientes pueden apoyarse en parte sobre el trabajo anterior y el tiempo empleado será menor debido a la experiencia adquirida.
El tiempo disponible para llevar a cabo el análisis del riesgo debe ser compatible con sus objetivos. Las instalaciones grandes que tienen operaciones complejas, con muchos turnos y muchos archivos con datos, va a requerir más tiempo que otras con un turno y una producción limitada. La dirección debería estar dispuesta a comprometer los recursos necesarios para lograr el propósito requerido si se desean resultados significativos.
EL PAPEL DE LA DIRECCION EN EL ANALISIS DEL RIESGO
El éxito de cualquier análisis del riesgo acometido dependerá mucho del papel jugado en el proyecto por la dirección. La dirección debe apoyar el proyecto y expresar este apoyo a todos los niveles de la organización. La dirección debe delinear el propósito y el alcance del análisis del riesgo. Debería
seleccionar un equipo cualificado y delegar formalmente la autoridad. La dirección debe también revisar los resultados del equipo.
El personal que no está implicado directamente en el proceso del análisis debe estar dispuesto a proveer información y ayuda a los que llevan a cabo el análisis y además, de obrar en su actividad de acuerdo a cualquier procedimiento y limitación que pudiera resultar. La dirección no debe dejar ninguna duda de que es su intención fiarse del producto final y que basará sus decisiones sobre seguridad en los resultados del equipo de análisis del riesgo. Hay que definir el alcance del proyecto y la declaración del alcance
debería específicamente explicar en detalle los parámetros (limitaciones) del análisis. Muchas veces es igualmente importante especificar lo que no debe cubrir el análisis. Esto servirá para eliminar cualquier malentendido al principio en vez de a la conclusión del ejercicio.
En este momento quizá sería conveniente definir y explicar dos otros términos que a veces se intercambian con él de riesgo. Estos son: amenazas - cualquier cosa que podría afectar negativamente al negocio o a los bienes, y vulnerabilidad - debilidades, fallos, agujeros o cualquier cosa que concebiblemente podría ser explotada por una amenaza. Las amenazas se identifican más fácilmente al situarlas en una de tres clasificaciones o categorías: peligros naturales, accidentes o actos intencionales. Las vulnerabilidades se identifiquen más fácilmente por medio de recopilar información de las entrevistas con personas que trabajan en la instalación, por observación y inspección en situ, por revisión de documentos y, en el caso de hardware o electrónica, por medio de llevar a cabo pruebas que han sido diseñadas para destacar la vulnerabilidad y descubrir debilidades o fallos en el diseño o en el sistema.
Los índices de frecuencia/probabilidad se desarrollan mejor por medio de los informes de ocurrencia o los informes de incidencias, caso que existen estos datos históricos. Caso de no existir los datos, podría ser necesario reconstruirlos por medio de entrevistas con personas entendidas.
EVALUACIÓN DE EXPOSICIÓN DE RIESGO
Antes que se pueda considerar cualquier acción correctiva, es necesario hacer una evaluación exhaustiva de la exposición al riesgo identificable de cada uno. Para lograrlo es esencial que tres factores sean identificados y evaluados en términos cuantitativos. El primero es determinar los tipos de pérdida o riesgo que pueden afectar los bienes en cuestión. Aquí ejemplos serían fuego, hurto, robo o secuestro. Si cualquiera de estos fuera a ocurrir (por claridad de esta parte del texto consideraremos que ocurren uno a la vez, no al mismo tiempo) ¿que efecto tendría la disrupción de operaciones sobre la compañía? Por ejemplo, si archivos vitales fueran destruidos por fuego o inundación ¿cual sería el efecto sobre la capacidad de la compañía para continuar en operación? Hay un dicho común de los profesionales de protección “Uno puede sobrevivir un hurto, pero un buen fuego podría dejarle sin negocio para siempre”. (Para un ejemplo de una Lista de Control de Prevención de Incendios, vea el Anexo). Si el Jefe Ejecutivo, en un viaje al extranjero, fuera secuestrado por un grupo terrorista (o sufrir un ataque al corazón serio), ¿quién tomaría las decisiones día a día en su ausencia? ¿Y acerca de la revelación no autorizada de secretos comerciales y otros datos en propiedad? Después de que todos (o tantos como sea posible) las potenciales exposiciones al riesgo se identifiquen, uno debe entonces proceder a evaluar aquellas amenazas que en caso de que ocurrieran, producirían pérdidas en términos cuantitativos -fuego, cortes de luz, inundación, terremoto, y empleados deshonestos o no éticos - por nombrar unos pocos factores que valen la pena considerar.
Para hacer esto procederemos con el segundo factor: estimar la probabilidad de que ocurra. ¿Cuales son las probabilidades de que los riesgos identificados puedan llegar a ser realidad? En algunos riesgos, estimar las probabilidades puede ser relativamente sencillo. Esto es especialmente verdad cuando tenemos datos históricos documentados con problemas identificables. Por ejemplo, ¿cuantos casos de hurtos internos y externos han sido investigados en el último año? Otros riesgos son más difíciles de predecir. Sabotaje, espionaje industrial, secuestro, y manifestaciones civiles puede que nunca ocurran o puede que sucedan solamente uno a la vez.
El tercer factor es cuantificar (prioritizar) el potencial de pérdida. Esto es medir el impacto o severidad del riesgo, si de hecho una pérdida ocurre o el riesgo llega a ser un hecho real. Este ejercicio no llega a ser final hasta que uno desarrolla valores en dólares por los bienes previamente identificados. Esta parte de la inspección es necesaria para montar el escenario para la evaluación de clasificación y análisis de las comparaciones necesarias para el establecimiento de las prioridades de contramedidas.
Algunos sucesos o clases de riesgos con los que los negocios y la industria están más comúnmente interesados son como sigue:
Ataque nuclear o accidente (Three Mile Island).
Catástrofes naturales (tornado, huracán, terremoto, erupción volcánica e inundación).
Desastre industrial (explosión, derrame químico, colapso estructural, y fuego).
Desorden Civil (sabotaje, violencia laboral y amenaza de bomba).
Criminalidad (robo, hurto, ratería, desfalco, malversación, fraude, espionaje industrial, hurto interno y secuestro).
Conflicto de interés (sobornos, información privilegiada y prácticas de negocio no éticos).
Riesgos misceláneos, amenazas y factores de pérdida (errores de contabilidad, pérdidas de inventario no contabilizadas, accidentes de tráfico, alcohol y abuso de drogas, absentismo, apuestas y permisos o fichajes indebidos).
El autor reconoce que algunos de los hechos (riesgos) son improbables que ocurran. También, algunos son menos críticos para una empresa que para otras si ocurren (fuego contra hurto). Sin embargo, todos son posibles y son así merecedores de consideración.
2
IDENTIFICACION DE VULNERABILIDADES Y AMENAZAS
Antes de que las cuestiones de seguridad puedan tratarse, es necesario primeramente identificar aquellos sucesos dañinos que puede sufrir cualquier empresa.
Charles A. Sennewald, CPP
Consultor de Seguridad, Autor y Conferenciantes
IDENTIFICACION DE RIESGO
En seguridad de sistemas, el propósito principal de identificación de la vulnerabilidad o determinación de amenaza (exposición) es hacer la tarea de análisis de riesgo más manejable estableciendo una base desde la cual proceder. Cuando los riesgos asociados con los varios sistemas y subsistemas dentro de una determinada empresa son conocidos, entonces el despliegue de contramedidas (recursos) puede planificarse más cuidadosamente. La necesidad de tal planificación descansa en la premisa de que los recursos de seguridad, al igual que con cualquier otro recurso, son limitados y por tanto deben desplegarse sabiamente.
El control de riesgo comienza, lógicamente, con la identificación y posterior clasificación del riesgo. Para lograr esta tarea se necesita examinar o estudiar todas las actividades y relaciones de la empresa en cuestión y desarrollar respuestas a estas consideraciones básicas:
Activos - ¿Que posee, opera, presta, controla, tiene custodia de o es responsable por, compra, vende, repara, diseña, produce, fabrica, ensaya, analiza o mantiene, la empresa?
Exposición - ¿A qué está expuesta la compañía que puede causar o contribuir a dañar, a robar, o a pérdida de propiedad u otros activos de la compañía, o que puedan causar o contribuir a daños físicos de los empleados de la empresa u otros?
Pérdidas - ¿Con qué conocimiento empírico se dispone para identificar la frecuencia, magnitud y alcance de pérdidas sufridas en el pasado por esta y por compañías semejantemente localizadas realizando un servicio similar o fabricando el mismo o productos semejantes?
Obviamente, las respuestas a esta preguntas y cualquier otra pregunta adicional que pueden hacerse cuando se realizan cuestionarios iniciales serán las bases de la identificación del riesgo y finalmente su evaluación en la medida que se aplica específicamente a la empresa en cuestión.
Los profesionales de seguridad usan muchas técnicas para desarrollar datos para la identificación del riesgo. Ellos pueden revisar las políticas de la compañía, procedimientos (o su ausencia), organización y actividades para asegurarse que han sido identificados los riesgos y como son percibidos como
responsabilidades de la dirección. Ellos pueden revisar los archivos relacionados con seguro y riesgo, incluyendo los registros de reclamación y pérdida. Entrevistas con los Jefes de departamentos que han sufrido exposición a pérdidas de información ayudan a desarrollar información sobre la organización y funcionamiento de los procedimientos de control de pérdidas, en caso de que existiese alguno. Llevar a cabo inspecciones y entrevistas con la dirección y con otro personal en bastantes lugares y actividades, desarrolla una imagen completa de la exposición al riesgo de la compañía como una base para su posterior evaluación de los procedimientos de control de pérdidas y de su efectividad.
Las herramientas necesarias para lograr lo anterior son la habilidad de dirigir entrevistas comprehensivas; la habilidad de conducir las inspecciones y las observaciones de campo de las operaciones, procedimientos, recursos humanos y electrónica aplicada en sistemas de seguridad; y la habilidad para identificar, obtener y analizar los registros pertinentes.
Otra técnica es desarrollar datos de activos. Para hacer esto uno identifica completamente todos los activos de la compañía, tangibles e intangibles, en términos de cantidad y calidad. Entonces uno identifica la ubicación de todos los activos de la compañía así como las exposiciones obvias que puedan existir en estas localizaciones. A continuación uno debe determinar el valor de estos activos en términos de dólares corrientes. Esto debe desglosarse en las tres categorías siguientes:
Activos propios $ ________________
Activos alquilados $ ________________
Pérdidas de Instalaciones $ ________________ Total activos tangibles$ ________________
Total activos intangibles $ ________________ Suma Total $ ________________
La identificación de todos los activos de la compañía, conjuntamente con un historial de exposición a pérdida para esta compañía y compañías semejantemente localizadas y comprometidas, será
normalmente suficiente para identificar la mayor parte de los riesgos que se corren.
Después de este procedimiento de identificación, el estudio o inspección puede limitarse a aquellos riesgos o exposiciones que específicamente se relacionan a la empresa en cuestión. Estos riesgos incluirán normalmente la mayor parte, si no todos, de los siguientes:
Pérdida por crimen, tal como robo con allanamiento, robo (interno o externo), fraude, desfalco, vandalismo, delito por incendio, abuso de ordenador, amenaza de bomba, robo de secretos comerciales y espionaje industrial, falsificación, falsificación de productos y violación de marca, atraco, extorsión y secuestro, por nombrar los riesgos de crimen más comunes que se plantean en la industria y los negocios.
Ratería de cargo, robo y daño.
Emergencia y planificación del desastre.
Responsabilidad (subsidiaria) de cargos y directores.
Control de ambiente según los códigos de sanidad y salud industrial.
Daño a la propiedad por fuego, inundación, terremoto, rachas de viento, explosión, colapso de edificio, caída de avión y procesos arriesgados.
Responsabilidad general subsidiaria como resultado del daño causado por cualquier actividad por la que la entidad puede ser legalmente responsable.
Interrupción del negocio y gasto extra. Una evaluación de este tipo de riesgo requiere un estudio detallado de interdependencias que conectan varios segmentos de la entidad y proveedores de mercancías y servicios externos. Puede indicar la necesidad de planificación de desastre extensivo para reducir el riesgo.
Responsabilidad de errores y omisiones.
Responsabilidad profesional.
Responsabilidad por productos y por operaciones terminadas.
Como puede verse incluso desde una lectura rápida de los riesgos listados anteriormente, solamente el alcance de identificación del riesgo, aparte de la evaluación del riesgo y del control del riesgo, presupone un grado de estudios y práctica de conocimientos no frecuentemente poseídos por el directivo de la seguridad individual. Este conocimiento propuesto implica que la persona encargada con esta responsabilidad tiene la educación, entrenamiento y experiencia práctica necesaria para averiguar, reconocer y así identificar no solamente el riesgo que lleva consigo, sino que también su aplicabilidad a la empresa en cuestión. Casi se escapa sin decir que el proceso de identificación del riesgo, evaluación y control en cualquier organización dinámica, pública o privada, requiere una atención constante por parte de los profesionales quienes poseen el necesario conocimiento y herramientas para lograr la tarea.
EJEMPLOS DE PROBLEMAS DE IDENTIFICACIÓN
Al autor se le dio el encargo de llevar a cabo una inspección de seguridad de una cadena de restaurantes de comida rápida. En la reunión inicial con los gestores de la cadena, informes de la división de auditoría interna de la compañía fueron entregados para su revisión. Estos informes mostraban todas las pérdidas relacionadas con delito durante un periodo de doce meses. Estos informes contenían
ejecutivos de la compañía señaló que tenía una preocupación creciente que alguno de los cajeros escolares que trabajaba a tiempo parcial en sus restaurantes pudiera ser disparado en el curso de un atraco a causa de la ausencia de procedimientos que instruyeran a los cajeros de como manejarse en esta situación.
Unas inspecciones de campo a un número representativo de estos restaurantes produjo la evidencia que su principal problema era robo, seguido de cerca por hurto interno. “Atraco a mano armada” o
simplemente atraco, no era tan frecuente o tan serio como el directivo había sido inducido a creer por las estadísticas de los informes de auditoría. Pesquisas posteriores relevaron que los términos atraco y robo fueron usados indiscriminadamente y, en muchos casos, sinónimamente.
Fue después de identificar propiamente el problema real que se pudo entonces proceder a desarrollar los procedimientos necesarios y asignar los recursos necesarios para tratar y después solucionar la
preocupación de la dirección.
En otro caso, el autor se reunió con la dirección de una corporación nacional que, entre otras cosas, imprimía instrumentos negociables. El propósito de la reunión era desarrollar un acuerdo mutuo que considerara el alcance de un estudio de seguridad que se llevaría a cabo en una de sus plantas de la Costa Oeste. En el comienzo, uno de los representantes de la dirección hizo la pregunta: ¿Ha llevado a cabo Ud. un estudio de seguridad en una planta que imprima instrumentos negociables? El hecho era entonces que yo no lo había hecho. Sin embargo, la respuesta que di fue “No, no lo he hecho, pero ello no importa realmente. Me es inmaterial si su planta fabrica churros o imprime instrumentos
negociables. Ud. tendrá un programa de seguridad o no lo tendrá. Si lo tiene será o bien funcional o no. En cualquier caso, puede evaluarse y podemos determinar si el estado de la seguridad existente en la planta es adecuado, dado los requisitos de protección únicos que este tipo de producción requiere. Si opinamos que este sistema no funciona, haremos recomendaciones para actualizar la calidad y cantidad de protección de seguridad necesaria para lograr el objetivo. Si no tienen un programa de seguridad, diseñaremos uno para consideración suya al objeto de cumplir los requisitos anteriores”.
En seguridad, como con otras muchas disciplinas, tratamos con estándares y principios. Estos
permanecen relativamente constantes, independientemente del producto en cuestión. El resultado final es el control de la pérdida. Esto quiere decir que uno o bien tiene o no tiene un sistema de seguridad adecuado. Una forma de averiguarlo es llevar a cabo una inspección e identificar aquellos sucesos dañinos que pueden interferir con los objetivos últimos, como pudieran definirse por la empresa en consideración.
LISTA DE CONTROL DE SEGURIDAD
Hasta ahora he discutido las técnicas y herramientas que el profesional de la seguridad necesita al objeto de desarrollar datos para la identificación del riesgo. Pero frecuentemente, se emplean listas de control de seguridad para facilitar la recopilación de información pertinente. Estas listas de control toman muchas formas. Pueden ser simples listas de preguntas que requieren solamente como respuesta un si o un no, o pueden plantear preguntas abiertas que requieren respuestas narrativas. Ellas pueden ser breves y estrechamente enfocadas en las operaciones o actividades específicas en cuestión, o pueden ser más amplias en alcance y cubrir aspectos de seguridad comunes a todas las operaciones de la compañía. No importa lo que parezca, el propósito de una lista de control de seguridad es proveer un registro lógico de información y asegurar que ninguna cuestión importante se queda sin respuesta.
La lista de control es normalmente la piedra angular de la inspección de seguridad o auditoría. Este tema se trata extensivamente comenzando con el Capítulo 6.
Lo que sigue es una lista de control de seguridad general diseñado para compañías en sentido amplio; por tanto puede que incluya muchos temas que son apropiadas en algunas situaciones pero no en otras. Cuestionarios adicionales pueden encontrarse en los apéndices al final del libro.
I. Política y Programa
1. ¿Establece la alta dirección una política de seguridad? a. ¿Se publica la política?
b. ¿Forma parte de las responsabilidades de todos los directivos?
c. ¿Hay designado una persona para establecer y supervisar el programa de seguridad? 2. ¿Es el Presidente accesible al Supervisor de Seguridad?
4. ¿Procedimientos disciplinarios? a. ¿Por escrito?
b. Especificar ofensas y castigos
c. ¿Se mantiene un registro de los incidentes? d. ¿Revisión por la Dirección?
e. ¿Aplicados uniformemente?
5. ¿Alguna norma sobre procesamiento criminal?
a. ¿Número de procesamientos intentados en los últimos cinco años? b. ¿Número de condenas?
II. Organización
1. ¿Supervisores de seguridad a tiempo completo?
a. Si a tiempo parcial, ¿que porcentaje del tiempo se emplea en seguridad? b. Describe la cadena de mando desde el supervisor de seguridad a director de la
planta.
2. ¿Número de personas de seguridad a tiempo completo?
3. ¿Número de personas realizando deberes de seguridad en cada turno? 4. ¿Han recibido las personas de seguridad entrenamiento en seguridad? 5. ¿Se hacen informes por escrito de los incidentes?
6. ¿Hay investigación posterior de los incidentes? 7. ¿Se investiga el pasado del personal de seguridad? 8. Guardias
a. ¿Número?
b. ¿Empleados o servicio contratado?
c. Si el servicio es contratado ¿entrevista y selecciona el supervisor de seguridad de la planta?
d. ¿Hay contrato escrito con el servicio de vigilancia?
i. ¿Se incluyen cláusulas y condiciones de la dirección? a. ¿Ordenes de vigilancia escritas?
b. ¿Dotados de armas? (listar tipos, por ejemplo, pistolas, porras, etc.) i. En caso afirmativo, ¿quien inspecciona?
ii. ¿Proveídos por la compañía? g. ¿Hacen rondas de vigilancia con relojes?
h. ¿Vigilantes o supervisores cambian los discos/cintas del reloj? i. ¿Frecuencia de las rondas?
j. ¿Se varían los tipos de ronda ? k. ¿Número de puestos de reloj?
l. ¿Someten los vigilantes informes por escrito en cada turno? (Incluir copia del impreso)
m. ¿Han recibido los vigilantes algún entrenamiento formal? (Describa en el reverso) n. ¿Qué aspecto tienen los vigilantes?
9. Procedimientos.
a. ¿Se han publicado los procedimientos de seguridad? b. ¿Se les han distribuido a todos los afectados? c. ¿Se revisen cuando cambian las condiciones? d. ¿Se usan para hacer auditorías periódicas?
10. El supervisor de seguridad ¿Se mantiene en contacto con las agencias locales de policía para mantenerse al día sobre actividades criminales y desorden potencial en la comunidad? III. Control de Accesos y Movimientos
1. ¿Se precisa la identificación de todas las personas que entran? 2. ¿Hacen un chequeo periódico del 100 por ciento de las identidades? 3. ¿Con qué frecuencia? ¿Por quién?
4. ¿Se registran todas las visitas?
5. ¿Como se distinguen los empleados de las visitas? (Explicar al dorso) 6. ¿Se acompañan a las visitas en cada momento?
7. ¿Se controlan los movimientos de los empleados entre áreas dentro de la planta?(Describir al dorso)
8. ¿Están instruidos los supervisores a abordar a los extraños que encuentren en su área de trabajo?
9. ¿Se cuenta el tráfico periódicamente en todos los puntos de entrada como forma de detectar la necesidad de cambiar el programa?
10. ¿Se emiten chapas de identificación a todos los empleados? ¿Se hace cumplir su uso? IV. Barreras (Vallas, Entradas, Paredes, etc.)
1. ¿Hay una barrera continua alrededor de toda la propiedad de la planta? a. ¿La mayor parte?
b. ¿Areas por fuera de la barrera? (Listar) 2. Vallas
a. ¿Altura de ocho píes?
b. ¿Malla de dos pulgadas cuadradas? c. ¿Calibre once o alambre más pesado?
d. ¿Tres hilos de alambre de espino por encima o orillo? e. ¿Está en buen estado?
f. ¿Está a dos pulgadas o menos del suelo en todos puntos? g. ¿Está fijada fuertemente a postes rígidos?
h. ¿Postes metálicos metidos en hormigón?
i. Donde se fija a edificios ¿los espacios no tienen más de cuatro pulgadas? j. ¿Están las puertas en buen estado? (¿Cuántas hay?)
i. ¿Las puertas tienen la misma altura y construcción que la valla? ii. ¿Se abren solamente cuando necesario para operaciones? iii. ¿Se cierren con llave en otras ocasiones?
iv. ¿Equipadas con alarma? (Cuántas?) v. ¿Están guardadas cuando estén abiertas? vi. ¿Están bajo vigilancia cuando estén abiertas? k. ¿Hay por lo menos 10 pies de espacio abierto a ambos lados?
l. A lo largo de terraplenes, ¿la valla está arriba o a veinte pies del fondo? 3. Paredes como barreras del perímetro
a. ¿De una altura de por lo menos ocho pies?
b. ¿Están todas las puertas equipadas con un dispositivo de alarma o bajo vigilancia? c. ¿Forma de vigilancia?
d. Ventanas
i. ¿Cerradas permanentemente? ii. Accesibles para trasladar material? iii. ¿Se pueden utilizar para entrar o salir? iv. ¿Protegidas por rejas o malla fuerte? v. ¿Equipadas con alarma?
e. Puertas de salida final (perímetro) i. ¿Guardadas?
ii. ¿Equipadas con alarma? ¿Qué tipo?
iii. ¿Controladas por personal de seguridad? ¿Controladas por dispositivos? iv. ¿Suficientemente fuertes para aguantar un impacto fuerte?
v. ¿Bisagras escondidas desde fuera o del tipo de seguridad? V. Alumbrado
1. ¿Está alumbrado todo el perímetro? 2. ¿Banda de luz en ambos lados de la valla?
3. ¿Alumbrado suficiente para detectar fácilmente el movimiento de un hombre a 100 metros? 4. ¿Se comprueba el funcionamiento de los focos a diario antes de anochecer?
5. ¿Alumbrado adicional en puntos de entrada y puntos de posible intrusión? 6. ¿Las reparaciones al alumbrado se hacen rápidamente?
7. ¿Está fácilmente accesible el suministro de energía para el alumbrado (para manipular)? 8. ¿Están disponibles los dibujos del circuito del alumbrado para facilitar reparaciones rápidas? 9. Llaves y controles
a. ¿Protegidos?
b. ¿Impermeables y a prueba de manipulación? c. ¿Accesibles al personal de seguridad?
d. ¿Inaccesibles desde fuera de la barrera del perímetro? e. ¿Llave(s) maestro(s) céntrica localización?
11. ¿Están adecuadamente alumbrados los materiales y equipo en las áreas de recepción, transporte y almacén?
12. ¿Zonas de agua en el perímetro adecuadamente alumbradas? 13. ¿Fuente auxiliar de energía para alumbrado de protección? VI. Cerraduras y Llaves
1. ¿Responsabilidad para el control de cerraduras y llaves asignada al supervisor de seguridad? 2. ¿Controla él las cerraduras y llaves de todos los edificios?
3. ¿Tiene autoridad global y responsabilidad para entregas, cambios y recambios? 4. ¿El gerente de la planta aprueba la forma de entrega de llaves?
5. ¿Los gerentes aprueban la entrega de llaves de su zona? 6. ¿Se entreguen llaves a no empleados?
7. ¿Se recipiente firma un recibo para la llave?
a. ¿Se muestra en el recibo el edificio y número de habitación, fecha y nombre del gerente que lo autorice?
b. ¿El recipiente reconoce la obligación de devolver, informar de su pérdida y no duplicar?
8. ¿Se entrega la llave debido solamente a la necesidad operacional del recipiente de poseer la llave?
9. ¿Están por escrito los procedimientos y normas de cerraduras y llaves? 10. ¿Se recuperen las llaves de empleados que terminen su empleo? 11. ¿Las llaves maestras no están señaladas como tales?
12. ¿Se guardan las llaves de reserva bajo cerradura doble o en armarios de cerradura de combinación, ignifugos?
13. ¿Está restringido el acceso a llaves de reserva al supervisor de seguridad o a un gerente solamente?
14. ¿Se cambian las cerraduras inmediatamente después de un robo o pérdida de llaves? 15. ¿Se cambian las cerraduras de las puertas y entradas del perímetro cada año? 16. ¿Se cambian los candados o los rotan una vez al año?
17. ¿Se ha borrado el número de serie del fabricante de los candados y se les ha puesto un número de código de la planta?
18. ¿Está enganchado el candado al picaporte o a la puerta cuando la puerta o entrada está abierta? (Para evitar su sustitución).
19. ¿Se comprueba regularmente las cerraduras de puertas y entradas sin actividad por si las han manipulado?
20. ¿Se han instalado las cerraduras de puertas de tal manera que el perno se introduce media pulgada en la jamba?
21. Cerraduras de combinación: a. Se cambia la combinación
i. ¿Anualmente?
ii. ¿Al ser conocida por personas no autorizadas?
iii. ¿Cuando alguien que la sabía se marcha o está trasladado? b. ¿Está memorizada la combinación? (¡No escrita!)
c. ¿Los números de la combinación: uno impar, uno par, uno divisible por 5? (Cualquier secuencia está bien)
d. ¿Se revela la combinación según necesidad operacional (y no por conveniencia)? 22. Las puertas del perímetro
a. ¿La cerradura instalada no tiene boca para la llave en el lado exterior?
b. ¿Se han instalado cerraduras con cerrojo pasante en puertas que de abren desde fuera?
23. Cajas fuertes
a. ¿Suficientemente fuertes?
b. ¿Indice de resistencia (etiquetados) al fuego? c. ¿Indice de resistencia (etiquetados) contra robos) d. ¿Iluminada por la noche?
e. ¿Cubierto por alarmas de proximidad o detección de movimiento? VII. Alarmas
1. Alarmas contra incendios a. ¿Flujo de agua?
b. ¿Condición de las válvulas? c. ¿Temperatura del agua?
d. ¿Detección de partículas de combustión? e. ¿Sensores de calor o de humo?
f. Monitorizados continuamente por: i. ¿Control central contratado? ii. ¿Control de la empresa?
iii. ¿Conexión directa a la policía o bomberos? g. ¿Comprobado regularmente y resultados anotados?
h. Funciones adicionales del sistema de alarma (por ejemplo, apaga la energía a los ordenadores)
2. Alarmas contra intrusión
a. ¿Protegen todo el perímetro de la planta?
b. ¿Protegen áreas de almacenaje de productos de alto valor? c. ¿Protegen otras áreas internas? (Por favor, listar)
d. ¿Tipos de sensores? (Por favor, listar)
e. ¿Supervisión por la empresa o un control central?
f. ¿Comprobaciones regulares y anotados? ¿Con qué frecuencia? 3. TV de Circuito Cerrado
a. ¿Se emplea para vigilancia solamente? b. ¿Se emplea para control de accesos? c. ¿Se monitoriza continuamente? VIII. Comunicaciones
1. Comunicaciones separadas para seguridad y emergencias? a. ¿Teléfono?
b. ¿Radio?
2. ¿Si se comparte la radio con otros usuarios, puede tener prioridad la seguridad? 3. ¿Se puede contactar la guardia patrullando inmediatamente? ¿Como?
4. ¿Procedimiento para contar la policía local y bomberos? 5. ¿Manera de alertar a los empleados a una emergencia? ¿Como?
IX. Control de Propiedad (Equipo, Material, Herramientas, Propiedad Personal) 1. ¿Incluida en procedimientos escritos?
2. ¿Forma especificada? a. ¿Números de serie?
b. ¿De partes múltiples para facilitar caminos separados de auditoria? 3. ¿Se requiere autorización por escrito? ¿Aprobados por un nivel más alto que él del
beneficiario?
4. ¿Se vigilan todas las transacciones a la salida? 5. ¿Se controlan todas las salidas?
6. ¿Comprobación por un tercero de todas las transacciones (que no sea de seguridad)? 7. ¿Se persigue las devoluciones tardías (de artículos prestados)?
8. ¿Puntos de control entre el área de trabajo y el aparcamiento? 9. ¿Controles al azar de camiones y otros vehículos?
10. ¿Están marcadas todas las herramientas de la empresa (salvo las pequeñas) con una identificación permanente de la empresa?
11. ¿Se hacen firmar a los empleados un recibo de entrega de herramientas y equipo? 12. ¿ Las herramientas y artículos tentadores se guardan bajo llave en jaulas o cuartos?
¿Se hace con frecuencia un inventario? 13. ¿Se informa de todas las pérdidas?
a. ¿Se investiga a continuación? b. ¿Informe escrito?
c. ¿Se hace estadísticas? ¿Se informa a alta dirección? 14. Envío, recepción y almacenaje
a. ¿Bajo guardia o dentro de zonas protegidas? b. ¿Bajo vigilancia de seguridad o del supervisor?
c. ¿Controles continuos de envíos y entregas contra documentación por otros que no sean los administrativos de envíos y entregas?
d. ¿Se permite la entrada a la planta a conductores ajenos? e. ¿Se anotan los vehículos?
f. ¿Comprobación de las puertas traseras de vehículos existentes?
h. ¿Se anota todo el stock retirado? ¿Los registros forman camino separado de auditoría?
i. ¿Controles continuos de contenedores de basura? 15. Chatarra y material de derribo
a. ¿Procedimiento escrito para recolección y traslado de chatarra y material de derribo?
b. ¿Se requiere ofertas selladas? c. ¿Manera de traslado documentada?
d. ¿La dirección selecciona el comprador (y no el empleado administrativo)? e. ¿ Ventas anuales estimadas de chatarra y material de derribo?
f. ¿Se vende o se regala a los empleados? (Explique al dorso o adjuntar procedimiento)
g. ¿Guardado en una área segura bajo llave?
h. ¿Se chequea el punto de desperdicios para chatarra y material de derribo que se podría vender?
i. ¿Se clasifica y se separa según valor? j. ¿Controles al azar de “grado alto”? k. Traslado del edificio bajo
i. ¿Permiso firmado en un formulario específico?
ii. ¿Vigilancia por un empleado tercero, por ejemplo, de contabilidad o seguridad?
iii. ¿Se verifica la clase y cantidad?
iv. ¿Se compara con el recibo del comprador? l. ¿El auditor revisa todas las transacciones?
m. ¿Están las cantidades dentro de límites normales para este tipo de operación? X. Planificación para Emergencias
1. Planes para reaccionar a un inminente o actual: a. ¿Incendio? b. ¿Explosión? c. ¿Inundación o maremoto? d. ¿Huracán? e. ¿Terremoto? f. ¿Desorden? g. ¿Accidente aéreo?
h. ¿Amenaza de bomba y bombas? 2. ¿Están delineadas las responsabilidades? 3. ¿Individuos responsables designados?
4. ¿Tienen suficiente personal la(s) organización(es)? 5. Simulacros periódicos por:
a. ¿Todo el personal? b. ¿Personal clave?
6. Se han identificado todas las características críticas de planta y equipo? ¿Actualmente protegidos por barreras, control de acceso y iluminación?
7. ¿Coordinados con organizaciones locales de seguridad pública y de desastres? 8. ¿Incluye planes para recuperación después del desastre?
9. ¿Identifica recursos disponibles y necesarios? XI. Investigación de Antecedentes del Personal
1. ¿Se requiere solicitudes de empleo por escrito y firmados? ¿Se toleran omisiones? 2. ¿Se entrevistan a todos los candidatos?
3. ¿Se investiga para verificar: a. Empleos anteriores i. ¿Empresa? ii. ¿Fechas?
iii. ¿Cargo y responsabilidades? iv. ¿Sueldo?
v. ¿Actuación? b. ¿Estudios?
c. ¿Historial criminal? d. ¿Reputación?
e. Informe Médico
i. ¿Enfermedades?
ii. ¿Impedimentos físicos y limitaciones? iii. ¿Enfermedades en el trabajo?
iv. ¿Enfermedades ocupacionales?
4. ¿Investigación especial de candidatos a puestos fiduciarios? Describe. XII. Comentarios
Añade cualquier información que considere de utilidad para llevar a cabo un asesoramiento realístico de la seguridad en su planta.
Después de identificar todos los potenciales significativos de pérdidas, el siguiente paso es el de evaluar las amenazas identificadas o las vulnerabilidades que pudieran afectar al negocio y por tanto producir pérdidas.
3
MEDIDA DEL RIESGO Y CUANTIFICACIÓN
La pregunta, ¿Es seguro el sistema? es esencialmente sin sentido. La pregunta significativa es, ¿Está el sistema protegido contra los sucesos considerados dañinos?
Alan Krull
IBM Information Systems
Management Institute, Chicago, Ill. Los elementos necesarios de cuantificación del riesgo son una valoración del costo de un suceso desfavorable y una estimación de la frecuencia con que el suceso puede ocurrir en un periodo
determinado de tiempo. La suma de ambos será una expresión del costo total esperado de estos sucesos. Para realizar la cuantificación del riesgo son necesarios un medio cuantitativo de expresar el costo potencial y una expresión lógica de la frecuencia de ocurrencia. Ambas deben tanto admitir la frecuencia baja como también la frecuencia alta de sucesos.
No hay mejor forma de exponer el impacto de una circunstancia adversa - tanto como si el daño o costo es actual o abstracto o la víctima una persona, una pieza imaginaria o una compañía - que un valor monetario. Determinar el costo de cualquier suceso adverso es la forma lógica de igualar el valor en nuestra sociedad. Para una compañía que se preocupa del costo (¿y cual no lo hace?), aquella es la única forma. Como los presupuestos y otros asuntos financieros se organizan normalmente por años, el año es obviamente el tiempo más adecuado para usarse al expresar la frecuencia de ocurrencia de las amenazas. Naturalmente, algunas amenazas puedan ocurrir solamente una vez en un periodo de años mientras otras pueden ocurrir diariamente o muchas veces al día.
EVALUACIÓN DEL COSTE Y LA FRECUENCIA
Es demasiado difícil decir que algo sucede cada 1/73 de un año en lugar de decir cinco veces al día. Es inconveniente trabajar con tales fracciones. Por esta razón se ha transmutado un millar de días a tres años, como se muestra abajo. Ello evitará el uso de fracciones difíciles de manejar al mismo tiempo de mantener la flexibilidad de trabajar con incidencias de probabilidad alta en días, e incidencias de baja probabilidad en años.
En un análisis de riesgo, no es necesario ni deseable hacer afirmaciones precisas de impacto y
probabilidad. El tiempo necesario para el análisis será considerablemente reducido, y su utilidad no será disminuido, si las correlaciones de impacto (i) y frecuencia (f) son dadas en factores de 10. No hay diferencia significativa en la estimación global de amenazas si la amenaza es valorada en $110.000 o $130.000 o si la frecuencia anticipada es ocho o doce veces al año. Si al tiempo de levantar
salvaguardias llega a ser necesario redefinir apartados específicos, entonces hágalo. Lo que si es necesario es la simplificación del proceso de cuantificación por razones de eficiencia y rapidez. Esto simplificará el análisis y disminuirá el tiempo empleado en ello.
Si la valoración del costo (impacto) del suceso es: $10, haga i = 1 $100, haga i = 2 $1.000, haga i = 3 $10.000, haga i = 4 $100.000, haga i = 5 $1.000.000, haga i = 6 $10.000.000, haga i = 7 $100.000.000, haga i = 8 Si la frecuencia de ocurrencia estimada es:
Una vez en 30 años, haga f = 2 Una vez en 3 años haga f = 3 Una vez en 100 días haga f = 4 Una vez en 10 días haga f = 5 Una vez por día haga f = 6 10 veces por día haga f = 7 100 veces por día haga f = 8
La esperanza de pérdida anual (ALE) es el producto del impacto y frecuencia. Usando los valores de f y
i derivados de las tablas de conversión, el valor de ALE puede aproximarse por la fórmula:
ALE = 10 (f + i - 3) 3
No se han introducidos factores de ponderación en la fórmula; el cambio es solamente con el propósito de hacer uso de los valores convertidos. Una forma más rápida aún de determinar el ALE es haciendo uso de la matriz que se muestra en la Tabla 3-1.
Sería imposible listar todos los sucesos indeseables que podrían perturbar cualquier proyecto de seguridad dado. La mayor parte de los proyectos de plantas, sean de alta tecnología, refinerías, fabricación o servicios, tienen más cosas en común que uno sospecharía a primera vista. Este origen común de los problemas tiene que ser encajado en la matriz junto con aquellos eventos o sucesos peculiares al análisis particular que se tiene entre manos.
Un entendimiento detallado de los elementos que pueden afectar la estimación de la frecuencia es la clave para la cuantificación del riesgo. Los elementos son como sigue:
Acceso - ¿Es el acceso difícil, limitado o abierto? ¿Puede un intruso ganar acceso fácilmente o le es
difícil? ¿Puede cualquier empleado hacer lo mismo? ¿Cuales son los criterios de acceso?
Desastres naturales - ¿Qué clase de desastres naturales pueden ocurrir en realidad? ¿Hasta qué
extremo ocurriría el daño? ¿Como afectaría al proceso, almacenes, stock? ¿Como la pérdida de potencia u otras utilidades afectaría la entidad?
Riesgos medioambientales - ¿Qué riesgos especiales son inherentes a la operación? ¿Qué está cerca?
¿Hay explosivos, gasolina u objetos inflamables en la zona? ¿Edificios sin uso contiguos? ¿Cual puede ser la consecuencia de un fuego? ¿Daño de agua? ¿Pérdida de existencias, material? ¿Proximidad de estación de bomberos o policía?
Tabla 3-1. Determinación de la esperanza de pérdidas anuales = ALE Valores de f Valores de i 1 2 3 4 5 6 7 8 1 $ 300 $ 3 K $ 30K $300K 2 $300 3K 30K 300K 3M 3 $300 3K 30K 300K 3M 30M 4 $300 3K 30K 300K 3M 30M 300M 5 $300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M 7 30K 300K 3M 30M 300M
Edificios de la Instalación - ¿Que dispositivos de protección están instalados? ¿Pueden ser instalados?
¿Sistema de alarma de robo, sistemas de control de acceso? ¿Como está construido? ¿Tipo de tejado? ¿Sprinklers? ¿Que tipo de suelos? ¿Qué es inflamable?
Ambiente de trabajo - ¿Cual es la relación entre el personal y la dirección? ¿Leal? ¿Sospechosa?
¿Cuales son las exasperaciones de los empleados? ¿Historia laboral pasado? ¿Como de bien los supervisores conocen a los empleados? ¿Cual es la actitud de la dirección hacía la deshonestidad de los empleados? ¿La aprueba? ¿Con limitaciones? ¿Despiden? ¿Como son las canales de
comunicación entre empleados y supervisores? ¿Entre supervisores y alta dirección?
Valor - ¿Cuanto puede un intruso llevarse? ¿Cuanto daño podría resultar en total? ¿Cuanto puede un
empleado llevarse? ¿Cuanto tiempo antes de ser detectado?
PRINCIPIOS DE PROBABILIDAD
En este momento algunos afirmaciones sobre la naturaleza del riesgo deben exponerse. Lo que yo he afirmado hasta aquí es una aproximación al control del riesgo. Riesgo es la posible ocurrencia de un suceso no deseado. Un suceso es algo que puede ocurrir, un acontecimiento que se puede definir. Cuando un suceso ocurra se le puede describir. La protección se diseña para proteger contra sucesos dañinos. Por esta razón, como Allan Krull ha señalado, la cuestión ¿es el sistema seguro? es sin sentido. La que se debe preguntar es ¿está el sistema protegido contra sucesos que serán dañinos?
Cualquier suceso puede describirse de dos formas. Puede describirse en términos de daño que representará si ocurre. Puede considerarse en términos de la probabilidad de que ocurra. Un riesgo debe describirse en términos de ocurrencia potencial y su capacidad de pérdida potencial.
El estudio de probabilidades de ocurrencia se conoce como probabilidad, y los principios que siguen están basados en pruebas filosóficas en vez de matemáticas, como escribió en 1796 el Marqués De Laplace en su obra “Teoría Analítica de las Probabilidades”.
Laplace estableció diez principios de probabilidad, como se resumen a continuación:
1. La probabilidad se define como la razón entre el número favorable de casos a todos los casos posibles.
2. Si los casos no son igualmente posibles, entonces la probabilidad es la suma de las posibilidades de cada caso favorable.
3. Cuando los sucesos son independientes uno de otro, la probabilidad de su ocurrencia simultánea es el producto de sus probabilidades separadas.
4. Si dos sucesos son dependientes uno del otro, entonces la probabilidad de su ocurrencia simultánea es el producto de la probabilidad de ocurrencia del primer suceso y de la probabilidad que el segundo suceso ocurra dada la ocurrencia del primer suceso.
5. Si la probabilidad de la fase primera de un suceso combinado está determinada y aquel de la segunda fase está determinada, entonces la segunda probabilidad dividida por la primera es la probabilidad del suceso esperado sacada del suceso observado.
6. Cuando un suceso observado está relacionado a una causa, la probabilidad de la existencia de la causa es la probabilidad del suceso resultante de la causa dividido por la suma de probabilidades de todas las causas.
7. La probabilidad de que la posibilidad de un suceso caiga entre los limites es la suma de las fracciones (Nº 6 arriba)que caigan dentro de estos límites.
8. La definición de esperanza matemática es un producto de la ganancia potencial ganada y la probabilidad de obtenerla.
9. En un conjunto de sucesos probables, de los cuales unos producen un beneficio y los otros una pérdida, tendremos la ventaja que resulte haciendo una suma de los productos de la probabilidad de cada suceso favorable por el beneficio que produce, y substrayéndole la suma de los productos de la probabilidad de cada suceso desfavorable por la pérdida que lleva consigo. Si la segunda suma es mayor que la primera, el beneficio llega a ser pérdida, y la esperanza se cambia a miedo.
10. Esperanza moral se define como la relación entre su valor absoluto dividido por los fondos totales de la entidad involucrada. Este principio trata de la relación de ganancia potencial a pérdida potencial y describe las bases por no exponer todos los fondos al mismo riesgo.
PROBABILIDAD, RIESGO Y SEGURIDAD
Cuando seguridad se define como la implementación de un conjunto de procedimientos y procesos que cuando se toman conjuntamente, tienen el efecto de alterar la razón de sucesos indeseables a sucesos globales, entonces el primer principio y la importancia de la teoría de probabilidad se hace evidente. El
