Evaluación de riesgos en seguridad

La mejor manera de determinar si las medidas de seguridad tomadas en una determinada ubicación son adecuadas es mediante una evaluación de riesgos de seguridad.

Algunas de las preguntas más frecuentes a la que nos podemos enfrentar cuando realizamos tareas de consultoría es: ¿Mi seguridad es la adecuada?¿Son suficientes las medidas de seguridad que tenemos?. Profesionalmente, a estas preguntas únicamente se puede contestar con otra pregunta: ¿Adecuado para qué?

Imagínate que una visita al médico, para hacerte un chequeo rutinario, sin hacerte ninguna prueba, el doctor te informa que necesitas una intervención quirúrgica de urgencia. ¿Cuál sería tu opinión de ese supuesto profesional de la medicina? Lo más normal es que cuestionaras la opinión del “profesional” por no haber realizado ningún tipo de estudio o prueba y buscaras otra opinión.

Esta misma filosofía debería aplicarse a los profesionales de la seguridad. Cambios significativos en las medidas de seguridad existentes nunca debieran aplicarse sin un diagnóstico adecuado, o lo que es lo mismo, una evaluación de riesgos.

El primer paso para dar respuesta a cualquier problema es entender el mismo, conocer su terminología y analizar su funcionamiento. En el presente artículo precisamente explicaremos los conceptos básicos que deben conocerse, así como la metodología a emplear en función del objetivo buscado en la evaluación de riesgos.

Si bien hay muchas maneras de evaluar la seguridad, ninguna es más eficaz que la evaluación integral de los riesgos que considera los tres elementos de riesgo que se indican a continuación:

RIESGO = AMENAZA x VULNERABILIDAD x CONSECUENCIA

Donde:

Amenaza: Probabilidad de sufrir un determinado ataque.

Vulnerabilidad: Probabilidad de el sistema de seguridad falle.

Consecuencia: Impacto sobre el activo en caso de materialización de la amenaza.

De lo anterior, podemos definir la fórmula general del riesgo (R)iesgo = (P)robabilidad x (I)mpacto, donde, (P)robalidad = (A)menaza x (V)ulnerabilidad.

Componentes del riesgo en seguridad

Ahondando un poco más en las definiciones de los términos específicos citados hasta ahora, podemos definir cada uno de ellos como:

Activo: Cualquier recurso de una organización, en propiedad o no, que tiene o puede generar un valor, y cuyo deterioro supondría una pérdida para la organización. Los activos pueden ser tangibles (Edificios, vehículos, personas, dinero, maquinaria…) o intangibles (Reputación, información, conocimiento, propiedad intelectual…). Igualmente, sin ser objeto de este artículo, para la realización de una evaluación de riesgos, los activos se suelen priorizar en función de su criticidad para la organización analizada: cuanto más crítico sea un activo, mejor deberá ser protegido.

Amenaza: Toda acción que podría tener un potencial efecto negativo sobre algún activo de la organización. Las amenazas pueden ser de diversos tipos, intencionales causadas por el hombre, naturales, negligentes, de origen técnico, accidentales, etc. Desde el punto de vista de una organización pueden ser tanto internas como externas.

Vulnerabilidad: Debilidad o fallo en el sistema de seguridad que facilita o permite que un atacante pueda lograr su objetivo y generar un impacto. Estos “agujeros” pueden tener distintos orígenes.

Impacto: La consecuencia derivada de la materialización de una amenaza sobre un activo. Esta consecuencia no se mide únicamente sobre el activo “atacado”, sino que se hace sobre toda la organización e incluso, su círculo de influencia. El impacto no sólo puede ser económico, sino que puede ser psicológico, lesivo o de muerte en personas y/o animales, reputacional, penal…

Riesgo: De acuerdo a la ISO 31000, el riesgo se define como la incertidumbre que surge durante la consecución de un objetivo. Se trata, en esencia, de circunstancias, sucesos o eventos adversos que impiden el normal desarrollo de las actividades de una empresa y que, en general, tienen repercusiones económicas para sus responsables. De manera general se puede decir que los riesgos podrían ser positivos, si ayudan a conseguir los objetivos, o negativos, si amenazan o dificultan su consecución. Al hablar de seguridad, siempre lo hacemos desde el punto de vista negativo, es decir, se evalúan aquellos riesgos que pueden suponer un obstáculo a la consecución de los objetivos de la organización.

Determinando el nivel de la amenaza:

Cualquier evaluación de riesgos que se realice de acuerdo a la fórmula anterior, se iniciará generando un catálogo de posibles amenazas que puedan afectar a la organización y sus activos, y fijando la probabilidad de materialización de una determinada amenaza sobre un determinado activo. Se trata de un ejercicio no exento de subjetividad, que debe intentar paliarse haciendo uso de la mayor información posible para su establecimiento, acudiendo a estudios de incidentes previos sobre esa determinada tipología, a estadísticas, a organizaciones y profesionales del sector o cercanos a nuestra organización, a fuentes policiales, a fuentes abiertas en internet (OSINT)…

Determinado la efectividad de la seguridad. Vulnerabilidad:

Para realizar un análisis de vulnerabilidades se requieren ciertos conocimientos técnicos sobre seguridad, el funcionamiento de los sistemas y sus funciones, protocolos de seguridad, modus operandi de los agresores, elementos motivacionales del crimen, CPTED…

Se trata de realizar un análisis sistemático sobre la efectividad de un sistema de seguridad ante las diferentes amenazas determinadas en el apartado anterior al fin de detectar posibles “agujeros” o debilidades que faciliten la materialización de la amenaza y la consecución del objetivo por parte del atacante.

Fijando criterios de impacto:

Cada organización debe definir su propio modelo de impacto, de manera cuantitativa (coste económico) y/o cualitativa. ¿Por qué debe ser específico para cada organización? Pensemos en un impacto económico de pérdida de 30.000€, ¿Sería igual para una pequeña empresa que para una empresa del IBEX35? La respuesta es NO. Mientras que para la pequeña empresa podría significar el cierre, un impacto catastrófico, para la gran empresa supondría calderilla, un impacto leve.

Dentro de los criterios de impacto se debe atender a consecuencias económicas, legales (Compliance), reputacionales, de interrupción del servicio, etc. Se requiere un conocimiento del funcionamiento de la organización, su capacidad y apetito de riesgo, sus objetivos…

El objetivo de la evaluación de riesgos:

Resumiendo, podemos definir que el objetivo principal de una evaluación de riesgos de seguridad es obtener una imagen de:

  • Cuales son los activos críticos de una organización que necesitan ser protegidos.
  • Que amenazas pueden afectar a estos activos, y por tanto a los objetivos de la organización, y la probabilidad de ocurrencia.
  • Que debilidades presenta el actual sistema de seguridad que pueda favorecer la materialización de la amenaza.
  • Qué consecuencias puede tener la materialización de cada amenaza para la consecución de los objetivos de la organización.

Esta foto fija, realizada en un momento determinado, deberá servir de base para la propuesta de acciones de mitigación de los riesgos, no sólo de medidas de seguridad, sino también de otras posibles opciones que pudieran ser más eficientes y acordes a los niveles de apetito, tolerancia y capacidad de riesgo de la organización.

De manera general, las posibles medidas tendentes a mitigar el riesgo serán:

  • Evitar el riesgo.
  • Adoptar medidas que mitiguen la probabilidad y/o el impacto: Sistemas, protocolos, controles…
  • Compartir o transferir el riesgo.
  • Diferir o diversificar el riesgo.
  • Aceptar el riesgo y asumir sus consecuencias.

Análisis parciales y su utilidad:

La toma en consideración, de manera individualizada o parcial, de los elementos de la fórmula general del riesgo de seguridad enunciada con anterioridad, si bien no son una evaluación de riesgos, pueden ser útiles para abordar otros objetivos diferentes:

Evaluación de la amenaza:

Riesgo = Amenaza x  Vulnerabilidad x Impacto

Este tipo de informe únicamente contendrá los datos de la primera parte de la formula enunciada.

Se trata de realizar un estudio pormenorizado de las amenazas, sus actores, modus operandi, posibles motivaciones, objetivos, nivel de preparación…

A mayor conocimiento de la amenaza, mejor podremos determinar su probabilidad de materialización, cuales son las medidas de seguridad más adecuadas, las herramientas que utilizarán para conseguir su objetivo, determinar el diagrama de secuencia de adversario…, es decir, mejor conoceremos a nuestro adversario y como debemos protegernos de él.

Si desea simplemente estudiar a los delincuentes o terroristas que pueden tener un interés y crear problemas de seguridad para su organización, podría comenzar con una evaluación de la amenaza.  Esto abarcará un estudio de sólo la primera parte de la fórmula como se muestra a continuación.

Evaluación de la vulnerabilidad:

Riesgo = Amenaza x Vulnerabilidad x Impacto

Una evaluación de vulnerabilidad considerará sólo dos de los tres elementos de la fórmula de riesgo, la vulnerabilidad y el impacto.  Se supondrá que el nivel de amenaza es el más alto, y la organización se verá obligada a mejorar simplemente su eficacia en materia de seguridad reduciendo la vulnerabilidad y a encontrar formas de reducir las consecuencias, lo que podría incluir la mejora de la respuesta de emergencia o la elaboración de planes de continuidad de las actividades. 

Una evaluación de la vulnerabilidad suele dar lugar a un gasto excesivo en seguridad, ya que se omite el nivel de amenaza real y la probabilidad de que ocurra un incidente.

Business Impact Analysis (BIA):

Riesgo = Amenaza x Vulnerabilidad x Impacto

El análisis del impacto en el negocio (BIA por sus siglas en inglés) es otra metodología común utilizada en algunas organizaciones para identificar los activos más críticos y crear resiliencia en torno a esos activos, a menudo en forma de planes de continuidad del negocio. 

En muchos casos, los análisis de impacto en el negocio no tienen en cuenta las amenazas o la vulnerabilidad de los activos y, una vez más, pueden dar lugar a gastos excesivos que, mediante una evaluación de riesgos completa, se verían reducidos.

Auditoría de seguridad:

Riesgo = Amenaza x Vulnerabilidad (o efectividad) x Impacto

Una auditoría de seguridad es probablemente la metodología más fácil de ejecutar, ya que es simplemente una verificación de que todas las medidas de seguridad que se encuentran inventariadas están de hecho en su lugar y funcionando correctamente. 

La auditoría de seguridad se centrará en la eficacia de la seguridad y/o determinará que la vulnerabilidad se está mitigando adecuadamente. 

La auditoría de seguridad tiene ciertamente su lugar en el panorama del análisis, pero no es una evaluación del riesgo y es poco probable que identifique una vulnerabilidad desconocida.

Resumiendo:

Lanzarse a implantar medidas de seguridad si haber realizado previamente una adecuada evaluación de riesgos es, en la mayoría de casos, una inversión de dinero innecesaria que pudiera no ser adecuada a los objetivos buscados. Por ejemplo, en casos de robos en trasteros, lo primero que se nos viene a la cabeza es la instalación de cámaras y, por supuesto, habrá empresas que, con el ánimo de vender, no pongan en duda la idoneidad de las mismas, pero ¿realmente las cámaras van evitar nuevos robos? Estamos cansados de ver en televisión e internet multitud de robos llevados a cabo en presencia de cámaras de seguridad, gran calidad de imagen que no ha evitado el robo. ¿Existen otras opciones? ¿son más efectivas? ¿Cuál es su coste? ¿Cuál es el “valor” de los materiales que debo proteger?… todas estas preguntas se responden con la adecuada evaluación de riesgos, que servirá como base a la toma de una decisión correcta y alineada con nuestros objetivos.