Uncategorized

Amenaza, Riesgo y Vulnerabilidad. ¿Existe diferencia entre ellos?

Recientemente, Strategies Consulting fue consultada por un cliente para el Diseño e Implementación de un Plan de Seguridad Física para instalaciones clasificadas como críticas. Una vez acordada la reunión, me dirigí a las instalaciones para tener un primer acercamiento con el Director General y el Administrador de Seguridad y de esta manera poder escuchar sus requerimientos, inquietudes y soluciones que esperan por parte de nuestro equipo de trabajo. Conforme se desarrollaba la reunión, noto inmediatamente que términos como Riesgo, Amenaza y Vulnerabilidad, son los más usados por ellos (mis clientes) para identificar y puntualizar asuntos de seguridad, en este caso; seguridad física de instalaciones.

La mayoría de profesionales que estamos en la industria de la seguridad usamos comúnmente estos términos para tecnificar los asuntos relacionados con nuestro trabajo, aunque en contadas ocasiones terminamos intercambiando conceptos. Este intercambio se debe fundamentalmente al desconocimiento de los términos, además de sus diferencias y similitudes. Cuando no conocemos adecuadamente las definiciones corremos el riesgo de aplicar soluciones ineficaces e inapropiadas. Es por esta razón que Administradores, Responsables o Gerentes de seguridad terminan contratando especialistas en Gestión de riesgos que proporcionan Evaluación de Amenazas, junto con Profesionales de Gestión de Amenazas que proporcionan evaluación de Riesgos. ¿Confundido? Sí me entendiste te hago otra pregunta. ¿Cuál crees que sea la mejor estrategia: Gestionar Riesgos para Mitigar Amenazas o, Gestionar Riesgos para Mitigar Riesgos?

Las preguntas anteriores parecen algo confusas, de hecho lo son, pero creo que podemos entender el punto, y es por eso que en las líneas siguientes trataré de resolver el desafío de las preguntas en cuestión.

El punto de partida para implementar y diseñar un Sistema de Seguridad Física es entender las definiciones apropiadas de los términos que usamos. Hay numerosas fuentes que pueden darte diferentes definiciones, pero en este caso la fuente que usaré es el texto de Mary Lynn Garcia: Design and Evaluation of Physical Protection Systems (2013)  .

Amenaza: Un individuo o -grupo de ellos- con la motivación y capacidad para el robo o sabotaje de activos u otros actos malévolos que resultarían en la pérdida de activos en la instalación.

Riesgo: Medición de daño potencial pérdida de un activo basado en la probabilidad de un suceso no deseado.

Para definir contramedidas, usaré la definición del Departamento de Seguridad Nacional de los Estados Unidos (DHS).

Vulnerabilidad: característica física o atributo operacional que hace a una entidad abierta a la explotación o susceptible a un peligro determinado.

Para poner las cosas en un contexto más simple: La amenaza es el daño potencial que puede llegar a un activo (lo que está tratando de proteger). El riesgo es la probabilidad de que el daño se realice. Y la vulnerabilidad es la debilidad por la cual el daño puede llegar al activo.

Desde mi perspectiva profesional, lo más importante y prioritario para un Administrador de Seguridad es Evaluar, Calcular y Manejar el riesgo, más no la amenaza. No obstante, sin evaluar ni clasificar la amenaza no contamos con herramientas ni información necesaria para manejar los Riesgos. Por ejemplo, el Responsable de la Seguridad Física de un Centro Comercial debe primero que nada definir y clasificar una amenaza externa para poder determinar (o medir) la probabilidad de ataque de la misma, sea o no exitosa. Una evaluación de amenaza debe decirte si un terremoto será más destructivo que un atacante humano armado. Por otro lado, una evaluación de riesgo debe indicarte la probabilidad de que un activo sea atacado por esa amenaza.

Una buena manera de entender la dinámica y la relación entre estos términos es mediante la siguiente fórmula:

Amenaza + Vulnerabilidad = Riesgo para el Activo.

El Riesgo para un activo se calcula como la combinación de amenazas y vulnerabilidades. Esto significa que en algunas situaciones, aunque las amenazas pueden existir, si no hay vulnerabilidades entonces hay poco o ningún riesgo. No obstante, en seguridad física nunca nada está al 100% protegido quedando a criterio del profesional de seguridad dejar un margen de error o de brecha para los sistemas de seguridad.  Por el contrario, si existe una vulnerabilidad, pero si no hay amenaza, se tiene poco o ningún riesgo. De cualquier manera, el factor más importante que estamos tratando de calcular, gestionar y controlar es el riesgo.

Otro aspecto importante que debemos considerar, es cuando los profesionales de seguridad añadimos o usamos el término de la mitigación. Mitigación vienes acompañado con la acción de reducir la severidad y/o la seriedad del daño de un activo. Mitigar un riesgo es apuntar la probabilidad de que una amenaza se realice, es decir, hacer que sea menos probable que suceda. Mitigar guarda relación con el diseño e implementación de los elementos del Sistema de Seguridad Física o el endurecimiento físico de la instalación. (Perímetros, control de acceso, Círculos de Seguridad, la disuasión por la apariencia, el control visual, inteligencia protectiva, vigilancia y contra-vigilancia, etc.)

La seguridad física es solo una faceta del Riesgo, por lo tanto debe ser considerada en el contexto de la Gestión de Riesgos Integral en toda la empresa. Los Riesgos en las empresas deben manejarse de manera holística, y aquellos identificados como aceptables deben ser abordados. En este sentido, la definición y clasificación de amenazas (Gestión) y el Análisis de Vulnerabilidades constituyen piezas útiles y claves para la toma de decisiones durante la los procesos de evaluación y Gestión de Riesgos, es decir, el trío de palabras se complementan entre sí.

Previous post

¿Cual es el mejor sistema de combate cuerpo a cuerpo para la defensa personal?

Next post

Fuerza Armada ecuatoriana protegerá voluntad de votantes

Carlos Morales

Carlos Morales

Carlos Morales es el fundador y director ejecutivo de Strategies Consulting CA. El conduce la estrategia global de negocios de la empresa, además de proyectar los servicios a empresas y organizaciones a nivel nacional e internacional. También supervisa la eficiencia financiera y operativa de Strategies Consulting CA, el desarrollo de soluciones para la seguridad, la innovación de productos; además del crecimiento y las relaciones estratégicas con los clientes

No Comment

Leave a reply