"Aquello que no te mata... debería hacerte más fuerte" ;)
InfoSecMan Blog
Análisis de Riesgos, ¿para qué?
15 January 2009Descubro en los últimos días algunos posts interesantes sobre análisis de riesgos, destacando por su síntesis y claras ideas el de Joseba Enjuto titulado “¿Funcionan los Análisis de Riesgos?” que comenta muy bien Javier Cao.
Pues bien, de la mano de mi gran amigo Nacho Paredes (semilla origen de la reflexión) me permito lanzar aquí una cuestión para libre dicusión que quizás cree cierta controversia:
¿Es necesario siempre un Análisis de Riesgos?
Esta cuestión dentro del “pensamiento clásico” puede sonar como una llamada al anticristo, una pregunta de alguien que comienza en esto de la seguridad y no tiene ni idea, o incluso una locura, ya que probablemente la mayoría de los “encuestados” contestaría con un rotundo y sonoro SI, POR SUPUESTO.
Pues bien, permitidme que, ya que siempre me gusta hacer analogías, haga una con algo parecido en medicina. Un análisis de riesgos no deja de ser una especie de diagnóstico médico de un paciente para conocer qué necesidades o problemas tiene y cómo tratarlos de la forma más adecuada. Ante un paciente, probablemente cualquier médico asegure que es totalmente necesario realizar un diagnóstico para poder afrontar un proceso de mejora adecuado.
¿Pero qué pasaría si tenemos un grupo numeroso de pacientes con las mismas carencias que ya conocemos de antemano? Por ejemplo, una vecindad que ha estado bebiendo agua con altos índices de plomo, o un poblado en Africa que lleva en situación de inanición meses o años. ¿La situación de todos esos pacientes no sería muy similar en lo más crítico (sus carencias)? Si esa población es numerosa (por ejemplo de 1000 personas o de 1 millón), ¿qué es más lógico si queremos mejorar el nivel de salud general en el menor tiempo posible (antes de que haya más muertes)?, ¿identificar las carencias comunes a todos los pacientes y quizás hacer un muestreo de la salud de 10 de ellos o realizar un diagnóstico personalizado de los 1000 o del millón?. Probablemente todos estemos de acuerdo que en este caso, el diagnóstico personalizado de los 1000 pacientes no ofrecería ventajas importantes respecto al otro escenario, sino más bien retrasaría la mejora del nivel global de salud e incurriría en mayores costes (de todo tipo, desde vidas humanas hasta de profesionales de la medicina).
Vayámonos pues ahora a nuestro campo. La seguridad. ¿Existe algún colectivo de organizaciones con carencias comunes y muy identificadas similares a las que planteábamos en la analogía anterior?. Sí, yo creo que sí: las PYMES (y algunas organizaciones con niveles de madurez similares, pero dejemos ese caso para otro día).
Sabemos que más del 95% del tejido empresarial está compuesto por estas empresas, es decir tenemos una cantidad importante y sabemos además cuáles son sus principales carencias. Incluso con un pequeño estudio o muestreo podemos asegurar cuáles son sus carencias con más de un 90% de efectividad por grupos de empresa o nichos (por tamaño, por ejemplo las micropymes, o por sector).
Si queremos mejorar el nivel general de la seguridad en un grupo de este tipo de empresas (por ejemplo de 10.000 
), ¿cómo lo conseguiremos de manera más eficiente? ¿incorporando el proceso de análisis de riesgos en todas y cada una de ellas o identificando de forma previa sus carencias generales (siii, un análisis de riesgos general de aproximación) y dedicando más recursos a elevar su nivel de seguridad… a curarlos?
Dejo abierta la pregunta, mi respuesta ya la intuís.
Por tanto, ¿Es necesario siempre un Análisis de Riesgos? No, no siempre. … al menos como estamos acostumbrados a realizarlos…
Se abre la veda 
(Gracias Nacho por la idea!)
3 Comments » | Posted in Curiosidades, Normativas, Profesion, Sociedad | del.icio.us |
3 Comments so far
Leave a reply
Últimos "tweets" en InfoSecManBlog
- @sergiogranda As soon as we have good contents to share :) in reply to sergiogranda 4 hrs ago
- Attending the Kickoff meeting of the Spanish Cyber Security Institute. Here we go! 5 hrs ago
- Take a look at this video: Smart Grid, Utilities and Internet Protocols: http://t.co/IO8bVgZJ 6 hrs ago
- More updates...
Powered by Twitter Tools
Últimas entradas
- Resumen Semanal desde Twitter (2012-02-05)
- Resumen Semanal desde Twitter (2012-01-29)
- Resumen Semanal desde Twitter (2012-01-22)
- Resumen Semanal desde Twitter (2012-01-15)
- Resumen Semanal desde Twitter (2012-01-08)
- Resumen Semanal desde Twitter (2012-01-01)
- Resumen Semanal desde Twitter (2011-12-25)
- Resumen Semanal desde Twitter (2011-12-18)
- Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas
- Resumen Semanal desde Twitter (2011-12-11)
Interesante cuestión… Creo que la clave de la pregunta es la omisión (intencionada?) de una palabra. Es necesario siempre realizar un análisis de riesgos FORMAL? No, por supuesto. Todos hacemos análisis de riesgos sin darnos cuenta, continuamente. Si hay muchas personas a punto de morirse, todos somos conscientes de que el activo son las personas, la amenaza la muerte, y el valor final del riesgo es muy alto. Extremo. Y no necesitamos un análisis formal para saber que ese riesgo es el primero que hay que atajar, nuestra propia intuición, sentido común o como queramos llamarlo es quien “hace el trabajo por nosotros”, en lugar de ser nuestra parte más analítica y racional.
En cualquier ámbito de nuestra vida, y la seguridad no es una excepción, funcionan las quick-wins. Acciones “pequeñas”, “baratas” y a menudo sencillas y obvias cuyo efecto es un beneficio grande. Y para aplicarlas no hace falta realizar un análisis de riesgos formal (aunque si lo pensamos bien, para poder valorar ese beneficio hemos tenido que analizar la situación negativa que soluciona, y por lo tanto en mayor o menor medida habremos analizado sus riesgos, aunque sea cualitativamente y en una fracción de segundo).
Y para terminar, esa identificación previa de las carencias generales, como bien dices, no deja de ser un análisis de riesgos (carencias de seguridad que identificamos como “graves”). En defnitiva, que lo que no es necesario hacer siempre es un análisis de riesgos formal, porque en realidad los análisis de riesgos no los podemos evitar, aunque sean intuitivos.
Totalmente de acuerdo. Has entendido exactamente lo que quería transmitir (y lo que omitía intencionadamente jeje).
Gracias por el comentario Joseba, como siempre.
Objetivamente creo que el analisis de riesgo,si es necesario porque es una herramienta que nos ayuda a identificar, analizar y evaluar el riesgo ,asi mismo trata de estimar el nivel del peligro, esto es muy importante dentro de una planta industrial.
Gracias a este item el personal ya esta atento en sus labores y tiene especial cuidado en la zona donde ha identificado el riesgo e indudablemente que gracias a ello se ha disminuido sustancialmemnte los accidentes.