Hay muchas definiciones de riesgo pero muy poca claridad sobre el tema. Sigue leyendo porque en este post te explicamos qué es el riesgo en una empresa.

El ambiente de seguridad cambió de manera imprevista después del 9 de septiembre de 2011. Desde entonces han aparecido conceptos de riesgo muy estructurados para mejorar los niveles de seguridad en todas partes del mundo.

Con la aparición de la norma técnica ISO 31000, versión 2011, la manera como se gestiona el riesgo en las empresas viene cambiando desde su primera versión en el año 2009. Antes de esto la persona encargada de la seguridad, elaboraba, de manera individual, un análisis de los riesgos que presentaba a la dirección de la empresa y a partir de allí, se desarrollaba un plan de mitigación.

Ahora la norma técnica ISO 31000, versión 2018, ya usada en Europa y otros países, indica que cada “propietario del riesgo” al interior de la empresa, tiene la responsabilidad de rendir cuentas y la autoridad necesaria para gestionar un riesgo.

Uno de los temas más curiosos del asunto, es que, como lo dice la norma, el “propietario del riesgo”, en muchos casos no tiene claridad sobre qué es riesgo.

Por otro lado, los libros sobre tema relacionados con riesgo en el sector de la seguridad, en no pocas excepciones, tampoco tienen claridad sobre el tema, todo lo contrario, hay un sin fin de definiciones sobre el riesgo que al final solo genera más confusión.

¿Qué es el riesgo?

Intentar definir qué es el riesgo no es una tarea fácil, ya que como mencionamos anteriormente, hay varias definiciones que generan confusión, incluso dentro de las asociaciones y los profesionales que trabajan en riesgos de seguridad. Aún así, vamos a abordar el tema desde diferentes puntos de vista para llegar a una conclusión más acertada.

La Sociedad Americana de la Seguridad en la Industria (ASIS), en la obra más vendida sobre tema de seguridad, Protection of Assets Manual (POA), define el riesgo como “probabilidad de una consecuencia”.

Igualmente, esta misma institución en su “Guía para el Análisis de Riesgos”, dice que el riesgo es, “la posibilidad de pérdida como resultado de una amenaza, incidente de seguridad o evento”.

Por otra parte, la norma ISO 31000, del Instituto nacional de Normas Técnicas-Incontec, define el riesgo como, “efecto de la incertidumbre sobre los objetivos”, y agrega cinco notas para aclarar el término. Estas notas hablan de “efecto, los objetivos, consecuencias, probabilidad e incertidumbre”, pero se quedan un poco cortas.

Estas dos y otras tantas definiciones son completamente válidas, pero poco le aportan a los encargados del proceso de análisis de riesgo y la gestión del riesgo en las empresas porque son muy conceptuales.

Tal vez, la definición más precisa y sencilla de qué es el riesgo se encuentra en el documento elaborado por los Laboratorios Nacionales Sandia llamado, “A Scalable Systems Approach for Critical Infrastructure Security”, en español, “Un enfoque de Sistemas Escalables para la Seguridad de Infraestructuras Críticas.

Según este documento, “el riesgo es el costo esperado o la pérdida esperada debido a un ataque adversario en una infraestructura determinada, está determinado por la intersección de las consecuencias del ataque, las amenazas o la probabilidad del ataque y las vulnerabilidades del ataque”.

La que se puede explicar con la siguiente imagen:

Más específicamente:  R = T x V x C

En donde:

  • T = Amenaza: es la probabilidad de que ocurra un escenario de “ataque” con el potencial de alterar los sistemas o activos y causar consecuencias indeseables. Las amenazas se caracterizan por sus fines y la probabilidad de que ocurra.
  • V = Vulnerabilidad: una debilidad en el sistema o activo, que causaría un deterioro o falla por la amenaza (T).
  • C = Consecuencia(s): son los resultados negativos asociados con el deterioro o falla del sistema o activo(s). Las consecuencias de un ataque se pueden medir por la pérdida de vidas, el impacto económico, la pérdida de la confianza pública u otras métricas.

Una definición más amplia de qué es el riesgo

Posteriormente, Mary Lynn García, en el libro “The Design and Evaluation of Physical Protection Systems”, toma algunos conceptos de riesgo creados a partir de la postguerra de Vietnam para proteger plantas químicas y nucleares en los Estados Unidos, ampliando un poco más la definición de riesgo, de la siguiente manera:

  • Definición de Sandia: R = T x V x C
  • Definición ampliada: R = PA * [1- PI] * C

Para entender esta definición, ten en cuenta los siguientes parámetros:

  • PA = Probabilidad de ataque de un adversario = amenaza 
  • PI = Probabilidad de Interrupción menos el ataque = vulnerabilidad
  • C = Consecuencia(s) o costo de la(s) consecuencia(s)

En esta ampliación de la definición, en términos matemáticos la amenaza está definida por la probabilidad de un ataque (PA) y la vulnerabilidad está dada por el ataque como tal, representada en términos de probabilidad con el número 1, menos la probabilidad de interrupción (PI) de un ataque de un adversario. La probabilidad de interrupción (PI) es tomada como la capacidad (interna o externa) de interrumpir un adversario antes de que llegue al objetivo final.

Para usar esta definición de riesgo, es necesario cuantificar cada variable de la fórmula en un número entre uno (1) y cero (0), pues la definición incorpora el término probabilidad, que se ocupa de medir o determinar de manera cuantitativa la posibilidad de que un suceso o experimento produzca un determinado resultado, la cual es expresada en un número entre uno (1) y cero (0), que expresa una certeza matemática: el uno (1) certeza de ocurrencia y el cero (0) certeza de no ocurrencia.

Conclusión

El riesgo en seguridad es algo que puede definirse y no debería estar ligado a la subjetividad de cada individuo. El hecho de que organizaciones reconocidas estén dando criterios y estándares al respecto permite hacerle un seguimiento y una evaluación para proponer medidas más efectivas para minimizar el riesgo.

Además, en la era de la información, los gerentes o directores generales, a quienes les reportan los gerentes de seguridad están demandando información numérica respaldada para tomar decisiones de una manera más efectiva. Por lo tanto, es recomendable que el gerente de seguridad las reemplace por teorías respaldadas que mejoren la toma de decisiones.

Si quieres saber más sobre cómo Omnitempus te puede ayudar a prevenir los riesgos en tu empresa, ¡comunícate con nosotros aquí!