Independientemente del sector al que pertenezca una organización o del marco de gestión de la seguridad de la información que utilice, es más que probable que tenga que realizar una evaluación de riesgos. A menudo, este proceso se convierte en uno de los principales puntos débiles y fuente de confusión para muchas organizaciones, ya que el término "evaluación de riesgos" puede adoptar diversos significados según el contexto. Incluso la palabra "riesgo" puede significar cosas distintas para diferentes personas. La era digital, paradójicamente, marca el resurgimiento de los pensadores intuitivos, pero al mismo tiempo subraya la necesidad de una comprensión disciplinada de la incertidumbre.
La Esencia de la Gestión de Riesgos: Definiciones Clave
Para realizar una evaluación de riesgos efectiva, es fundamental entender a qué se refiere la palabra "riesgo" en el contexto de la seguridad de la información. Aunque en el lenguaje cotidiano las palabras amenaza, vulnerabilidad y riesgo suelen utilizarse indistintamente, en el ámbito de la seguridad de la información tienen significados distintos y específicos:
- Vulnerabilidad: Es un punto débil o una condición interna que hace que un sistema, una organización o un inmueble sea frágil. Puede manifestarse en estructuras débiles, falta de capacitación, procesos ineficaces o cualquier característica intrínseca que pueda ser explotada.
- Amenaza: Es un peligro que puede explotar una vulnerabilidad. Se refiere a fenómenos externos (naturales como sismos, huracanes, inundaciones; o antrópicos como incendios, ataques cibernéticos) o internos, que tienen el potencial de causar daño a personas, propiedades o al medio ambiente. Las partes que representan una amenaza y llevan a cabo la explotación de una vulnerabilidad suelen denominarse agentes de amenaza.
- Peligro: Es una fuente, situación o acto con el potencial de causar daño a personas, propiedades o al medio ambiente. Es la causa potencial de un daño.
- Riesgo: Es la combinación de una amenaza y una vulnerabilidad. Representa la probabilidad de que un fenómeno impacte negativamente, es decir, el impacto de que una amenaza explote una vulnerabilidad, teniendo en cuenta la probabilidad de que ese suceso ocurra. El riesgo de desastres, por ejemplo, es una construcción social relacionada con el potencial de pérdidas o daños que pueden ocurrir a una comunidad, sus ecosistemas o sus medios de vida, como resultado de la convolución o mutuo condicionamiento entre amenaza y vulnerabilidad.
Los términos evaluación de riesgos y análisis de riesgos describen actividades relacionadas, pero diferentes. Una evaluación de riesgos es el proceso de identificar todas las amenazas y vulnerabilidades, así como sus correspondientes impactos y probabilidades. Esencialmente, se trata de que la organización responda a la pregunta: "¿Qué puede ir mal?". Un análisis de riesgos, por su parte, evalúa los hallazgos descubiertos durante la evaluación de riesgos, cuantificando o categorizando el nivel de riesgo.
Enfoques del Análisis de Riesgos: Cualitativo y Cuantitativo
Existen dos enfoques comunes para el análisis de riesgos: el cuantitativo y el cualitativo. Ambos buscan entender la incertidumbre, pero lo hacen de maneras distintas y complementarias.
Análisis Cuantitativo de Riesgos: Medición Numérica y Monetaria
Un análisis de riesgos cuantitativo intenta asignar un coste monetario asociado a que un agente de amenaza explote una vulnerabilidad. Es el esfuerzo de modelado que utiliza estimaciones numéricas, a menudo monetarias, para evaluar la frecuencia y magnitud del efecto potencial de un riesgo, ya sea una oportunidad o una amenaza. Este tipo de análisis es útil porque proporciona una perspectiva de alto nivel de los riesgos a los que se enfrenta una organización, traduciendo la incertidumbre en términos económicos medibles y comparables. Proporciona una forma disciplinada de entender la incertidumbre en términos que apoyan la priorización, la asignación de recursos y la planificación basada en escenarios.
Para que los datos sean adecuados para el análisis cuantitativo del riesgo, tienen que haber sido estudiados durante un largo periodo de tiempo o haber sido observados en múltiples situaciones. Por ejemplo, si en los últimos cinco proyectos, un tipo de equipo se ha averiado tras 7 horas de uso, se puede estimar con un alto grado de probabilidad que si un proyecto requiere su uso durante 8 horas, la posibilidad de avería es considerable.
Análisis Cualitativo de Riesgos: Descriptores y Juicios Subjetivos
Un análisis de riesgos cualitativo utiliza descriptores para categorizar los riesgos. Por ejemplo, puede emplearse un esquema jerárquico, como riesgos altos, medios y bajos, para establecer prioridades. Los métodos de análisis cualitativo de riesgos se basan en juicios inherentemente subjetivos, pero desempeñan un papel crucial para informar y orientar las evaluaciones cuantitativas posteriores. Su popularidad entre las organizaciones, especialmente para proyectos más pequeños, se debe a su accesibilidad, ya que no requieren modelado numérico ni simulación y permiten que los riesgos se clasifiquen en categorías amplias de probabilidad e impacto para las partes interesadas. El proceso típicamente produce una lista priorizada de riesgos.
Diferencias Fundamentales y Complementariedad
La diferencia clave entre el análisis de riesgos cualitativo y cuantitativo es la base para evaluar los riesgos. Mientras el análisis cualitativo se basa en la percepción o el juicio de una persona (o de un grupo de expertos), el análisis cuantitativo se basa en datos verificados y específicos. En el análisis cualitativo, el valor asociado al riesgo suele ser una calificación o puntuación (ej. "Bajo", "Medio", "Alto"). En el análisis cuantitativo, el valor asociado al riesgo suele ser porcentual e indica la probabilidad de que el riesgo se produzca o de que cause un efecto negativo concreto sobre los objetivos del proyecto, a menudo con un coste monetario asociado.
Aunque los métodos cuantitativos están concebidos para minimizar la subjetividad, no pueden eliminarla por completo, especialmente donde el comportamiento humano y la cultura organizacional influyen en las dinámicas de riesgo subyacentes. Si es cierto que los métodos cuantitativos inevitablemente contienen elementos subjetivos, lo contrario también es cierto: los métodos cualitativos incorporan juicios cuantitativos al definir las clases utilizadas en las matrices que combinan probabilidad (frecuencia del efecto) e impacto (tamaño del efecto).
El verdadero valor de integrar la perspicacia cualitativa con el rigor cuantitativo radica en cómo remodela la toma de decisiones: empuja a la empresa a enfrentar la incertidumbre, desafiar las suposiciones y actuar con mayor disciplina estratégica. El análisis cuantitativo se vuelve esencial precisamente cuando la medición debe servir al aprendizaje en lugar de a la ilusión de control absoluto.
¿Cuándo Realizar un Análisis de Riesgos Cualitativo y Cuantitativo?
La elección entre un enfoque cualitativo y cuantitativo depende de la situación y los recursos disponibles:
- Análisis de riesgo cualitativo: Debe realizarse al principio de cada proyecto, cuando se produzca un cambio en la percepción de un riesgo o cuando se haya identificado un nuevo riesgo. Es ideal para una primera línea de defensa, ayuda a eliminar los posibles detractores del éxito del proyecto y permite a los gestores asignar su tiempo y recursos de forma más eficaz al centrarse en los riesgos más peligrosos. Debido a su facilidad, rapidez y bajo coste, puede hacerse en cualquier momento.
- Análisis de riesgo cuantitativo: Debe realizarse cuando se dispone de una gran cantidad de datos sobre el riesgo y su impacto, y cuando es necesario validar el análisis de riesgo cualitativo. Es crucial si la seguridad del proyecto o las decisiones estratégicas dependen de una estimación precisa del riesgo. En estos entornos, su realización puede ser exigida por la ley o por las partes interesadas.
Componentes Clave de la Vulnerabilidad
La vulnerabilidad es considerada un factor interno de riesgo y es función de tres componentes principales:
Exposición
La exposición como factor de vulnerabilidad se refiere al nivel en que los ecosistemas, la población, las infraestructuras y los sistemas de producción se encuentran en zonas de incidencia potencial de las amenazas consideradas en el análisis. Para estimar la vulnerabilidad por exposición es necesario contar con un mapa de amenazas y otro de elementos expuestos, los cuales deben ser contrastados para identificar los niveles de exposición existentes.
Fragilidad
La fragilidad hace referencia al nivel de susceptibilidad intrínseca de los elementos expuestos a ser afectados por una magnitud estimada de la amenaza. Sus componentes son el físico, el socioeconómico y el ambiental. Por ejemplo, en el análisis de riesgos, la vulnerabilidad física se asocia a la calidad y estabilidad de la edificación y de los medios de transporte, mientras que la vulnerabilidad social se refiere a las condiciones de las personas y comunidades expuestas y la dinámica de sus eventos sociales. La vulnerabilidad ambiental considera factores como los conflictos por el uso del suelo, los niveles de deforestación o la susceptibilidad a la erosión.
Capacidad de Adaptación o Recuperación (Resiliencia)
La capacidad de respuesta y adaptación tiene que ver con la posibilidad de las comunidades para atender, asumir, recuperarse y adaptarse ante grandes variaciones en sus condiciones normales de vida, producto de un desastre. Esto está determinado por aspectos como los niveles de gobernabilidad, el nivel cultural, la capacidad de ordenación y gestión ambiental del territorio, los niveles de preparación y diseño de planes de manejo de emergencias y gestión del riesgo, la capacidad de endeudamiento, y la capacidad de ahorro y transferencia de riesgos mediante pólizas de aseguramiento. Es importante diferenciar la resiliencia, que se refiere fundamentalmente a la tolerancia que tienen las configuraciones territoriales de soportar una acción perturbadora antes de presentar un cambio sustancial, de la capacidad de adaptación, que alude a la posibilidad de los sistemas de ajustarse a variaciones sustanciales.
Metodología para el Análisis Cuantitativo de Riesgos
La realización de un análisis cuantitativo de riesgos sigue una serie de pasos estructurados para asegurar la precisión y utilidad de los resultados:
Paso 1: Identificar el Objetivo, el Alcance y el Método
Antes de comenzar, los directores de proyecto deben definir claramente qué tipo de información buscan del análisis cuantitativo de riesgos. Una vez identificado el objetivo, se deben establecer el alcance y las limitaciones del estudio, determinando qué datos se incluirán o no. Finalmente, se selecciona uno de los métodos de análisis cuantitativo de riesgos, tales como:
- Análisis Modal de Fallos y Efectos (AMFE): Un método sistemático para identificar y prevenir los modos de fallo de un sistema, proceso o producto, evaluando sus causas y efectos.
- Análisis de Impacto Empresarial (BIA): Un proceso para identificar los efectos potenciales de una interrupción en las funciones críticas del negocio.
- Valor Monetario Esperado (VME): Calcula el coste esperado de un riesgo multiplicando la probabilidad de que ocurra por el coste de su impacto (Probabilidad en % de que se produzca el riesgo × Coste del impacto en la moneda preferida = VME).
Paso 2: Preparar los Datos, Herramientas y Recursos Humanos
Es crucial asegurarse de que los datos necesarios estén organizados y sean compatibles con el método y las herramientas a utilizar. Esto puede incluir plantillas digitales, programas informáticos especializados y otros materiales. La preparación del personal implica decidir si se contratará a expertos externos o si se involucrará a personas de otros departamentos, asegurando que el equipo tenga la experiencia necesaria.
Paso 3: Aplicar el Método Elegido a los Datos Recogidos
Una vez listos los datos, las herramientas y el personal, se procede a ejecutar el análisis. Esto implica la aplicación rigurosa de la metodología seleccionada a la información recopilada, procesando los datos para obtener las estimaciones numéricas del riesgo.
Paso 4: Registrar y Almacenar Todos los Resultados
Después de aplicar el método, es fundamental registrar y almacenar de forma segura todos los resultados obtenidos. Estos registros son valiosos para futuros análisis de riesgos, permitiendo la comparación, la evaluación de la eficacia de las medidas de mitigación y el aprendizaje continuo. Dada la inversión de tiempo, esfuerzo y recursos en un análisis cuantitativo, es importante no desperdiciar la información obtenida.
Herramientas y Recursos para el Análisis de Riesgos
En el mundo digital actual, diversas plataformas y software especializado facilitan la realización de análisis de riesgos cualitativos y cuantitativos. Estas herramientas suelen ofrecer funcionalidades como:
- Realización de análisis de riesgos en dispositivos móviles, permitiendo capturar y registrar riesgos sobre la marcha o en el terreno, establecer calificaciones de riesgo y colaborar con el equipo.
- Creación y asignación de acciones correctivas para controlar los riesgos, con fechas de vencimiento, niveles de prioridad e integración de imágenes.
- Centralización de los resultados del análisis de riesgos en un solo lugar, con capacidad de aplicar filtros para obtener la información necesaria y un registro automatizado de datos críticos.
Estas plataformas ayudan a gestionar los riesgos para que no se interpongan en el trabajo, asegurando que los proyectos se mantengan en el buen camino y fortaleciendo la preparación frente a amenazas inesperadas. Al realizar periódicamente un análisis de riesgos con el apoyo de estas herramientas, las organizaciones están más preparadas para hacer frente a posibles obstáculos.
Marco Normativo del Análisis de Vulnerabilidad y Riesgo (AVR) en México
En México, la gestión integral de riesgos se ha convertido en una prioridad para empresas, instituciones educativas, dependencias públicas y organizaciones privadas. Fenómenos naturales y riesgos químico-tecnológicos han puesto en evidencia la necesidad de diagnósticos especializados. El Análisis de Vulnerabilidad y Riesgo (AVR) es un instrumento técnico de análisis de riesgos de origen químico-tecnológico dentro y fuera del inmueble, así como en el entorno, que permite conocer los efectos destructivos de los eventos probables y catastróficos.
AVR en Protección Civil
Los lineamientos para el Análisis de Vulnerabilidad y Riesgo en Protección Civil, en específico para agentes químico-tecnológicos, son establecidos en marcos normativos como la Norma Técnica Estatal NTE-002-CGPC-2018 del Estado de México. Esta norma es de observancia obligatoria para dependencias y entidades de los sectores público, social y privado, detallando la metodología cualitativa y cuantitativa para evaluar amenazas, vulnerabilidades, consecuencias y desarrollar medidas de prevención y mitigación.
El AVR no es únicamente un requisito administrativo, sino un proceso que genera información clave para la planeación urbana, la seguridad empresarial, la protección patrimonial y la resiliencia social. Su propósito es prevenir emergencias, reducir daños y garantizar la seguridad de las personas y el patrimonio. Es un documento exigido por normativas federales y estatales, indispensable para obtener autorizaciones como el Visto Bueno de Protección Civil y para integrar el Programa Interno de Protección Civil (PIPC), siendo un insumo técnico fundamental para este último.
Elementos de un AVR Completo
Un AVR completo debe contener los siguientes elementos:
- Identificación del inmueble.
- Diagnóstico de amenazas.
- Evaluación de vulnerabilidades.
- Cálculo de riesgos, que puede interpretarse como la estimación del riesgo resultante de la interacción entre amenaza, vulnerabilidad y exposición, mitigado por la resiliencia.
- Mapas de riesgo.
- Propuesta de medidas preventivas y correctivas.
Actualización del AVR
El AVR debe actualizarse cada 3 años o cuando ocurran cambios significativos en el inmueble (remodelaciones, ampliaciones) o en el entorno (nuevos riesgos identificados), dado que el entorno de amenazas de una organización evoluciona constantemente. Esta actualización permite mitigar los riesgos hasta un nivel aceptable, identificando controles adicionales o determinando otras acciones que la organización pueda emprender.
Consideraciones sobre la Incertidumbre y la Gestión
La gestión cuantitativa de riesgos, aunque valiosa, nunca debería prometer resultados deterministas; su poder reside en la iteración y el aprendizaje continuo, no en la ilusión de un control absoluto. Lo que se mide se gestiona, pero la mente humana sigue siendo el instrumento de medición más sofisticado que existe, y en el mundo digital actual, lo que realmente importa es empoderar a los equipos para tomar decisiones donde realmente residen la información y el conocimiento. Por lo tanto, la gestión cuantitativa de riesgos debe apoyar la toma de decisiones en todos los niveles de la empresa, no solo a nivel ejecutivo o de portafolio.
El riesgo de desastres es una construcción social, lo que implica que es susceptible de gestión integral. Es posible adoptar metodologías para la espacialización de la vulnerabilidad, susceptibles de generalización, que permitan superar los sesgos basados únicamente en la identificación de las amenazas y llegar a una visión del desastre como construcción social. Esto posibilita trascender la visión parcial de las ciencias naturales o aplicadas, hacia un abordaje inter y transdisciplinar, donde la articulación de la vulnerabilidad, y no solo de las amenazas, en los procesos de gestión integral del riesgo es clave para una comprensión holística de los problemas de riesgo y sus verdaderas posibilidades de mitigación.