26 septiembre 2006

Conceptos de Analisis de Riesgos

Una de las dificultades más habituales a la hora de abordar un análisis de riesgos suele ser la definición de conceptos. En este post no quiero dar definiciones oficiales, sino tratar de aclarar las diferencias entre todos ellos. Veamos si lo logro.

  • Activo: Es cualquier "cosa" que tiene valor para la empresa. Un servidor es un activo, una licencia también lo es. Pero no sólo eso: las personas, los servicios, los procesos, la imagen de la empresa, la marca... todo son activos.
  • Valor: Es la importancia que tiene ese activo dentro de la empresa. No su valor económico. Pongamos un ejemplo sencillo. ¿Cuál es el valor del carnet de conducir? ¿Lo que ha costado conseguirlo (autoescuela, tasas, ...)? Pues no, depende de la importancia de ese activo para la empresa. Para un autónomo que trabaja entregando paquetes a domicilio tiene más valor que para otro que trabaja en casa como teleoperador.
  • Amenaza: Es aquél elemento que puede provocar daños sobre el activo. Si estamos clavando un clavo, y el activo es nuestro dedo, está claro que la amenaza es que el martillo nos golpee.
  • Probabilidad de ocurrencia de la amenaza: Es la probabilidad de que la amenaza se materialice, es decir, la probabilidad de pegarnos un martillazo en el dedo. A nivel estadístico, genérico.
  • Vulnerabilidad: Es el grado de debilidad de un activo frente a una amenaza, la capacidad que tiene la amenaza de afectar a el activo. En nuestro caso, cómo de resistente es el dedo frente al martillazo.
  • Exposición : Es la medida de la vulnerabilidad, lo desprotegido que está. Dependerá de si tenemos guantes o si somos unos "machotes".
  • Incidente: El martillazo (la materialización efectiva de la amenaza, aprovechando la vulnerabilidad).
  • Degradación: Es un término que utilizan algunas metodologías para referirse al potencial que tiene la amenaza de dañar al activo. Cuánto daño es capaz de provocar el martillazo.
  • Impacto: Es un término con significados parcialmente distintos en función de la metodología que se utilice, pero que viene a hacer referencia al resultado de que se produzca el incidente. En definitiva, cuánto duele el dedo si nos pegamos un martillazo en él.
  • Riesgo o nivel de riesgo: Es el resultado de combinar todos los términos anteriores. Para ser más claros, la probabilidad de que una amenaza aproveche la vulnerabilidad del activo para provocar un daño. La probabilidad de que nos hagamos daño al pegarnos un martillazo en el dedo.
  • Controles o contramedidas: Medidas dispuestas para rebajar el nivel de riesgo: usar guantes (o guantes más gruesos), aprender o perfeccionar nuestro uso del martillo, fortalecer nuestro dedo, subcontratar la tarea...

Estos términos pueden variar en función de la metodología que utilicemos, pero los conceptos van a ser siempre los mismos. Lo importante es tener clara la metodología, y que todo el mundo piense en lo mismo cuando hacemos uso de ellos. Sobre todo, ahora que ya están más claros... ;-)