Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.

Norma EN 50518

Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.

Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.

En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.

No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.

 

Metodologías de evaluación de riesgos

Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.

 

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)

  • Desarrollada en España por el Consejo Superior de Informática para su uso en las administraciones públicas
  • Orientada en su inicio a Seguridad digital
  • Realiza cálculos cuantitativos partiendo de datos cualitativos.
  • Posibilidad de recoger incidencias y pasar a enfoque cuantitativo.
  • Soportada por software (MAGERIT H1 y MAGERIT H2)

 

Método Mosler 

  • Metodología orientada a Seguridad Física
  • Su objetivo es identificar, analizar y evaluar los factores que pueden influir en la materialización de un riesgo, permitiendo clasificarlos.
  • Se desarrolla en cuatro etapas: Definición, Análisis, Evaluación y Cálculo del Riesgo.
  • Se basa en la valoración de funciones, sustitubilidad, profundidad, extensión, agresión y vulnerabilidad.
  • Apta para todo tipo de organizaciones

 

  Método AARR 

  • Metodología de enfoque cuantitativo
  • Su objetivo es identificar activos y relacionarlos con los procesos.
  • Se establecen 3 niveles de riesgo: inicial, residual y objetivo.
  • Se completa con la ejecución de unas buenas prácticas para el tratamiento de los riesgos
  • Apta para todo tipo de organizaciones

 

Método HAZOP 

  • Metodología Hazard and operatibility basada en el análisis funcional de operatividad
  • Se concentra en las instalaciones y baja a nivel de subsistemas
  • Se establecen 6 etapas para llegar a un informe final
  • Dispone de unas palabras guía propia: desviaciones, nodos, actividad,…
  • Metodología muy implantanda en sector químico

 

Método BOW-TIE 

  • Metodología centrada en el árbol de causas y efectos
  • Permite una trazabilidad completa entre las causas de los eventos y sus consecuencias
  • Pone al evento en el centro del análisis
  • Apta para todo tipo de organizaciones
  • Metodología compleja de alto valor añadido

 

Evaluación de riesgos en la Norma 50518

Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.

Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.

Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.

El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.

La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.

Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.

Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.

Conclusión

Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.

La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.

Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.

Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org