El documento presenta varios métodos para evaluar riesgos, incluyendo el Método de Evaluación de Riesgos del NIST, el Método de Análisis Histórico de Riesgo, el Método de Análisis Preliminar, el Método de Análisis Funcional de Operabilidad, el Método de Análisis Cualitativo mediante Árbol de Fallos y el Método Gretener. Cada método tiene un objetivo específico, una descripción y un procedimiento definido para identificar, analizar y evaluar riesgos.
2. OBJETIVO: El objetivo principal por el cual nació esta metodología es mejorar
la administración de riesgos a partir del resultado en el análisis brindando así
seguridad en los sistemas de información que se encargan de almacenar,
procesar y transmitir información.
DESCRIPCIÓN DEL MÉTODO
Es un estándar desarrollado por el Instituto Nacional de Estándares y
Tecnología (NIST), proporciona una guía para la seguridad de las
infraestructuras de sistemas de información desde una perspectiva técnica.
NIST SP 800 - 30
3. PROCEDIMIENTO
La metodología está compuesta por nueve fases: caracterización del sistema la
cual permite establecer el alcance y los límites operacionales de la evaluación de
riesgos en la empresa, identificación de amenazas, es donde se definen las fuentes
de motivación de las mismas, identificación de vulnerabilidades, en esta fase
desarrolla una lista de defectos o debilidades del sistema, análisis de controles,
determinación de la probabilidad, análisis de impacto, fase de determinación del
riesgo,, ayuda a evaluar el riesgo en el sistema de información, recomendaciones de
control, donde se proporcionan controles que pueden mitigar el riesgo identificado
y por último la documentación de resultados, generando un informe descriptivo de
las amenazas y vulnerabilidades midiendo el riesgo y generando recomendaciones
NIST SP 800 - 30
4. Método de análisis histórico de
riesgo (ahr)
OBJETIVO: Detecta directamente aquellos equipos de instalaciones o
procedimientos de las mismas que originan o han originado accidentes en el
pasado. A su vez estudia dichos equipos o procedimientos de forma
detallada y propone medidas preventivas con el fin de aumentar la
fiabilidad de los equipos o mejoras en el procedimiento dispuestas a evitar
el error humano o minimizar este riesgo
DESCRIPCIÓN DEL MÉTODO: Estudia los accidentes que han ocurrido en la
instalación o en otras de características similares y que estén descritos en
los bancos disponibles de datos, extrayendo conclusiones y
recomendaciones luego de considerar las causas, consecuencias y otros
parámetros estadísticos.
5. Método de análisis histórico de
riesgo (ahr)
PROCEDIMIENTO
Obtiene información sobre los accidentes a nivel histórico y selecciona a
aquellos que le sean aplicables el tipo de instalación. Comprobar la
frecuencia en el tiempo de cada tipo de accidente y realiza las medidas
correspondientes de prevención y/o protección con el fin de minimizar los
riesgos en esos puntos críticos encontrados o en dado caso, neutralizar las
consecuencias.
6. Método de análisis preliminar (Apell)
OBJETIVO: Detectar directamente los equipos de las instalaciones o
procedimientos operativos de las mismas que sean sospechosos a generar
accidentes en el futuro. Estudia estos equipos o procedimientos de una
forma detallada y propone medidas de prevención que permitan aumentar la
fiabilidad o mejoras procedimentales que eviden el error humano y
minimicen el riesgo.
DESCRIPCIÓN DEL MÉTODO: El método es similar al método AHR descrito
anteriormente, sin embargo, este método apell es utilizado en instalaciones
de nuevo desarrollo o en aquellas que carece históricos de accidentes.
7. Método de análisis preliminar (Apell)
PROCEDIMIENTO: Obtiene toda la información posible y los datos sobre los
productos y las especificaciones de los materiales, equipos y procesos, así
como los manuales de operación de cada instalación. Aprovecha las
enseñanzas de los procesos que son similares y determina los productos,
equipos o procedimientos que son críticos y que están generando mayores
riesgos.
8. Método de análisis funcional de
operabilidad (afo/hazop)
OBJETIVO: Identificar los riesgos en las instalaciones y evaluar los problemas
que se presentan en la operabilidad, siendo la identificación de riesgos el
objetivo principal, los problemas de operabilidad son revelados cuando estos
tienen un impacto negativo en la rentabilidad de de la institución o a su vez
conllevan riesgos importantes.
DESCRIPCIÓN DEL MÉTODO: Este método se fundamenta en que los riesgos,
accidentes o problemas de operabilidad son consecuencia de una desviación
de las variantes de un proceso con respecto a los parámetros normales de un
sistema y/o etapa predeterminado. Analiza y evalúa todas las líneas y
sistemas, las causas y consecuencias posibles de estas desviaciones en cada
unidad de procesos utilizando las palabras guías.
9. Método de análisis funcional de
operabilidad (afo/hazop)
PROCEDIMIENTO: Define el área de estudio, consiste en la delimitación del
objeto de estudio o en la delimitación de las áreas en las que se utilizara este
método, definiendo a su vez los subsistemas o entidades con funciones
propias. En cada subsistema se realiza la identificación y numeración de los
nudos o puntos que están localizados en el proceso, como el depósito de
almacenamiento, la impulsión de una bomba, etc. Por último se define la
desviación a estudiar y la aplicación de palabras guías.
10. Método de análisis cualitativo
mediante árbol de fallos (AAF/FTA)
OBJETIVO: Determinar la expresión de los sucesos complejos estudiados en
función de los fallos básicos de elementos que intervienen en el sistema. Por
lo tanto así se aprecia de forma cualitativa aquellos sucesos que son menos
probables porque requieren una ocurrencia simultánea con múltiples causas.
DESCRIPCIÓN DEL MÉTODO: Descomponer sistemáticamente un suceso
complejo en sucesos intermedios y finalmente llega a sucesos básicos, que
están enlazados con fallos de componentes, errores humanos, errores
operativos, etc.
11. Método de análisis cualitativo
mediante árbol de fallos (AAF/FTA)
PROCEDIMIENTO: Descomponer sistemáticamente un complejo
denominado suceso top hasta sucesos básicos, los sucesos top ocupan la
parte superior de la estructura lógica representando el árbol de fallos, los
sucesos intermedios son los sucesos que son encontrados en el proceso de
descomposición y que pueden volver a ser descompuestos, los sucesos
básicos son los terminales en la descomposición, siendo cualquier tipo de
suceso y los sucesos no desarrollados que son tipos de fallos cuyo proceso de
descomposición no se prosigue, sea por falta de información o porque no se
considera necesario.
12. Método Gretener
OBJETIVO: El objetivo de este método es evaluar matemáticamente con
criterios homogéneos el riesgo de incendio en construcciones industriales y
edificios grandes.
DESCRIPCIÓN DEL MÉTODO: El método es aplicable al conjunto del edificio o
a las partes del edificio que forman compartimientos. Ofrece un cálculo del
riesgo de incendio total sumamente completo, indicando si el riesgo es
aceptable o no lo es.
13. Método Gretener
PROCEDIMIENTO: Este método utiliza el cálculo potencial del incendio (B)
relacionando los riesgos potenciales presentes, debidos al edificio y al
contenido (P) y los medios de protección presentes (M)
Por lo tanto dicha relación se expresa de la siguiente manera:
B= P/M
También se calcula el riesgo de incendio efectivo para el compartimiento
cortafuego más grande o peligroso del edificio
R=B*A
Donde A es el factor de peligro de activación.