La gestión de riesgos es un proceso sistemático y continuo que tiene como objetivo identificar, analizar, evaluar y responder a los riesgos para minimizarlos, controlarlos y asegurar que se alcancen los objetivos de la organización.
En el ámbito de la seguridad, física, electrónica e informática, la gestión de riesgos se enfoca en identificar y evaluar los riesgos de seguridad en la tecnología de la información y comunicación, e implementar controles para reducir o eliminar esos riesgos.
Los pasos principales para llevar a cabo la gestión de riesgos son: identificación de riesgos, análisis de riesgos, evaluación de riesgos, planificación de respuestas al riesgo, implementación de controles y monitoreo y revisión.
En el paso de identificación de riesgos, se deben identificar los riesgos potenciales, incluyendo las vulnerabilidades, amenazas y factores de riesgo.
En el análisis de riesgos, se debe evaluar la probabilidad de ocurrencia y el impacto potencial de cada riesgo para determinar su prioridad y los recursos necesarios para abordarlos, la evaluación de riesgos se realiza para determinar si el riesgo es aceptable o no, y si es necesario implementar controles para reducirlo o eliminarlo.
En la planificación de respuestas al riesgo, se desarrollan planes para responder a los riesgos identificados, lo que puede incluir la implementación de controles de seguridad, la transferencia del riesgo o la aceptación del riesgo.
La implementación de controles es el proceso de implementar los controles de seguridad para reducir o mitigar el riesgo.
El monitoreo y revisión son fundamentales para asegurar que los controles implementados sean efectivos y adecuados para abordar los riesgos identificados.
Es importante destacar que la gestión de riesgos es un proceso dinámico que debe ser revisado y actualizado regularmente para asegurarse de que se aborden los riesgos cambiantes y nuevos.
¿Como evaluamos los riesgos?
Vamos hablar brevemente de como se pueden evaluar y medir los riesgos, usando dos métodos conocidos en el área.
El método MOSLER.
El método MOSLER es una herramienta muy útil para evaluar y gestionar los riesgos en un entorno laboral.
El método se enfoca en cinco factores principales: ocupaciones, sectores, localización, entorno y riesgos. Para utilizar este método, se deben seguir una serie de pasos: identificación de las actividades y ocupaciones, identificación del sector económico, identificación de la localización y el entorno, identificación de los riesgos potenciales, evaluación de la probabilidad y gravedad del daño, desarrollo de medidas preventivas y correctivas, y monitoreo y revisión periódica.
La tabla Penta de Mosler es una herramienta que se utiliza en la evaluación de riesgos para medir el nivel de riesgo y la importancia de cada riesgo identificado en un proceso o actividad específica, para utilizar esta herramienta, se deben seguir una serie de pasos: identificación de los riesgos, evaluación de la probabilidad, evaluación del impacto, evaluación de la efectividad de los controles existentes, cálculo del nivel de riesgo y priorización de los riesgos.
Es importante tener en cuenta que la tabla Penta de Mosler es solo una herramienta de evaluación de riesgos y no debe ser el único método utilizado en la gestión de riesgos. Se deben considerar otros factores y herramientas para realizar una evaluación completa y precisa de los riesgos asociados con una actividad o proceso.
El método Mosler es un enfoque estructurado y sistemático para la evaluación de riesgos que se enfoca en la identificación de amenazas, vulnerabilidades y consecuencias, y proporciona una metodología para calcular la probabilidad y el impacto de un riesgo.
El objetivo principal del método Mosler es ayudar a las organizaciones a tomar decisiones informadas sobre la gestión de riesgos y la asignación de recursos para minimizar el impacto potencial de los riesgos identificados.
Para aplicar el método MOSLER:
A la probabilidad de una tormenta sobre una fábrica que tiene una línea de producción interna y materiales sin resguardo fuera, se deben seguir los siguientes pasos:
Identificar los activos y recursos: en este caso, la fábrica, la línea de producción, los materiales y cualquier otro recurso que pueda verse afectado por la tormenta.
Identificar las amenazas: la amenaza en este caso es la probabilidad de una tormenta que pueda afectar los activos y recursos identificados en el paso anterior.
Identificar las vulnerabilidades: en este caso, la vulnerabilidad es la falta de resguardo de los materiales que quedan fuera de la fábrica, lo que aumenta el riesgo de que se dañen durante la tormenta.
Evaluar el impacto: en caso de una tormenta, los materiales expuestos pueden dañarse o ser arrastrados por la corriente, lo que podría afectar la línea de producción y retrasar la producción.
Evaluar la probabilidad: la probabilidad de una tormenta puede variar según la ubicación geográfica y el clima.
Es importante hacer una investigación para conocer las probabilidades en la zona de la fábrica.
Calcular el riesgo: con los datos recopilados, se puede calcular el riesgo utilizando la tabla PENTA de Mosler.
Tomar medidas de mitigación: en este caso, una medida de mitigación podría ser construir un área de almacenamiento techada para los materiales, lo que reduciría la vulnerabilidad y el impacto de la amenaza de la tormenta.
En conclusión, la metodología MOSLER puede ser aplicada en este caso para evaluar el riesgo corporativo y tomar medidas de mitigación para proteger los activos y recursos de la fábrica ante la amenaza de una tormenta.
La tabla PENTA de Mosler puede ser utilizada como herramienta para calcular el nivel de riesgo y establecer prioridades en la implementación de medidas de mitigación.
La norma ISO 31000
La norma ISO 31000 establece principios y pautas generales para la gestión de riesgos en cualquier tipo de organización.
Este marco proporciona un enfoque completo para la identificación, análisis, evaluación y tratamiento de riesgos, así como la monitorización y revisión continua del proceso.
A diferencia del método Mosler, que se enfoca en la evaluación de riesgos específicos, la norma ISO 31000 proporciona un marco más amplio para la gestión de riesgos en toda la organización, ambos enfoques pueden complementarse para lograr una gestión efectiva de los riesgos de la organización.
Para aplicar la norma ISO 31000, se deben seguir los siguientes pasos:
Identificación de riesgos: se identifican todos los riesgos potenciales que pueden afectar a la organización.
Análisis de riesgos: se evalúan los riesgos identificados para determinar su probabilidad de ocurrencia y su impacto potencial en la organización.
Evaluación de riesgos: se determina el nivel de riesgo y se priorizan en función de su impacto potencial en la organización.
Tratamiento de riesgos: se implementan medidas para tratar los riesgos identificados. Estas medidas pueden incluir la eliminación, reducción, transferencia o aceptación de los riesgos.
Monitoreo y revisión de riesgos: se monitorean continuamente los riesgos identificados y las medidas de tratamiento implementadas para asegurar que sean efectivas y se ajustan según sea necesario.
A modo de ejemplo, supongamos que una empresa de construcción se enfrenta al riesgo de retrasos en los proyectos debido a la falta de personal capacitado, para medir este riesgo utilizando ISO 31000, se seguirían los siguientes pasos:
Identificación de riesgos: el riesgo identificado es la falta de personal capacitado.
Análisis de riesgos: se evalúa la probabilidad de que ocurra la falta de personal capacitado y el impacto potencial en la finalización de los proyectos.
Evaluación de riesgos: se determina el nivel de riesgo y se prioriza en función del impacto potencial en la finalización de los proyectos.
Tratamiento de riesgos: se implementan medidas para tratar el riesgo, como la contratación y capacitación de personal adicional.
Monitoreo y revisión de riesgos: se monitorea continuamente la disponibilidad de personal capacitado y la efectividad de las medidas de tratamiento implementadas para asegurar que sean efectivas y se ajustan según sea necesario.
En resumen, la norma ISO 31000 es una herramienta esencial para la gestión de riesgos en cualquier organización, al seguir sus principios y pasos, las empresas pueden identificar, analizar y tratar los riesgos de manera efectiva, lo que les permitirá protegerse contra posibles amenazas y garantizar la continuidad de sus operaciones.
En conclusión, tanto el enfoque de MOSLER como la norma ISO 31000 proporcionan herramientas útiles para la gestión efectiva del riesgo en una organización. MOSLER se centra en el análisis cuantitativo de los riesgos, permitiendo calcular el nivel de riesgo y establecer prioridades en la implementación de medidas de mitigación, mientras que la norma ISO 31000 se centra en el enfoque general de la gestión del riesgo, incluyendo la evaluación de riesgos, la implementación de medidas de control y el monitoreo y revisión continuos.
Ambos enfoques buscan ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos de manera proactiva, lo que puede mejorar la toma de decisiones y reducir la posibilidad de consecuencias negativas. En última instancia, la elección entre MOSLER y la norma ISO 31000 dependerá de las necesidades específicas de la organización y la complejidad de los riesgos a gestionar.
En cualquier caso, la gestión efectiva del riesgo es un componente clave del éxito empresarial y puede ayudar a garantizar la continuidad del negocio a largo plazo.
Para el próximo artículo, hablaremos de GAP y ISO 30010
El método GAP y la norma ISO 30010 son herramientas útiles para gestionar los riesgos en las organizaciones.
El método GAP permite identificar brechas en la implementación de controles de seguridad y definir planes de acción para corregirlas.
Por otro lado, la norma ISO 30010 proporciona directrices para la evaluación de riesgos en términos de eficacia, eficiencia y calidad del proceso.
Ambas herramientas son complementarias y pueden ser utilizadas en conjunto para mejorar la gestión de riesgos de una organización.
Sin embargo, es importante destacar que el análisis exhaustivo de estas metodologías supera el alcance de este artículo y puede ser abordado en futuras publicaciones.
Suscribirte a Seguridad4.0
Top comments (0)