Seguritecnia 387

98 SEGURITECNIA Junio 2012 tipologías de riesgos del ámbito de la Seguridad y el Medio Ambiente. La primera aproximación práctica al análisis integral de riesgos, alineada con el pragmatismo que defiende Mapfre, fue la creación de un algoritmo para el análisis del entorno físico. Esto se plasmó en una herramienta de trabajo (checklist) que incluye un formulario con casi 600 elementos que establecen en torno a 2.000 relaciones con los diferentes ‘riesgos tipo’ definidos. La siguiente estación en este viaje hacia el análisis integral fue lanzar una base de datos de incidentes, donde además de la propia experiencia, se recopilan los incidentes publicados en los diferentes medios, como indicó Jacinto Muñoz. Otra aplicación fue la realizada en el ámbito de la Continuidad de Negocio, “Diseñamos una métrica para evaluar el impacto de la interrupción de las dife- rentes actividades de los procesos ana- lizados, partiendo de los escenarios de crisis identificados -razonó-. Después se analiza, el valor obtenido y se incorpora al proceso de toma de decisiones. en cuanto a tiempo de recuperación”. Para conseguirlo, la primera iteración que hemos realizado pasa por incluir el análi- sis integral de riesgos dentro de nuestro marco estratégico, consiguiendo de este modo el apoyo de la alta Dirección, apli- car el pragmatismo, buscando aplicacio- nes con alcance limitado pero que ten- gan un rápido retorno y llevar el análisis a la capa de procesos, con objeto de tener una visión realmente integral”. La multinacional española creó un marco estratégico de Seguridad Integral en el que el análisis integral de riesgos ocupaba un lugar primordial, atendien- do a Muñoz, todo ello plasmado en el Plan Director de Seguridad y Medio Ambiente (PDSMA), para cuya elabo- ración: “fue necesaria una tarde solo para ponernos de acuerdo sobre ter- minología en el ámbito del análisis glo- bal de riesgos”. Una vez establecido el lenguaje común y definidos el resto de elementos del marco estratégico (visión, misión, principios, pilares, etc.), se defi- nió un Modelo de Actuación, basado en análisis y gestión integral de riesgos, que identificaba los activos a proteger, las fases del proceso y las diferentes un proceso o servicio críticos, explicó Andrés Peral, que manifestó que para su organización fue muy grato compro- bar que 12 de los 50 riesgos sistémicos globales identificados por el WEF se encuentran dentro del ámbito de ges- tión de la DISMA, entre ellos el 40 por cien de los catalogados en el ‘top 5’ de mayor probabilidad. “Lo que tenemos que conseguir es vender la importancia del trabajo que hacemos a nuestra orga- nización y creemos que contamos con argumentos para ser tenidos en cuenta al más alto nivel dentro de la compañía”, concluyó. Paso a paso Por su parte, Jacinto Muñoz, subdirec- tor de Seguridad en Aplicaciones de la DISMA en Mapfre, se propuso -durante los minutos de su intervención- ayudar a encontrar la salida al laberinto de cómo llevar a cabo un análisis integral de ries- gos en la compañía: “Al no disponer de soluciones mágicas, aplicamos aproxima- ciones sucesivas para solucionar los pro- blemas que José María Cortés ha puesto sobre la mesa [despiece de la página 12]. José María Cortés, subdirector de Análisis de Riesgos de la DISMA, interpretó el papel menos amable de la exposición de Mapfre, al poner sobre la mesa las dificultades que entraña un proceso de Análisis de Riesgos Integral, comenzando por el “caos terminológico”: “Todos creemos saber lo que es vulnera- bilidad, amenaza, riesgo, peligro, pero no tenemos unos criterios comunes…Por ejemplo, en el sector asegurador, cuando se habla de riesgo tecnológico, se incluye el incendio”. Cortés prosiguió argumentando que “las organizaciones suelen contar, en su áreas de riesgos, con modelos de análisis, provenientes del ámbito financiero, difíciles de ajustar a la práctica de seguridad y bajar a la realidad, cuando lo que interesa a Seguridad es el detalle”. A su vez, expuso lo enormemente complejo y costoso que era para los equipos de seguridad, tratar de aplicar los métodos de análisis de riesgos específicos en el campo de la llamada Seguridad de la Información, y que tan de moda estuvieron hace unos años. También explicó el desacuerdo conceptual con los modelos matemáticos como el métodoMosler: “¿Es unmodelo científico solo porque aplicamos una fórmula? -Riesgo (R) = probabilidad (P) x impacto (I)-. Nos llevó mucho tiempo saber de dónde venía esta fórmula y conocer su fundamento -esgrimió Cortés-. Se entiende el riesgo como la esperanza matemática de que algo no suceda, un valor medio esperado, pero no sabemos pasar de ahí… ¿Cómo lo aplicamos al riesgo de que se queme la oficina?”. En este recorrido por la espinosa senda esbozada por Cortés, la cuantificación de la probabilidad y del impacto se convierten en piedras en el camino de un análisis de riesgos fiable: “¿Se pueden determinar casos posibles o probables de que alguien entre y te robe? Si lo ajustamos al número de veces que ha ocu- rrido, estaremos confundiendo probabilidad con frecuencia”, apostilló. Profundizando en esta cuestión, y para engrosar aún más la lista de dificultades, Cortés citó la carencia de bases de datos de incidentes y las correlaciones entre riesgos que, unidas a un gran volumen de información, evidencian la complejidad de culminar un verdadero análisis de riesgos integral. A pesar de la oscuridad del horizonte dibujado por Cortés, el experto se mostró optimista: “A veces no se entiende la gestión integral de riesgos de Seguridad como algo factible y aplicable, y esto tiene que cambiar porque, al menos, hemos identificado un amplio número de caminos que no llevan a ninguna parte, lo cual es una buena noticia”. José María Cortés ha recopilado en un libro el análisis realizado, y que ha alumbrado la metodología de gestión global de riesgos que están aplicando en Mapfre. Ni modelos de análisis poco ajustados a la realidad, ni alejados de un enfoque integral