seguritecnia 449

70 SEGURITECNIA Enero 2018 Artículo Técnico Posible solución La importancia del análisis de riesgos en gran parte de las actividades de Cuevavaliente Ingenieros nos ha lle- vado desde hace años a hacer de las metodologías para llevarlo a cabo un punto central de la estrategia de desa- rrollo de nuestra empresa. Desde nuestro nacimiento, en 2005, hemos incorporado a nuestros servi- cios sucesivas aproximaciones a la me- todología de análisis de riesgos, tanto en su aplicación a la denominada “se- guridad física” (ARG 07 en 2007, GRSec 31000 en 2010), como en su aplicación conjunta a riesgos tradicionales y a ci- berriesgos (GR2Sec en 2015). La metodología GR2Sec incluye el ci- clo completo de la gestión de riesgos: El análisis de riesgos propiamente di- cho (fases de la evaluación de riesgos según ISO 31000): Identificación de riesgos. Análisis de riesgos. Evaluación de riesgos. Decisión sobre la gestión de los riesgos (tratamiento de los riesgos según ISO 31000): Evitar o eliminar los riesgos. Aceptar los riesgos. Transferir los riesgos. Mitigar los riesgos, en cuyo caso se incluye la propuesta de controles (medidas de seguri- dad) de los riesgos a mitigar. En este sentido, la metodolo- gía permite alimentar los mo- delos de gestión de seguridad basados en la mejora conti- nua, como los derivados de la E n el interesante trabajo de la Fundación Borredá titulado 10 años de Sistema PIC. Estudio de Situación , presentado en noviembre, se encuentra una observación destacable dentro del apartado de “Planificación” del capítulo de conclusiones genera- les: “se acusa la falta de una metodo- logía común para el análisis de riesgos integral”. En otros apartados de ese do- cumento, se vuelve a resaltar la dificul- tad de realizar ese análisis de riesgos integral –o integrado–, que permita proponer medidas de seguridad ( secu- rity ) coherentes en cuanto a esfuerzo y atención a los impactos y amenazas, tanto de seguridad física como de ci- berseguridad. Obviamente esta no es una necesi- dad restringida a los operadores desig- nados como críticos en base a la legis- lación sobre protección de infraestruc- turas críticas. El enfoque actual de la security (seguridad frente a riesgos deli- berados) pasa por el denominado ESRM ( Enterprise Security Risk Management ), en- foque metodológico propuesto por la asociación de profesionales de la segu- ridad ASIS International con carácter es- tratégico. El ESRM afronta la evolución de las amenazas deliberadas centrando los modelos de gestión de la seguri- dad de las empresas en un enfoque ho- lístico, sin diferenciar entre el origen de los riesgos –ya sean físicos o cibernéti- cos– y poniendo en el centro de la es- trategia el análisis de dichos riesgos. Es evidente que el análisis de riesgos es una actividad imperativa para ope- radores críticos como mandato legal y también para el resto de las empre- sas enmarcada dentro de sus necesa- rias “mejores prácticas” o como parte de otros imperativos legales. Enrique Bilbao Lázaro / Director técnico de Cuevavaliente Ingenieros Análisis de riesgos integrado. Problema con solución El análisis de riesgos en un modelo de mejora continua en la gestión de riesgos.