Riesgos de la Seguridad: Identificando las Amenazas, un análisis desde la gestión de los riesgos de seguridad.

En este excelente artículo de Lucas De la Rosa, se explica de una manera clara, profesional y contundente uno de los conceptos que se manejan en la Gestión de Riesgos y que hacen al día a día del profesional de Seguridad.
«Cuando hablamos de Riesgos en seguridad casi de manera automática se nos cruzan conceptos como dinamismo, probabilidad, proactividad, amenazas y muchos otros más, pero me detendré aquí, en amenazas, como el factor responsable de que exista una probabilidad y dinamismo en la definición de los riesgos de seguridad.»
El sistema ESRM nos provee de un marco lógico para aplicar en este aspecto. Este sistema se aplica desde organizaciones tan importantes de profesionales de seguridad como IFPO y ASIS.


#esrm #amenazas #vulnerabilidades #gestiondeseguridad #seguridad #analisis

Cuando hablamos de riesgos en seguridad casi de manera automática se nos cruzan conceptos como dinamismo, probabilidad, proactividad, amenazas y muchos otros más, pero me detendré aquí, en amenazas, como el factor responsable de que exista una probabilidad y dinamismo en la definición de los riesgos de seguridad.

El segundo paso del Ciclo ESRM se denomina «Identificar y Priorizar Riesgos» y lo abordaremos desde el análisis de las amenazas como punto de partida. Una amenaza se define como aquella indicación, circunstancia, o evento con el potencial de causar la pérdida o daño a un activo. También se define como aquella con capacidad e intención de emprender acciones que serían perjudiciales para los activos de una organización, sea un individuo, grupo, organización, incluso gobierno. En síntesis, una amenaza en seguridad son acciones intencionales llevadas a cabo por el hombre para ocasionarnos algún daño.

Siguiendo la secuencia del ciclo en cuestión, es fundamental que primero identifiquemos qué debemos proteger (identificar los activos y su criticidad) y, en segundo término, determinar de qué o de quienes debemos protegernos. La importancia de identificar lo más precisamente posible cada amenaza nos permitirá determinar luego las vulnerabilidades. Las vulnerabilidades, ya las explicaremos mas detenidamente, son esas debilidades del sistema de protección que existen sólo porque existen amenazas, ningún profesional de seguridad puede hablar de vulnerabilidades sin haber identificado las amenazas previamente.

Para dar un orden al análisis de las amenazas utilizaremos la siguiente clasificación según la sean sus categorías:

  • delincuentes (común u organizado)
  • activistas (sociales, sindicales, etc.)
  • terroristas (internacionales o domésticos)
  • personas descontentas (con la organización)

Podríamos encontrar otros autores que hacen una separación aún mas detallada de las amenazas. Sin embargo, prefiero esta manera de agruparlas por su simplicidad y practicidad, abarcando así las distintas formas en que se podría presentar una amenaza. Asimismo, las amenazas pueden ordenarse según su procedencia en: a) internas (normalmente son aquellos que tienen acceso autorizado a las instalaciones como empleados y contratistas), b) externas, c) colusión o mixtas entre las dos anteriores.

Identificación de amenazas. nos hemos referido a las amenazas como un actor principal en la determinación de la probabilidad de un riesgo, por lo tanto identificar las capacidades de los adversarios potenciales y sus intenciones de producirnos daños son parte fundamental del análisis. A lo largo de este estudio utilizaremos términos como potenciales, estimaciones, intenciones, no con un sentido «futurista» sino con el sentido de proporcionar algo de luz a la identificación y mitigación de los riesgos teniendo siempre presente que estamos manejando probabilidades, caso contrario estaríamos ante un incidente. Es por ello que las amenazas son el resultado de ciertos patrones conocidos sobre adversarios potenciales, intención, motivación y capacidades.

Es importante advertir al lector que enfrentaremos situaciones de frustración al momento de identificar amenazas. Que el delito se va desplazando de un sitio a otro es una realidad conocida por todo profesional de seguridad, por tal razón nuestras medidas podrían ser tan efectivas que desplacen una amenaza hacia otros activos ajenos a los nuestros, o que las medidas de protección de otras organizaciones las muevan hacia los nuestros, o que activos no atractivos en un determinado momento se conviertan en un objetivo para el «mercado delictivo», en fin, creo que los escenarios son muy diferentes y altamente dinámicos. Este perfil del comportamiento de las amenazas nos obliga a ir mas allá del cumplimiento de un paso secuencial dentro de una metodología aplicada. Para ello será sumamente importante aplicar el ciclo de inteligencia de manera continua, sin descanso, y como toda búsqueda de inteligencia nunca podremos pretender basarnos en una información perfecta o completa, porque la mayoría de las veces no la tendremos. Por ello, según el grado de detalle que dispongamos de las amenazas, a estas las podremos considerar como generales o particulares. Evidentemente, cuanto mayor precisión tengamos de quienes tienen la intención y capacidad de hacernos daños a nuestros activos, las medidas de mitigación serán mas precisas, y en algunos casos diseñaremos medidas mas allá de nuestra línea base para ciertos activos.

También consideraremos a las amenazas, sean generales o particulares, según sus propósitos:

  • violentos (una banda de piratería del asfalto en sus atracos a camiones de carga) o no violentos (como un delincuente que intenta robar autos de un estacionamiento)

y según sus consecuencias:

  • inmediatas (el sabotaje a un oleoducto con consecuencias de daño al medioambiente y quizá a las vidas de personas) o demoradas (robo de partes para el armado de un artefacto explosivo para fines terroristas).
No hay texto alternativo para esta imagen

Como una guía para el análisis de las amenazas comparto esta matriz del libro «Risk Analysis and Security Countermeasure Selection» por Thomas L. Norman – CPP/PSP/CSC:

  1. Características: motivación, capacidades, historia (sobre nuestro activo y en el entorno), nivel de entrenamiento, capacidad de vigilancia, habilidades de planeamiento, y organización y apoyos
  2. Métodos de irrupción: elementos de corte, credenciales falsas, ingeniería social, vehículos y entrada forzada.
  3. Métodos de ataque: armas (arma blanca, arma corta, arma larga, morteros, granadas), explosivos/incendiarios (IED, terrorista suicida, VBIED, bomba casera, etc.), y otros (agentes químicos, agentes biológicos, ciberataques, etc.)

Para poder concluir este artículo, a esta altura deberíamos poder:

  • identificar los actores potenciales (listarlos) y su categoría.
  • su historial, capacidades, motivaciones e intenciones sobre nuestros activos.

En el próximo artículo estaremos introduciéndonos en la clasificación y el atractivo que nuestros activos, previamente identificados, representan para cada una de nuestras amenazas identificadas. Luego, como final de este paso, les compartiré un ejemplo que permita poner en tierra los conceptos teóricos explicados.

por Lucas de La Rosas, Security Manager

Autor: Fernando Vaccotti

Former Field Security Officer OIM AMCA Venezuela. Consultor Privado en FV Consulting. Experto en Seguridad Internacional. Security Consulting Services & Solutions. Consultor Experto en Seguridad WFP (Programa Mundial de Alimentos ONU). Field Security Officer en OIM ONU -Migración. Soluciones en Seguridad Multidimensional. Pensando soluciones fuera de la caja. Out of box thinking.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.