Este documento presenta tres métodos para la evaluación de riesgos: el método "¿Qué pasaría si?" para detectar cualitativamente desviaciones de proceso que podrían dar lugar a consecuencias no deseables mediante preguntas; el análisis histórico de riesgos para extraer lecciones de accidentes pasados y proponer medidas preventivas; y el estándar ISO 27005 para la gestión de seguridad de la información siguiendo el ciclo PHVA de planificación, ejecución, verificación y acción.
2. z
Método ¿Que pasaría si? QPS/WHAT IF
OBJETIVO
Detectar y analizar cualitativamente las desviaciones de proceso y sus variables con respecto del
comportamiento previsto y que pueden dar lugar a eventos o consecuencias no deseables.
DESCRIPCIÓN
Aplicar la pregunta ¿Qué pasa si…? A las siguientes preguntas:
La calidad de las materias primas
¿Se int4errumpen los flujos de materias (total en alguno de sus tramos?
¿Se paran los equipos, bombas, compresores?
¿Fallan los elementos de corte o regulación?
¿Fallan los sistemas de control?
¿Fallan los instrumentos ( cada uno de ellos?
¿Fallan las personas que operan las instalación?
3. z
Método ¿Que pasaría si? QPS/WHAT IF
PROCEDIMIENTO
1. Elegir un enfoque global con la secuencia del proceso como única referencia o cada uno de los
enfoques de proceso, seguridad laboral. De los equipos. Protección contra incendios.
2. Se explica el funcionamiento del proceso.
3. Empezando desde la primera fase (desde el almacenamiento de materias primas, hasta la
etapa final (almacenamiento de productos terminados) se plantean y anotan todas las
preguntas que se les ocurran a los participantes.
4. Contestar a las preguntas QPS, una a una por el equipo o por especialistas consultados.
5. Considerar cada QPS, que medidas existen o cuales podrían adoptarse para minimizar el
riesgo.
6. Redactar el informe.
7. Comunicar el estudio a la dirección para adoptar el plan de acción.
4. z
Método de análisis histórico de riesgos
(AHR)
OBJETIVO
Extraer resultados cuantitativos del número de
accidentes
Detectar equipos o procedimientos de la operación
que hayan presentado accidentes.
Proponer medidas preventivas para aumentar la
fiabilidad y reducir el riesgo
Proponer medidas de protección que mitiguen las
consecuencias de los efectos de los accidentes
5. z
Método de análisis histórico de riesgos
(AHR)
DESCRIPCIÓN DEL MÉTODO
Consiste en estudiar los accidentes ocurridos en
las instalaciones propias o similares y que estén
descritos en bancos de datos disponibles para
obtener conclusiones y recomendaciones
considerando causas y consecuencias usando
parámetros estadísticos.
6. z
Método de análisis histórico de riesgos
(AHR)
PROCEDIMIENTO
1. Obtener en las bases de datos información sobre los
accidentes.
2. Seleccionar los que sean aplicables a la zona o proceso de
estudio.
3. Comprobar la frecuencia de ocurrencia del accidente
4. Realizar un estudio técnico de cada accidente, ubicar los
puntos críticos de los informes de investigación.
5. Adoptar medidas de prevención o protección que minimicen
los riesgos de los puntos críticos o que neutralicen sus
consecuencias.
7. z
Método ISO 27005
Gestión de la Seguridad de la Información
OBJETIVO
Suministrar todas las directrices para la gestión de todas
las amenazas relacionadas con la información, las
comunicaciones y la tecnología en tres niveles:
Busca asegurar la y controlar la infraestructura (a nivel
físico)
Los sistemas de información (nivel lógico)
Las medidas organizacionales (nivel humano)
8. z
Método ISO 27005
Gestión de la Seguridad de la Información
DESCRIPCION
La Norma no recomienda una metodología concreta porque depende de
factores como el alcance del sistema o el sector, pero se fundamenta en
el modelo PHVA.
Planear los objetivos, procesos y procedimientos de riesgos tecnológico
para alcanzar los objetivos corporativos
Hacer: Implementación y operación de controles, procesos, y
procedimientos.
Verificar: Evaluar y medir el desempeño del sistema.
Actuar: Establecer la política de mejora para implementar los cambios
requeridos por los procesos.
9. z
Método ISO 27005
Gestión de la Seguridad de la Información
PROCEDIMIENTO
La implantación consta de 4 pasos fundamentales:
1. Establecimiento del plan de comunicación interno y externo. (para
comunicar el procedo de gestión de seguridad en IT)
2. Definición del contexto organizacional. Identificar las amenazas y
acciones necesarias para llevar el riesgo a un nivel aceptable
3. Valoración de los riesgos tecnológicos.
4. Tratamiento de los riesgos.