Registro de incidentes en la gestión del riesgo

Todos los incidentes deben ser investigados, analizados e informados. Los recursos dedicados al tratamiento deben ser proporcionales al incidente. El registro del incidente es parte del sistema de información para la gestión del riesgo. De los incidentes se obtienen lecciones aprendidas para la mejora en el control del riesgo.

Estas afirmaciones, que resultan obvias, no siempre son fáciles de cumplir en el registro de incidentes.

Incluir datos para clasificación y caracterización de los incidenties en su registro, facilita su utilización en el control del riesgo futuro.
Las tablas de clasificación para tipificar o caracterizar un incidente no son fáciles de crear. En ocasiones, es necesario disponer de un número importante de incidentes para crear tablas con métricas de clasificación útiles.
En la apreciación del riesgo y la planificación de controles de seguridad, disponer de un registro de incidentes que permitan caracterizar la amenaza es de gran ayuda para determinar el nivel de exposición, la vulnerabilidad y un impacto razonable. No obstante, debido a la baja probabilidad de ocurrencia de muchas amenazas, la información obtenida no suele ser suficiente para inferir estadísticamente la apreciación del riesgo.

Ejemplos que ilustran la ayuda del registro de los incidentes en el control del riesgo.

Ejemplo 1: Disponemos de tres incidentes registrados en un almacén: Dos de robo y un tercero de daños al cierre perimetral.

  • Si proponemos como hipótesis que los daños al cierre perimetral fue un intento de robo en el que se desistió, entonces hablamos de que la instalación ha sufrido tres ataques.
    Si proponemos como hipótesis que, por cada ataque registrado con evidencia se puede haber producido otro, en el que se ha desistido, y no ha habido muestras que indiquen en el registro de un incidente, entonces hablamos que la instalación ha estado expuesta en 6 ocasiones en el año.

Al analizar el riesgo del activo, el registro de incidentes nos ha permitido concluir que es razonable proponer una exposición de 6 veces por año.


Ejemplo 2: Disponemos de tres incidentes registrados en un almacén: Dos de robo y un tercero de daños al cierre perimetral.

  • · Grupo de al menos 3 personas.
  • · Capacidad para planificar y conocimiento del activo.
  • · Vehículo pequeño de carga y herramientas manuales.
  • · Tiempo para materializar el daño 30 min.
  • · Motivación económica, valor de la mercancía en el mercado negro 6.000€.
  • · No hay indicadores de violencia hacia las personas.

Al apreciar el riesgo del activo, conforme a la caracterización de la amenaza y a las características de la instalación, se puede determinar con mayor precisión la vulnerabilidad del activo a esta amenaza.


Ejemplo 3: Analizar el impacto de los incidentes y registrarlo, permite contrastar el impacto en futuros procesos de análisis de riesgo de este activo o de activos similares.

  • · Los daños causados en el primer robo registrados ascienden a 40.000€ y en el segundo a 27.000€.
    Al apreciar el riesgo, se dispone de una referencia en el impacto.

Los registros de incidentes de la propia empresa no son la única fuente de información para evaluar la amenaza, también podemos contar con otras fuentes:

  • · Estadísticas sobre delitos.
  • · Bases de datos de empresas especializadas.
  • · Información de empresas del sector o de la misma ubicación geográfica.
  • · Información aportada por profesionales de seguridad sobre el terreno.


Conclusiones:
Nuestro sistema de gestión del riesgo tendrá que permitir la aplicación de distintas metodologías de apreciación y tratamiento del riesgo conforme a:

  • · Es necesario promover el registro de incidentes, aunque estos parezcan irrelevantes.
  • · Es necesario que todos los incidentes sean investigados, analizados y registrados con proporcionalidad.
  • · Es necesario disponer de un sistema de registro de incidentes, con tablas de clasificación que faciliten la caracterización de lo sucedido y las búsquedas futuras.



volver