Descripción de las metodologías de gestión de riesgos existentes en la Organización X

En la Organización X existe un procedimiento para la evaluación de riesgos laborales desarrollado y aprobado formalmente en el año 2010. Este se basa en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.

En su introducción expone que la prevención de riesgos laborales debe integrarse en el sistema general de gestión de la organización. Considera el proceso como cíclico, en la medida en que debe realizarse la evaluación de riesgos de manera periódica y dinámica. La metodología empleada en la Organización X sigue las siguientes fases:

1. Identificación de los riesgos: realizada a partir de la información obtenida sobre la organización, caracte-rísticas y complejidad de trabajo, sobre las materias primas, los equipos de trabajo y el estado de salud de los trabajadores.

2. Valoración y análisis de los riesgos: en función de los criterios objetivos de valoración que se hubiesen fijado previamente por la organización. El método empleado para el análisis se basa en la matriz de consecuencia/

probabilidad, estableciendo tres niveles de consecuencia y tres niveles de probabilidad.

3. Planificación de las actividades preventivas: en caso de que se considere necesario a partir de la valoración, se debe realizar una planificación de la actividad preventiva que incluya las actividades de prevención que garanticen un mayor nivel de protección de la seguridad y salud de los trabajadores.

4. Control periódico: una vez finalizada la valoración de los riesgos y adoptadas las medidas preventivas per-tinentes, se debe realizar el seguimiento necesario para cada una de las actuaciones.

Cabe añadir que, pese a que no queda incluido en las fases que se describen en el procedimiento de la Orga-nización X, sí se menciona la importancia de conocer el contexto al explicar la metodología de trabajo. Se puede apreciar, por tanto, una clara correspondencia con la metodología de gestión del riesgo de las normas ISO, que se visualiza en la siguiente figura (ver Figura 30).

La metodología seguida por la Organización X con relación a los riesgos laborales, por tanto, es prácticamente la misma que la que se contempla en las normas ISO de gestión del riesgo (incluyendo la gestión de riesgos mentales). Esto conlleva la posibilidad de integrar en un solo procedimiento la gestión de riesgos laborales y docu-mentales, sin que esto suponga un cambio importante en el modo de trabajar de la organización. Simplemente, se debe realizar una ampliación del alcance en la identificación de riesgos para incluir aquellos relacionados con la gestión de documentos.

Con relación a la metodología seguida por el área de Informática, se cuenta con un Plan de adecuación al Esquema Nacional de Seguridad, del año 20¹2, en el que se realiza una identificación de riesgos de seguridad de la información, algunos de ellos relacionados con la gestión de documentos. En este documento se pone de manifiesto que la Or-ganización X no dispone de un “proceso documentado, sistemático, repetible y eficiente de análisis y gestión de riesgos sobre sus activos críticos” ⁸⁰ y se recomienda, como base para futuros análisis, utilizar la metodología de análisis de riesgo empleada para la realización de dicho plan de adecuación. Esta metodología sigue los siguientes pasos:

1. Identificar los activos: en primer lugar, se realiza la identificación y valoración de activos de información de la Organización X, es decir, lo que se debe proteger.

2. Identificar los riesgos: se identifican las amenazas dentro de las que enmarca cualquier evento que pueda producir una violación de la seguridad de los activos y/o de los recursos de información, ocasionando daños materiales o pérdidas inmateriales en el organismo. Se realiza una relación entre activos y amenazas y se valora la frecuencia de ocurrencia (probabilidad) de estas últimas.

Figura 30 – Correlación entre la metodología de gestión del riesgo ISO y la metodología de prevención de riesgos laborales empleada por la Organización X (elaboración propia).

80– Información extraída del Plan de adecuación al Esquema Nacional de Seguridad (ENS) de la Organización X.

3. Identificar los controles existentes: se realiza tanto la identificación como el grado de implantación o ma-durez de cada control en la Organización X. De este modo se puede obtener una información más ajustada a la realidad sobre la probabilidad y el impacto de los riesgos en la seguridad de la información.

4. Interpretar los resultados: a partir de las consecuencias, la prioridad, y la clasificación (siguiendo el catálo-go de amenazas de la metodología MAGERIT⁸¹).

Se observa que la metodología empleada se basa en la identificación de los riesgos y en su análisis, sin establecer acciones de prevención o tratamiento ni acciones para el seguimiento y revisión. En la Figura 31 se puede apreciar la correlación de esta metodología con la planteada por las normas ISO.

81– MAGERIT es una metodología de análisis y gestión de riesgos, elaborada por el Consejo Superior de Administración Electróni-ca, que estima que la gestión de los riesgos es una piedra angular en las guías de buen gobierno. MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. MAGERIT tipifica las amenazas en cuatro grupos: desastres naturales, de origen industrial, errores y fallos no intencionados, y ataques deliberados.

Figura 31 – Correlación entre la metodología de gestión del riesgo ISO y la metodología de gestión del riesgo según el Plan de adecuación al Esquema Nacional de Seguridad empleada por la Organización X (elaboración propia).

Se puede considerar, por tanto, que la metodología empleada es incompleta, tanto si se compara con la expli-cada en la normativa internacional ISO, como si se compara con la definida en el procedimiento de prevención de riesgos laborales. No se contempla la fase de comunicación, no se establece el contexto en el que se va a llevar a cabo la gestión del riesgo ni tampoco se establecen medidas de prevención o tratamiento, ni de seguimiento y revisión de dichas medidas. Por tanto, se considera que esta metodología por sí sola no puede garantizar la prevención de riesgos, sino que deben desarrollarse planes de actuación en función de los resultados obtenidos de las fases de identificación y análisis.

En este caso, el método empleado para el análisis de riesgos se basa en la matriz de consecuencia/probabilidad, estableciendo cuatro niveles de consecuencia o severidad y cinco niveles de probabilidad. Esta técnica coincide con la empleada por el área de prevención de riesgos laborales, aunque los niveles establecidos sean distintos.

Si comparamos las dos metodologías de gestión del riesgo empleadas en la Organización X, se aprecia la falta de correlación entre ambas, pese a tener objetivos similares. Coinciden en las fases de identificación y valoración, pese a que esta última se enfoca desde distintas perspectivas en cada una de las metodologías. No coinciden a la hora de establecer acciones preventivas, de implementar controles periódicos o de interpretar resultados del análisis (ver Figura 32). Se puede afirmar que la metodología seguida para el cumplimiento con el ENS se centra tan solo en la identificación y análisis de riesgos, obviando el resto del proceso de gestión de riesgos.

Figura 32 – Correlación entre las metodología de gestión del riesgo empleadas por la Organización X (elaboración propia).

Se considera necesario ampliar el alcance de la metodología del área de Informática para adecuarla lo máximo posible a la empleada en el área de Prevención de Riesgos Laborales. Es necesario, tal y como se expone en el pro-cedimiento de esta última, integrar la gestión del riesgo en el sistema general de gestión de la organización, con la finalidad de evitar que se trate de un método de trabajo aislado y empleado tan solo por dos o tres áreas. Es funda-mental concienciar a todas las áreas de la organización para que trabajen siguiendo esta metodología en su día a día, incluyendo la prevención de todos aquellos riesgos que les afecten, siempre desde el liderazgo claro de la Dirección.