Modelo Unificado de Anlisis de Riesgos de Seguridad

Fsica y Lgica
T22: Contenidos mnimos de los Planes Estratgicos Sectoriales
Enrique Bilbao Lzaro
Responsable de Produccin

Cuevavaliente Ingenieros

ndice
1. Introduccin
2. Entorno Normativo
3. Fundamentos de la Metodologa

4. Etapas del Anlisis de Riesgos

5. Conclusiones
6. Referencias

1 Introduccin
Introduccin
Metodologa particular y concreta de Anlisis de Riesgos que permite unificar dos
metodologas de anlisis de riesgos tradicionalmente independientes: riesgos lgicos y
riesgos fsicos.
Cumple con los estndares ISO 31000 e ISO 27001, lo que permite usar terminologa
comn y el mismo ciclo de vida de gestin de riesgos
Resuelve problemas muy habituales como son:

Consideraciones opuestas de cules son los activos a proteger y su entorno

Diferencias en los pasos a seguir

Distintas normas y mejores prcticas sobre los que basar el proceso

Nomenclatura y vocabulario diferente

Mtodos de evaluacin y consecuencias a medir diferentes

2 Entorno Normativo
Fundamento normativo de la metodologa
Esta metodologa se ajusta al marco normativo de ISO 27001 para la gestin de
Riesgos de Seguridad Lgica, y de ISO 31000 para la gestin de riesgos de Seguridad
Fsica. Se emplea un modelo nico que surge de la unin de ambos: el modelo SGSC
(modelo del Sistema de Gestin Corporativa de Seguridad)
Seguridad Fsica ISO 31000
Decisin y
Compromiso

Diseo del Marco

de Actuacin del
SGSF

Mejora continua
del SGSF

Implementacin
del SGSF

Seguimiento y
Revisin del
SGSF

SGSF:
Sistema de Gestin de Seguridad Fsica

Seguridad Lgica ISO 27001

MODELO SGSC
SGSC: Sistema de Gestin Corporativa de Seguridad

Requerimientos
Polticas

Requerimientos de
la Seguridad de la
Informacin

Gestin de la
Seguridad

Seguridad de la
Informacin
gestionada

Plan del
SGSI

Planificacin
Mantenimiento y
mejora del SGSI

Actuacin

Implementacin
del SGSI

Implementacin
Medicin
del SGSI

Medicin
SGSI:

Sistema de Gestin de Seguridad de la Informacin

4

3 Fundamentos de la Metodologa
Bases de la Metodologa
Metodologa basada en la confluencia de dos metodologas maduras de Anlisis de
Riesgos que son especficas para cada sector:

Seguridad Fsica: metodologa propia de Cuevavaliente, basada en ISO 31000, e

implementada a travs de herramientas software propias. Tambin se utilizan
algunos aspectos y recomendaciones del estndar AS/NZS 4360 [8] y su
addendum en forma de gua: Risk Management Guidelines.

Seguridad Lgica: MAGERIT II. Desarrollada por el Consejo Superior de

Administracin Electrnica (CSAE). La metodologa MAGERIT II pretende dar
respuesta a la dependencia que tiene la Administracin de las tecnologas de la
informacin para el cumplimiento de su misin.

Gestin de ambos riesgos en un mismo proceso en el que amenazas y activos

comparten indicadores y criterios, permitiendo su comparacin y evaluacin conjunta.

3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
Activos

Valor de Sustitucin

Activos

Criticidad

Leyenda
Elemento

Dependencias
entre activos

Dependencias
Valor Estimado
Valor Calculado

Amenazas
Impacto

Probabilidad
Probabilidad de
Ocurrencia

Impacto

PASOS A SEGUIR:
Riesgo Intrnseco
Nivel de Riesgo

Nivel de Riesgo

Salvaguardas/
Controles

Riesgo Efectivo

Salvaguardas

Riesgo Efectivo
Nivel de Riesgo

Madurez de
Salvaguardas

1. Determinar activos
2. Determinar amenazas
3. Estimar Impactos/probabilidad
4. Estimar el coste/criticidad
5. Estimar madurez de salvaguardas
6. Clculo de los riesgos

Riesgo Mitigado
Nivel de Riesgo

3 Fundamentos de la Metodologa
Aspectos adoptados de Magerit II
La metodologa propuesta tiene en cuenta estas etapas, aunque las agrupa segn la
estructura del estndar ISO 31000.
El mtodo propuesto por MAGERIT II da cumplimiento en lo establecido en:
ISO 27005, epgrafe 4.2.1.d, Identificar Riesgos

ISO 27005, epgrafe 4.2.1.e, Analizar y Evaluar Riesgos

ISO 27001/2005, Sistemas de Gestin de Seguridad de la Informacin

ISO 27002/2005, 2005 Manual de Buenas Prcticas de Gestin de Seguridad de

la Informacin

ISO 27005/2008, Gestin de Riesgos de Seguridad de Informacin

ISO 15408-1/2009 , Criterios de Evaluacin de Seguridad de la Informacin

3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Adopcin de las etapas definidas por las normas ISO 31000 y AS/NZS 4360, para una
correcta gestin de los riesgos y su relacin para un continuo proceso de mejora.

IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS

EVALUACIN DE RIESGOS

MONITORIZACIN Y REVISIN

ESTABLECIMIENTO DE CONTEXTO

ASESORAMIENTO
DEL RIESGO

COMUNICACIN Y CONSULTA

ANLISIS DE RIESGOS

TRATAMIENTO DE LOS RIESGOS

PROPUESTA DE MEDIDAS DE SEGURIDAD

3 Fundamentos de la Metodologa
Aspectos adoptados de las Normas ISO 31000 y AS/NZS 4360
Las etapas referidas por las normas son asumidas por los dos conjuntos de actividades:
el Anlisis de Riesgos y la Propuesta de Medidas de Seguridad
MODELO SGSC

REQUERIMIENTOS
POLTICAS

IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
EVALUACIN DE RIESGOS

RISK ASSESSMENT

ESTABLECIMIENTO DEL CONTEXTO

IMPLEMENTACIN

MONITORIZACIN Y REVISIN

ACTUACIN

COMMUNICACIN Y CONSULTA

GESTIN DE LA
SEGURIDAD

PLANIFICACIN

TREAT RISKS

MEDICIN

4 Etapas del Anlisis de Riesgos

Resumen de las etapas

A. Establecimiento de Contexto
Activos
Amenazas
Tiempos
B. Identificacin de Riesgos
Situaciones de Riesgo
C. Anlisis de Riesgos
Impacto
Probabilidad
Criticidad
Nivel de Necesidad de Salvaguardas
D. Evaluacin de Riesgos
Riesgo Intrnseco
Riesgo Reducido
Riesgo Efectivo

10

4 Etapas del Anlisis de Riesgos

A. Establecimiento de Contexto
Activos: todos aquellos bienes, espacios, procesos y cualquier otro elemento de
consideracin que sea susceptible de sufrir las consecuencias de una amenaza.
Proceso de Seleccin e Identificacin de Activos:
Analizar los procesos clave de la organizacin/instalacin considerada
Listado de los activos requeridos por estos procesos
Identificar, enumerar y clasificarlos entre 9 categoras adoptadas de MAGERIT II
Identificar la ubicacin fsica de los activos considerados
Tipos de Activos:
Tipos de Activos Fsicos considerados
Escenarios
Tipos de Activos Lgicos considerados
Servicios

Aplicaciones (Software)

Redes de Comunicaciones

Equipamiento Auxiliar

Personal

Datos/informacin
Equipos Informticos (Hardware)
Soportes de informacin
Instalaciones

11

4 Etapas del Anlisis de Riesgos

A. Establecimiento de Contexto
Amenazas: Contingencias o riesgos especficos de los activos analizados, dependientes
de su del entorno y circunstancias, cuya potencial materializacin debe ser baremada.
Cada amenaza considerada pertenece a uno de los siguientes Tipos de Amenaza:

Grupos de Amenazas Fsicas consideradas (de Metodologa de Cuevavaliente)

Delincuencia Comn
Crmenes Agresivos o Violentos
Crimen Organizado y Terrorismo

Grupos de Amenazas Lgicas consideradas (del catlogo Magerit II)

Desastres Naturales
De Origen Industrial
Ataques Intencionados
Errores y Fallos No Intencionados

12

4 Etapas del Anlisis de Riesgos

B. Identificacin de Riesgos
En esta etapa las combinaciones aplicables de activos-tiempos-amenazas son
consideradas.
Cada posible combinacin de activo-tiempo-amenaza se denomina Situacin de Riesgo.
El conjunto de ellas generan el Mapa de Riesgos.
La dimensin de Tiempos se obvia con frecuencia en los riesgos de origen lgico, con lo
que es frecuente disponer de situaciones de riesgo lgicas de dos dimensiones (activoamenaza).

13

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos
El Anlisis de Riesgos Fsico se ha basado tradicionalmente en parmetros cuantitativos.
El Anlisis de Riesgos Fsicos y Lgicos unificado se simplifica, utilizando escalas
cualitativas para los parmetros considerados.
Los resultados con la nueva metodologa han sido validados y comprobados respecto a
los obtenidos con la metodologa tradicional, mantenindose la coherencia y la
experiencia acumulada con las metodologas usadas previamente.
Parmetros que deben analizarse y estimarse:
Parmetros a considerar para cada Situacin de Riesgo
Impacto
Probabilidad
Nivel de Necesidad de Salvaguardas
Parmetros a considerar para cada Activo
Criticidad

14

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Impacto: Medida de las consecuencias que puede sufrir un activo, en caso de
materializacin de una amenaza en un tiempo determinado.
El impacto se valora para cada situacin de riesgo considerada, asumiendo uno de los
siguientes valores:

MA
A
M
B
MB

IMPACTO
Impacto Muy Alto/Muy Grave o Severo para la Organizacin
Impacto Alto/Grave para la Organizacin
Impacto Medio/Moderado/Importante para la Organizacin
Impacto Bajo/Menor para la Organizacin
Impacto Muy Bajo/Irrelevante para la Organizacin

15

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Probabilidad de Ocurrencia de Riegos Lgicos: suele basarse en estudios estadsticos
sobre la materializacin de sucesos, averas o amenazas.
Probabilidad de Ocurrencia de Riesgos Fsicos deliberados: se refiere a un indicador
no probabilstico que pretende indicar el grado de materializacin de una amenaza. Como
tal, es el resultado de multiplicar dos indicadores:
Atractivo: en qu medida es atractivo para el potencial agente de la amenaza el
llevarla a cabo. Se debe evaluar desde la perspectiva del sujeto actuante terico.
Vulnerabilidad: indicador de cun sencillo es llevar a cabo una amenaza en el activo
y tiempo considerados, considerndose que no existen salvaguardas.
En ambos casos (riesgos fsicos y lgicos), la Probabilidad podr tomar uno de los
siguientes valores:
PROBABILIDAD
MA Probabilidad Muy Alta de Ocurrencia del Evento/Evento Probablemente ocurra
A Probabilidad Alta de Ocurrencia del Evento/Evento Posible
M Probabilidad Moderada de Ocurrencia del Evento/Evento Improbable
B Probabilidad Baja de Ocurrencia del Evento/Evento Raro
MB Probabilidad Muy Baja de Ocurrencia del Evento/Evento Muy Raro
16

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Situacin de Riesgo
Las salvaguardas reducen ciertos riesgos a travs de 2 vas:

Reduciendo el impacto de las amenazas

Reduciendo la probabilidad o frecuencia de ocurrencia

La necesidad de salvaguardas: (o carencia de salvaguardas existentes), es

inversamente proporcional al nivel de salvaguardas que afectan a un activo. Se calculan
siguiendo un modelo propio similar al modelo CMMI, obteniendo valores cuantitativos:
NIVEL DE NECESIDAD DE SALVAGUARDAS
Activos Fsicos
MB
B
M
MA
MA
MA

Activos Lgicos
MB
M
A
MA
MA
MA

NIVEL CMMI
Optimizado
Gestionado
Definido
Repetible
Inicial
No Existente

17

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Activo
Niveles CMMI y Necesidades de Salvaguardas:
GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS FSICOS
GRADO DE
MADUREZ

NECESIDAD DE
SALVAGUARDAS

NIVEL CMMI

PRACTICAS DE GESTIN DE SEGURIDAD FSICA

MB

OPTIMIZADO

Las salvaguardas han sido implementadas y revisadas hasta un nivel de "best practice", sobre la base de mejora continua.

GESTIONADO

Las salvaguardas han sido implementadas.

DEFINIDO

MA

REPETIBLE

MA

INICIAL

MA

NO EXISTENTE

GRADO DE
MADUREZ

NECESIDAD DE
SALVAGUARDAS

NIVEL CMMI

MB

OPTIMIZADO

Los procesos han sido revisados hasta un nivel de best practice, sobre la base de una mejora continua.
Los procesos estn en mejora continua y proporcionan mejores prcticas. Se usan herramientas automatizadas de
manera aislada o fragmentada.

Se conocen las necesidades y se han planteado las necesidades a implementar basadas en "best practices".
Se conocen las necesidades y se han planteado las necesidades a implementar, aunque no basadas en "best practices".
Se conocen las necesidades, aunque no se han planteado las salvaguardas a implementar para solventarlas.
No se conocen las necesidades.

GRADO DE MADUREZ Y NECESIDAD DE SALVAGUARDAS PARA RIESGOS LGICOS

GESTIONADO

DEFINIDO

MA

REPETIBLE

MA

INICIAL

MA

NO EXISTENTE

PRACTICAS DE GESTIN DE SEGURIDAD LGICA

La organizacin asegura que el control se planifica, documenta, ejecuta, monitoriza y controla.

Los procesos han evolucionado de forma de que se siguen procedimientos similares para realizar la misma tarea. No
existe formacin ni comunicacin de procedimientos estndar y la responsabilidad recae en el individuo.
No existen procesos estndar aunque existen planteamientos ad hoc que se utilizan en cada situacin.
Ausencia total de procesos reconocibles.

18

4 Etapas del Anlisis de Riesgos

C. Anlisis de Riesgos- Parmetros para cada Activo
Criticidad: Consecuencias que se estiman o asignan a cada dimensin de Seguridad en
los activos considerados, independiente de amenazas o tiempos.
La metodologa considera la estimacin de la criticidad para la Organizacin, en caso de
ocurrencia, para cada combinacin aplicable de las siguiente consecuencias de
amenazas y las dimensiones de Seguridad y que se veran afectadas por estas
consecuencias:
CONSECUENCIAS Y DIMENSIONES DE SEGURIDAD A CONSIDERAR
CONSECUENCIAS
DIMENSIONES CRTICAS A ESTIMAR
Activos de Seguridad Fsica: Daos fsicos sufridos Reduccin del Beneficio
Activos de Seguridad Lgica: Disponibilidad
Consecuencias en la Salud y Daos a las Personas
Activos de Seguridad Lgica: Integridad
Daos a la Herencia Socio-Cultural
Activos de Seguridad Lgica: Confidencialidad
Comunidad, Gobierno, Reputacin y Medios
Consecuencias Legales
Reduccin del Beneficio

19

4 Etapas del Anlisis de Riesgos

D. Evaluacin de Riesgos
Riesgo Intrnseco: Medida del dao probable sobre un sistema sin considerar las
salvaguardas que pudieran proteger a ste.

Se calcula para cada Situacin de Riesgo

El resultado se toma de unas tablas de Impacto vs. Probabilidad, diferentes para los
riesgos fsicos y lgicos

Riesgo Reducido: Nivel de Riesgo o medida del dao probable sobre un sistema, una
vez consideradas las salvaguardas que pudieran proteger a ste.

Se calcula para cada Situacin de Riesgo

El resultado se toma de una tablas de Riesgo Intrnseco vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos

20

4 Etapas del Anlisis de Riesgos

D. Evaluacin de Riesgos
Riesgo Efectivo: Nivel de Riesgo o medida de dao probable al que est sometido el
activo tras la valoracin de las salvaguardas implantadas en la actualidad, tomando en
consideracin el valor propio del activo (criticidad).

Se calcula para cada Situacin de Riesgo

La criticidad a considerar es la mxima de las criticidades que se hayan calculado
para las combinaciones de Consecuencias y Dimensiones de Seguridad que afecten
al Activo.
El resultado se toma de una tablas de Riesgo Reducido vs. Nivel de Necesidad de
Salvaguardas, comn para ambos tipos de riesgos
Necesidad de
Salvaguardas

Probabilidad

*
Impacto

Riesgo intrnseco

Riesgo
Reducido
Mxima
(Criticidad)

Riesgo
Efectivo

*
*

Tabla especfica/matriz de clculo

21

4 Conclusiones
Conclusiones e Impactos
Nueva metodologa propuesta, fruto de la experiencia de Cuevavaliente Ingenieros con
sus partners expertos en Seguridad Lgica.
Presenta una solucin prctica a uno de los problemas ms complejos en el diseo de un
Sistema de Gestin de Seguridad Fsica y Lgica.
Actualmente se est empezando a utilizar con xito en diferentes empresas espaolas
Permite proponer Planes de Seguridad comunes a la Alta Direccin de las
organizaciones.
En el caso de Espaa, y otros pases europeos, permite cumplir con la legislacin
especfica de Proteccin de Infraestructuras Crticas, donde se exige a las empresas que
operan servicios crticos a la ciudadana, que presenten Planes de Conjuntos de
Seguridad Fsica y Lgica.

22

5 Referencias
Referencias
[1] Legislacin sobre Infraestructuras Crticas Espaola:
a) Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin
de las infraestructuras crticas.
b) Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
proteccin de las infraestructuras crticas.
[2] Alfonso Bilbao, Enrique Bilbao, Koldo Pecia; Physical and Logical Security Risk
Analysis Model, International Carnahan Conference on Security Technology
Proceedings, Barcelona 2011
[3] Alfonso Bilbao; TUAR, a model of Risk Analysis in the Security Field, International
Carnahan Conference on Security Technology Proceedings, Atlanta 1992
[4] Alfonso Bilbao, Enrique Bilbao, Alejandro Castillo; A risk management method based
on the AS/NZS 4360 Standard, International Carnahan Conference on Security
Technology Proceedings, Ottawa 2008
[5] Metodologa MAGERIT II; Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Ministerio de Administraciones Pblicas de Espaa.
http://www.csi.map.es/csi/pg5m20.htm

23

5 Referencias
Referencias
[6] ISO/IEC 27001 (BS7799-2:2002): Information security management systems Requirements
[7] ISO 31000 Risk management Principles and guidelines
[8] AS/NZS 4360:2004 Standard Risk Management; Standards Australia/Standards
New Zealand, 2004
[9] HB 436:2004 Risk Management Guidelines. Companion to AS/NZS 4360:2004;
Standards Australia/Standards New Zealand, 2004
[10] ISO/IEC 27001 / 2005 Information security management systems Requirements
[11] ISO/IEC 27002 / 2005 Code of practice for information security management
[12] ISO/IEC 27005 / 2008 Information security risk management
[13] ISO/IEC 15408-1 / 2009 Common Criteria for Information Technology Security
Evaluation
[14] www.cuevavaliente.com

24

Fin de la presentacin

Muchas gracias

25

Anexo 1 Ejemplos
Amenazas

LOGICAL SECURITY THREATS

ERRORS AND UNINTENCIONAL FAILURES
Fire
Users Errors
Water Damages
Administrator Errors
Industrial Disasters
Monitoring (logging) Errors
Mechanical Pollution
Configuration Errors
Electromagnetic Pollution
Organizational Deficiencies
Hardware or Software Failure
Malware Diffusion
Power Interruption
[Re-]Routing Errors
Unsuitable temperature and/or moisture conditions Sequence Errors
Communications Service Failure
Information Leaks
Interruption of Other Services and Essential Supplies Information Alteration
Media Degradation
Entry of Incorrect Information
Electromagnetic Radiation
Information Degradation
NATURAL DISASTERS
Destruction of Information
Fire
Disclosure of Information
Water Damages
Software Vulnerabilities
Other Natural Disasters
Defects in Software Maintenance/Updating
Defects in Hardware Maintenance/Updating
System Failure due to Exhaustion of Resources
Staff Shortage
INDUSTRIAL ORIGIN

WILLFUL ATTACKS
Manipulation of the Configuration
Masquerading of User Identity
Abuse of Access Privileges
Misuse
Malware Diffusion
[Re-]Routing of Messages
Sequence Alteration
Unauthorized Access
Traffic Analysis
Repudiation
Eavesdropping
Alteration of Information
Entry of False Information
Corruption of Information
Destruction of Information
Disclosure of Information
Software Manipulation
Denial of Service
Theft
Destructive Attack
Enemy Over-Run
Staff Shortage
Extortion
Social Engineering

PHYSICAL SECURITY THREATS

ORDINARY DELINQUENCY
Burglary
Theft
Vandalism
Inappropriate Occupation
AGGRESSIVE AND VIOLENT CRIMES
Aggression
Hold Up
Sabotage
TERRORISM AND ORGANIZED CRIMES
Explosives carried by Suicidal Individuals
Explosives at Manned Vehicles (suicides)
Explosives at Unmanned Land Vehicles
Explosives at Unmanned Air Vehicles
Explosives at Unmanned River/Sea Vehicles
Explosives at Parked Vehicles
Explosives by Mail
Explosives Placed/Abandoned Packages
Rocket-Propelled Grenades and Mortar Attacks
Organized Armed Terrorist Attack
Massive Poisoning
Listening Devices Deployment

26

Anexo 1 Ejemplos
Ejemplo de Contexto
Activos:
Campo de juego (Activo Fsico)
Sala tcnica de pantallas (Activo Fsico)
Ordenador que controla las pantallas (Activo Lgico)
Tiempo:
Durante el Partido
Despus del Partido
Amenazas:
Ocupacin Indebida (Fsica)
Vandalismo (Fsica)
Robo (Fsica)
Sabotaje (Fsica)
Acceso No Autorizado (Lgica)
AMENAZA/
ACTIVO Y TIEMPO

Campo de Juego
Sala tcnica de pantallas
Ordenador que controla las pantallas
Durante Partido Despus Partido Durante Partido Despus Partido Durante Partido
Despus Partido

Ocupacin Indebida

Vandalismo
Robo
Sabotaje
Acceso No Autorizado

X
X
X

X
X

27

Anexo 1 Ejemplos
Ejemplo de Impacto y Probabilidad

SITUACIN DE RIESGO
ACTIVO
TEMPO
Campo de Juego
Durante Partido
Campo de Juego
Durante Partido
Campo de Juego
Despus de Partido
Campo de Juego
Despus de Partido
Campo de Juego
Despus de Partido
Sala tcnica de pantallas
Durante Partido
Sala tcnica de pantallas
Despus de Partido
Ordenador que Controla las Pantallas Durante Partido

AMENAZA
Ocupacin Indebida
Vandalismo
Ocupacin Indebida
Vandalismo
Robo
Sabotaje
Sabotaje
Acceso No Autorizadp

IMPACTO PROBABILIDAD
A
M
B
B
B
A
B
A

A
A
MB
B
B
MB
B
B

28

Anexo 1 Ejemplos
Ejemplo de Criticidad
CRITICIDAD PARA CADA DIMENSIN DE SEGURIDAD
ACTIVOS

CONSEQUENCIAS
Reduccin Beneficio Salud y Daos

Reputacin y Medios

Legal

MAX
(CRITICIDAD)

Campo de Juego

Physically harming the asset

Sala tcnica de pantallas

Physically harming the asset

M
M

H
VL

H
L

M
L

Ordenador que Controla las Integridad

Pantallas
Disponibilidad

RISK SITUATION
ASSET
Campo de Juego
Campo de Juego
Campo de Juego
Campo de Juego
Campo de Juego
Sala tcnica de pantallas
Sala tcnica de pantallas
Campo de Juego

TIME
Durante Partido
Durante Partido
Despus de Partido
Despus de Partido
Despus de Partido
Durante Partido
Despus de Partido
Durante Partido

THREAT
Ocupacin Indebida
Vandalismo
Ocupacin Indebida
Vandalismo
Robo
Sabotaje
Sabotaje
Ocupacin Indebida

NECESIDAD
MAX
IMPACTO PROBABILIDAD SALVAGUARDIA
(CRITICIDAD)
S
A
A
L
H
L
H
M
A
B
MB
M
H
B
B
M
H
B
B
M
H
A
MB
M
H
B
B
M
H
A
B
H
H

29

Anexo 1 Ejemplos
Ejemplo de Necesidad de Salvaguardas
Salvaguardas en el Campo de Juego Durante el Partido:
Vigilantes (1/10 metros de borde de campo)
Lista Negra (espectadores no admitidos)
Redes evitando lanzamiento de objetos
Comprobacin de identificaciones
Cmaras cubriendo el 100% de la escena
Salvaguardas revisadas anualmente
Salvaguardas en el Campo de Juego Despus del Partido :
Puertas de estadio cerradas tras partido
Deteccin de Intrusin
Sin Vigilantes de Seguridad
Salvaguardas no revisadas/no suficientes
ACTIVO
Campo de Juego
Campo de Juego
Campo de Juego
Campo de Juego
Campo de Juego

SITUACIN DE RIESGO
TIEMPO
AMENAZA
Durante Partido
Ocupacin Indebida
Durante Partido
Vandalismo
Despus de Partido Ocupacin Indebida
Despus de Partido Vandalismo
Despus de Partido Robo

NECESIDAD DE
SALVAGUARDAS

NIVEL CMMI

L
L
M
M
M

GESTIONADO
GESTIONADO
DEFINIDO
DEFINIDO
DEFINIDO

30