Especialización en Gerencia en Seguridad y Salud en el Trabajo.

Gestión Integral del Riesgo - Universidad ECCI - Bogotá, D.C. – 28/06/2018- PEC Est-SG-SST
 Métodos para evaluación integral de riesgos.
Los métodos de evaluación de riesgos
abarcan un amplio espectro de
posibilidades. Sin embargo, deben
tener criterios y parámetros
claramente definidos.
Esto da la oportunidad de ser
reproducible en el tiempo y poder
comparar los resultados del método;
no obstante, la elección del método
depende del criterio profesional y el
objeto.
 Método análisis
Método de
de los modos de
análisis preliminar
fallos y sus efectos
(APELL)
(AMFE/FMEA)

Análisis de riesgos Métodos para evaluación Método

ambientales
(método LEOPOLD) integral de riesgos Magerit

ISO/IEC 27005 NIST SP 800-30

 Método de análisis preliminar
(APELL)
El Análisis Preliminar de Riesgos del Sistema de Gestión de Seguridad y Salud en el Trabajo
OHSAS18001 es una herramienta precursora de otros métodos de análisis de naturaleza más
compleja y solo se utiliza en la fase de desarrollo de las instalaciones físicas y en aquellos casos en
los que no hay datos o experiencias anteriores tanto del proceso como del tipo de implantación.
Este APR del Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS 18001 selecciona
los productos peligrosos y los equipos principales de la organización. Asimismo, se estima como
una comprobación de los puntos en los que, de forma no controlada, se pueda liberar energía.
Este método pretende formular una lista de estos puntos con los peligros relacionados a:
 Materias primas, productos intermedios o finales y su reactividad. Equipos y maquinaria de
planta.
 Contexto de los procesos.
 Límites entre componentes de los sistemas.
 Operaciones como pruebas, mantenimiento, puesta en marcha, paradas, etc.
 Instalaciones objeto del estudio.
 Equipos y materiales de seguridad.
 Procedimiento - Método de análisis preliminar (APELL)
Para llevar a cabo un Análisis Preliminar de Riesgos en OHSAS18001 de un modo eficiente se deben cubrir las siguientes etapas:
 Recopilar la información necesaria.
 Desarrollar el APR propiamente dicho y el informe de resultados.
Según OHSAS 18001, para llevar a cabo un desarrollo adecuado del APR se debe considerar también estos procedimientos:
• Análisis detallado: En este apartado nos referimos a que se debe llevar a cabo un análisis ordenado de acuerdo a los
acontecimientos, sin excluir pasos básicos preliminares. Por ejemplo: traslado de herramientas, uso de herramientas, preparación
del espacio de trabajo, entre otros.
• Reconocimiento de los peligros que se han dado en cada uno de los procesos: No se debe minusvalorar ninguna etapa porque,
por muy simple que parezca, incluye peligros para la integridad de las personas. Por tanto, se deben valorar y reconocer todas
aquellas situaciones de peligro que estén vinculadas con alguna tarea concreta.
• Estimación del Peligro: esto nos permitirá cuantificar el impacto que dicho peligro podría tener en las personas, equipos materiales
o medio ambiente.
• Desarrollar e implementar las Medidas de Control: Las medidas de control deben ser, definitivamente, específicas para cada
peligro con el objetivo de tratarlo con la mayor eficacia consiguiendo inhabilitar las posibilidades de daño que pueda causar ese
peligro.
• Constituir responsabilidades: se debe especificar la responsabilidad de cada una de las personas encargadas del control de la
supervisión o asesoramiento en prevención de riesgos.
• Aceptación del Documento: La aprobación de un Análisis Preliminar de Riesgos en un Sistema de Gestión de Seguridad y
Salud en el Trabajo OHSAS 18001 debe ser realizada por el encargado de la prevención de cada departamento.
Finalmente, los resultados que se han obtenido en un APR según OHSAS-18001 deben registrarse correctamente de modo que se
visualice claramente los peligros constatados e identificados, así como la causa, la consecuencia principal que lo produce, y las
diferentes medidas correctivas o preventivas.
Con este análisis, el Sistema de Gestión de la Salud y la Seguridad en el Trabajo
(SGSST) pretende fomentar la creación de entornos laborales seguros, porque ofrece un escenario
en el cual le permite a la organización identificar y controlar de manera satisfactoria los riesgos de
salud y seguridad más destacados. Asimismo, permite reducir el número de accidentes, cooperar en
el cumplimiento de las leyes y también a progresar el rendimiento del personal.
 Método análisis de los modos de fallos y sus
efectos (AMFE/FMEA).
Análisis de modos de falla – AMFE - Significa “Análisis de Modos de Fallas y sus Efectos”, es una herramienta de
análisis desarrollada por la NASA en la década del 60´y que rápidamente fue adoptada por la industria automotriz
(Ford en la década del 70´). Es muy reconocida también por sus siglas en Ingles FMEA (Failure Mode and Effect
Analysis”.

Si bien existen tres estructuras básicas de AMFE (Sistema, Producto y Proceso), las aplicaciones a procesos son, tal
vez, las más conocidas. En este sentido la herramienta es muy útil para recorrer integralmente un proceso y, en base
a la experiencia, determinar la potencialidad de ocurrencia de fallas, sus efectos y las causas que podrían
generarlos.
Adicionalmente, este método permite establecer un ranking de esas causas, generadoras de fallas, en función de
tres indicadores básicos:

1. La gravedad del efecto

2. La frecuencia de ocurrencia
3. La posibilidad de detección

Con estos tres indicadores la herramienta genera un índice denominado: “Número de prioridad de riesgo” (NPR en
Castellano o RPN en Inglés), que, en una escala de 1 a 1000, establece el peso para cada causa, lo que permite
elaborar el ranking antes mencionado.

Ventajas del análisis AMFE tradicional

Ventajas del análisis AMFE tradicional
• Aumento de la satisfacción de los clientes al recibir productos de alta
• Reducción de los fallos de los productos y
calidad y fiabilidad;
procesos;
• Señala características que se deben controlar en los procesos;
• Reducción de los costes de garantía;
• Proporciona información útil para el desarrollo de programas de
• Aumento de la fiabilidad de los productos;
pruebas y criterios para monitoreo.
 ISO 27001: El método MAGERIT - Sistema de Gestión de
Seguridad de la Información
El método MAGERIT, son las siglas de Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información de la Administraciones, dicho método cubre la
fase AGR (Análisis y Gestión de Riesgos). Si hablamos de Gestión global de la Seguridad
de un Sistema de Seguridad de la Información basado en ISO 27001.
MAGERIT, es el núcleo de toda actuación organizada en dicha materia, ya que influye en
todas las fases que sean de tipo estratégico y se condiciona la profundidad de las fases de
tipo logístico.

El Consejo Superior de Informática ha sido el encargado de elaborar la primera versión de

MAGERIT, con lo que promueve su utilización como respuesta a la dependencia creciente
de toda la sociedad respecto a las Tecnologías de la Información.
MAGERIT se encuentra muy relacionada con la generación en la que se utilizan los medios
electrónicos, informáticos y telemáticos, lo que genera grande beneficios para los
empleados y los ciudadanos, aunque también puede dar lugar a diferentes riesgos que se
tienen que minimizar con medidas de seguridad que generan confianza.
MAGERIT facilita que se pueda llevar a cabo:
 El análisis de riesgo en cualquier tipo de Sistema de Seguridad de la Información (SSI),
así como todos sus elementos, obteniendo un índice único en el que se realicen las
estimaciones de su vulnerabilidad ante todas las posibles amenazas y el impacto que
puede generar en la empresa.
 La gestión de riesgos, se basa en todos los resultados obtenidos durante el análisis que
hemos hecho anteriormente, se seleccionan medidas de seguridad adecuadas para
poder conocer, prevenir, impedir, recudir o controlar todos los riesgos que se han
identificado, pudiendo de este modo reducir al mínimo la potencialidad del riesgo.
El objetivo perseguido en sucesivas versiones de MAGERIT es
la evaluación, homologación y certificación de Seguridad de
Sistemas de Información (SSI) según ISO 27001:
Se debe tener como referencia los criterios de ITSEC de
Evaluación de la Seguridad de las Tecnologías de la
Información, gracias a una recomendación del Consejo
Europeo.
Se tiene en cuenta también la referencia de los Criterios
Comunes de Evaluación de la Seguridad de los Productos y
Sistema de Información.
Utilizando MAGERIT cuando se requiere un Análisis y Gestión
de Riesgos (AGR) para poder evaluar los criterios de seguridad.
 Análisis de riesgos ambientales
(método LEOPOLD).
EL METODO LEOPOLD: Fue desarrollado por el Servicio
Geológico del Departamento del Interior de los Estados Unidos
para evaluar inicialmente los impactos asociados con proyectos
mineros (Leopold et al. 1971). Posteriormente su uso se fue
extendiendo a los proyectos de construcción de obras. El método
se basa en el desarrollo de una matriz al objeto de establecer
relaciones causa-efecto de acuerdo con las características
particulares de cada proyecto.
Esta matriz puede ser considerada como una lista de control
bidimensional. En una dimensión se muestran las características
individuales de un proyecto (actividades, propuestas, elementos
de impacto, etc.), mientras que en otra dimensión se identifican
las categorías ambientales que pueden ser afectadas por el
proyecto. Su utilidad principal es como lista de chequeo que
incorpora información cualitativa sobre relaciones causa y efecto,
pero también es de gran utilidad para la presentación ordenada
de los resultados de la evaluación.
El método de Leopold está basado en una matriz de 100
acciones que pueden causar impacto al ambiente representadas
por columnas y 88 características y condiciones ambientales
representadas por filas. Como resultado, los impactos a ser
analizados suman 8,800. Dada la extensión de la matriz se
recomienda operar con una matriz reducida, excluyendo las filas
y las columnas que no tienen relación con el proyecto.
EVALUACIÓN DEL IMPACTO AMBIENTAL
Numerosos métodos han sido desarrollados y usados en el proceso de
evaluación del impacto ambiental (EIA) de proyectos. Sin embargo,
ningún método por sí sólo, puede ser usado para satisfacer la variedad
y tipo de actividades que intervienen en un estudio de impacto, por lo
tanto, el tema clave está en seleccionar adecuadamente los métodos
más apropiados para las necesidades específicas de cada estudio de
impacto.
Las características deseables en los métodos que se adopten
comprenden los siguientes aspectos:
1) Deben ser adecuados a las tareas que hay que realizar.
2) Deben ser independientes de los puntos de vista personales del
equipo evaluador.
3) Deben ser económicos en términos de costes y requerimiento de
datos, tiempo de aplicación, cantidad de personal y equipos.
VENTAJAS:
• Obliga a considerar los posibles impactos de proyectos sobre diferentes factores
ambientales.
• Incorpora la consideración de magnitud e importancia de un impacto ambiental.
• Permite la comparación de alternativas, desarrollando una matriz para cada opción.
• Sirve como resumen de la información contenida en el informe de impacto
ambiental.
 ISO/IEC 27005 - Gestión de riesgos de la
Seguridad la Información
ISO 27005 es el estándar internacional que se ocupa de
la gestión de riesgos de seguridad de información.
La norma suministra las directrices para la gestión de
riesgos de seguridad de la información en una empresa,
apoyando particularmente los requisitos del sistema de
gestión de seguridad de la información definidos en ISO
27001.
ISO-27005 es aplicable a todo tipo de organizaciones
que tengan la intención de gestionar los riesgos que
puedan complicar la seguridad de la información de su
organización. No recomienda una metodología concreta,
dependerá de una serie de factores, como el alcance
real del Sistema de Gestión de Seguridad de la
Información (SGSI), o el sector comercial de la propia
industria.
Los usuarios elijen el método que mejor se adapte,
por ejemplo, una evaluación de riesgos de alto nivel
seguido de un análisis de riesgos en profundidad
sobre las zonas de alto riesgo.
La norma incorpora algunos elementos iterativos,
por ejemplo si los resultados de la evaluación no
son satisfactorios.
ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones
Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO /
IEC TR 13335-4:2000.
Las secciones de contenido son:
 Prefacio.
 Introducción.
 Referencias normativas.
 Términos y definiciones.
 Estructura.
 Fondo.
 Descripción del proceso de ISRM.
 Establecimiento Contexto.
 Información sobre la evaluación de riesgos de seguridad (ISRA).
 Tratamiento de Riesgos Seguridad de la Información.
 Admisión de Riesgos Seguridad de la información.
 Comunicación de riesgos de seguridad de información.
 Información de seguridad Seguimiento de Riesgos y Revisión.
 Anexo A: Definición del alcance del proceso.
 Anexo B: Valoración de activos y evaluación de impacto.
 Anexo C: Ejemplos de amenazas típicas.
 Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
 Enfoques ISRA: Anexo E.
 NIST SP 800-30
NIST SP 800 – 30. (National Institute of Standards and
Technology): Guía de gestión de riesgo para sistemas de
tecnología de la información – Recomendaciones del Instituto
Nacional de Estándares y Tecnología.
Es una guía que propone un conjunto de recomendaciones y
actividades para una adecuada gestión de riesgos como parte
de la gestión de la seguridad de la información; sin embargo,
esto no es suficiente, pues se necesita del apoyo de toda la
organización para que los objetivos y alcance de la gestión de
riesgos concluyan con éxito.
La Metodología NIST SP 800-30 está compuesta por 9 pasos
básicos para el análisis de riesgo:
• Caracterización del sistema.
• Identificación de amenaza.
• Identificación de vulnerabilidades.
• Control de análisis.
• Determinación del riesgo.
• Análisis de impacto.
• Determinación del riesgo.
• Recomendaciones de control.
NIST SP 800 – 30. Esta metodología proporciona una base para
(development of an effective risk management program, containing
both the definitions and theel), desarrollo de un programa eficaz de
gestión de riesgos que contiene las definiciones y la (practical
guidance necessary for assessing and mitigating risks identified
within IT systems). orientación práctica necesaria para evaluar y
mitigar los riesgos identificados dentro de los sistemas de
Tecnologias de la Información.
Su objetivo final es ayudar a las organizaciones a gestionar mejor
los riesgos mediante un proceso de tres pasos:
• Evaluación, mitigación, análisis y evaluación del riesgo.
• NIST se destaca por la gestión de riesgos en proyectos de TI y
alcanza niveles satisfactorios en hardware, software, BD, redes
y telecomunicaciones, pues en su estructura se establecen
criterios de seguridad, siendo los más comunes, la
confidencialidad, integridad y disponibilidad, los cuales son la
base para realizar el análisis y valorar la materialización de
amenazas e impactos sobre los elementos de TI. No obstante,
al ser una metodología tan robusta, esta propiedad se convierte
en una limitante para su aplicación en pequeñas empresas con
altas limitaciones de recursos humanos.
Métodos para evaluación integral de riesgos.

“Estos métodos tienen diferentes enfoques, ya que se pueden utilizar para

el análisis de la estrategia de negocio, o para análisis operativos desde la
actividad económica. Algunos otros evalúan la estrategia corporativa; sin
embargo, el éxito radica en el conocimiento del entorno, los
conocimientos multidisciplinares del equipo de trabajo y de la revisión
constante de la información y el proceso de análisis.

Otro elemento fundamental de los métodos de análisis de riesgo se

refiere a que exige del profesional pensamiento proactivo y visión
sistémica de la organización, al igual que del sector económico, así
como de la formulación de políticas que propicien el compromiso, el
liderazgo y una visión compartida de futuro."

Bibliografía: Gestión Integral de Riesgos, Versión 1.0 – Universidad ECCI,

Mg. - Julio Fernando Ochoa Rodríguez, Ingeniero Industrial.