Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
12 12 CAPITULO II ETAPA DE ABORDAJE TEÓRICO En este capítulo se refleja la revisión bibliográfica y los antecedentes examinados para fundamentar de forma teórica la presente investigación, donde se explican aspectos relacionados con riesgos tecnológicos. De igual forma, se establecen las necesidades de información a efecto de estructurar los contenidos y los requerimientos de investigación para la gestión de proyectos de tecnologías de información y comunicación. 1. ANTECEDENTES Durante las revisiones de las diferentes investigaciones y estudios enfocadas a la elaboración de metodologías y modelos con el objetivo de establecer un plan para la minimización de los riesgos tecnológicos, como parámetro para la toma de decisiones, se recopiló información de gran utilidad para los fines de la presente investigación, con el propósito de obtener opiniones y enfoques relevantes para la solución del problema planteado. Sánchez (2010), en la investigación Riesgo Tecnológico en la selección de equipos para la medición eléctrico en las organizaciones pertenecientes a la Corporación Eléctrica, específicamente en la zona Occidental – Venezuela, a través de la técnica de recolección de datos bajo el esquema 13 de observación directa, obtuvo como resultado que la empresa objeto de estudio no posee aplicaciones de seguridad implantadas para minimizar cualquier riesgo que se pueda presentar en la empresa eléctrica que debe ser atacado, recomendando combatir los riesgos desde su origen, tomar en cuenta la evolución de la técnica y adoptar las medidas en la selección de los equipos. La investigación hace hincapié como aporte a esta investigación en los riesgos tecnológicos considerando tanto los factores internos como los externos, donde se analizan varios métodos para prevenirlos o mitigarlos. Del mismo modo, hace mención de la reglamentación existente proporcionando los lineamientos para conseguir optimizar el desempeño y mejorar la gestión del mismo. En tal sentido, Carrillo (2010), a través del trabajo Riesgo Tecnológico en la utilización de las tecnologías de información y comunicación en las instituciones de educación superior, como lo son Universidad Dr. Rafael Belloso Chacin, Universidad José Gregorio Hernández e Instituto Universitario Politécnico Santiago Mariño; siendo un estudio de tipo descriptivo con un diseño no experimental, concluye que es necesario la elaboración de planes de mitigación de riesgos tecnológicos, que permitan dar respuestas eficaces y controladas en las instituciones de educación superior, sector privado, en el municipio Maracaibo, por lo tanto se establecieron lineamientos teóricos que permitan identificar y cuantificar los 14 riesgos tecnológicos; así como desarrollar, seleccionar y gestionar alternativas para manejarlos. El aporte de dicha investigación se basa sobre el comportamiento de la variable Riesgo Tecnológico, ya que se determina la realidad que presenta. Del mismo modo, se consideró lo planteado por Soto (2009) en su investigación signada con el título de Riesgo tecnológico en el complejo carbonífero el Cerrejon, donde se identificaron los riesgos asociados al contexto externo en dicho complejo, además se describieron los riesgos asociados al recurso humano en el Complejo Carbonífero el Cerrejón en el Departamento de la Guajira, lo que permitió formular lineamientos teóricos para optimizar la gestión del riesgo tecnológico en el Complejo. En tal sentido, dicha investigación valora orígenes diversos derivados del proceso de adquisición y transferencia de la tecnología, uso de la tecnología, obsolencia de las tecnologías y derivadas del contexto externo de la organización como contribución a esta investigación. 2. REVISIÓN DE ASPECTOS TEÓRICOS 2.1. SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO (SISCCOMBF) De acuerdo con el informe emitido por la Gerencia de Automatización, Información y Tecnología (AIT) de la Empresa Petróleos de Venezuela (PDVSA), el Proyecto Sistema de Control de Combustible Fronterizo tiene 15 como objetivo principal el desarrollo de una plataforma tecnológica integrada para el control de Combustibles líquidos (plantas de distribución, y transporte) que permita el balance volumétrico y financiero de los mismos, logrando así un eficiente uso de la Política Energética del estado en el ámbito nacional. A continuación se menciona el alcance global del proyecto. 2.1.1. ALCANCE GLOBAL DEL PROYECTO SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO El proyecto tiene como alcance la creación de un Sistema Automatizado de Control de Combustibles en los Estados fronterizos, que permita la gestión del consumo de combustibles a nivel regional. El proyecto contempla las estaciones de servicio de los estados fronterizos Táchira y el estado Zulia. Sobre esta base, en la figura 1, se muestra la arquitectura de solución global del proyecto SISCCOMBF, la cual consiste en: La figura 1, engloba los distintos sub sistemas, como lo son Sistema de Control de Combustible Fronterizo Central y Regional, Sistema Automatizado de las Estaciones de Servicio, Sistema de Gestión que serán detallados a continuación: 16 Figura 1. Arquitectura proyecto SISCCOMBF. Fuente: PDVSA AIT. 2.1.1.1 SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO CENTRAL (SCCFC) Será el encargado del monitoreo con todos los centros regionales, con el objeto de obtener la información de consumo y control de los despachos en las estaciones de servicio pertenecientes a los diferentes estados fronterizos tal como se indica en la siguiente figura: Figura 2. Sistema de Control de Combustible Fronterizo Central. Fuente: PDVSA AIT 17 2.1.1.2. SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO REGIONAL (SCCFR) Este sistema, prevé un modulo Web Server que a través de “HTML Protocol” realizara el enlace con el Sistema de Control Combustible Fronterizo Regional (SCCFR), dicho sistema será el encargado del monitoreo de las diferentes estaciones de servicio en los diferentes estados fronterizos, comenzando con el Estado Táchira y Zulia. 2.1.1.3. SISTEMA AUTOMATIZADO DE LAS ESTACIONES DE SERVICIO (SAES) Este sistema consiste en un conjunto de tres soluciones las cuales se nombran a continuación: Sistema de identificación de vehículos, Sistema de automatización y Control de la Estación de Servicio (Equipo de Control del Surtidor (ECS) y Sistema de Gestión). Asimismo el sistema automatizado está compuesto por un computador local y la aplicación de gestión Web bajo un Sistema Operativo Open Source, que permitirá administrar los datos comerciales y técnicos de la E/S; y a su vez, a través de un Web Server se establece la interconexión con el Sistema de Control combustible Fronterizo Regional (SCCFR) y de esta manera permitir el intercambio de información entre ambos sistemas dando un tiempo estimado entre cada transacción de 10 minutos, ver figura No.3. En tal sentido, este método está compuesto por: 18 • Equipo de Control del Surtidor (ECS). Este equipo supervisará y controlará el suministro de combustible de acuerdo a las señales recibidas de: • Lector de tarjeta magnética • Lector retráctil RFID. • Teclado y pantalla. De esta manera, una vez obtenido el código de identificación de ambos elementos de entrada, éstos son comparados con la Base de Datos de la Tarjeta de Control de Surtidor y si la dupla vehículo - usuario están autorizados, se activa la secuencia de suministro de combustible. En caso contrario deberá existir una indicación luminosa que le advierta al usuario que no está autorizado para el llenado de combustible, al mismo tiempo en la pantalla existente se le indicará el motivo. Figura 3. Dispositivo asociado a la tarjeta de Control. Fuente: PDVSA AIT 19 El equipo concentrador de datos tendrácomo función primordial ser el elemento de almacenamiento de las transacciones realizadas en los surtidores y de la información del nivel de combustible en los tanques. Será un equipo robusto, de tipo industrial al cual no tendrán acceso físicamente los trabajadores de la Estación de Servicio. Tendrá capacidad para almacenar al menos quince (15) días de transacciones en su memoria interna, la cual podrá ser bajada sólo por personal autorizado. Otra de sus funciones será descargar a las tarjetas de Control de Procesos, las decisiones de control de suministro que se tomen en el CNC (detener el suministro de combustible, suspender el suministro a determinado vehículo, suministrar hasta determinada hora, suministrar sólo una cantidad de litros por vehículo, entre otros. Adicionalmente, poseerá capacidad de expansión para nuevas funcionalidades e implementación de aplicaciones especiales para uso en futuras ampliaciones del sistema. 2.1.1.4. SISTEMA DE GESTIÓN El sistema de gestión, está compuesto por un computador local y la aplicación de gestión Web bajo un Sistema Operativo Open Source, que permitirá administrar los datos comerciales y técnicos de la E/S y a su vez a través de un Web Server poder interconectarse con el Sistema de Control combustible Fronterizo Regional (SCCFR) y permitir el intercambio de 20 información entre ambos sistemas dando un tiempo estimado entre cada transacción de 10 minutos, ver figura No.4. La mencionada transacción, contendrá la identificación de vehículo y conductor, los permisos de suministro otorgada por SCCFC, con posibilidad de datos adicionales de carga de combustible (tipo combustible, litros, fecha y hora de última carga). A nivel regional existirá una copia de la información perteneciente a la región o Estado de modo de sectorizar y descargar la cantidad de procesamientos del SCCFC, el cual es denominado SCCFR. Por otro lado, en cada uno de los Sistemas Automatizados de Estaciones de Servicio SAES, existirá un equipo servidor del sistema de Gestión, el cual ofrece la posibilidad de en caso de contingencia albergar una copia de la base de datos del sistema permitiendo el expendio de combustible aun sin comunicación y logrando llevar el registro de transacciones realizadas en la Estación de Servicio. Adicionalmente, el computador (PC) en la oficina de la Estación de Servicio la cual se interconectará funcionalmente con el Concentrador de Datos, será el elemento de interfaz entre la estación y el SCCFC. En el PC se almacenará la base de datos de todas las transacciones al igual que en el concentrador de datos y permitirá al operador de la estación visualizar las transacciones comerciales efectuadas en los surtidores y el nivel de los tanques de combustible. 21 El cableado entre tarjetas de control y el concentrador de datos será del tipo FTP, al igual que entre el router y el computador y entre este y el conmutador de datos, para lo cual se deberá realizar un cableado de red Lan. Como se observa en la figura No.4. Figura 4. Sistema de Gestión. Fuente: PDVSA AIT 2.2. RIESGO De acuerdo con Yáñez (2004), el riesgo es un término de naturaleza probabilística, que se define como egresos o pérdidas probables consecuencia de la ocurrencia de un evento no deseado o falla. En este simple pero poderoso concepto coexiste la posibilidad de que un evento o aseveración se haga realidad o se satisfaga, con las consecuencias de que ellos ocurran. Entre las principales definiciones de riesgo se pueden resaltar las del Project Management Institute (Duncan, 1996): 22 • La gestión de riesgos es el proceso por el que los factores de riesgo se identifican sistemáticamente y se evalúan sus propiedades. • La gestión de riesgos es una metodología sistemática y formal que se concentra en identificar y controlar áreas de eventos que tienen la capacidad de provocar un cambio no deseado. • La gestión de riesgos, en el contexto de un proyecto, es el arte y ciencia de identificar, analizar y responder a los factores de riesgo a lo largo de la vida del proyecto y en el mejor cumplimiento de sus objetivos. En tal sentido Sena (2004), plantea que se deben comprender adecuadamente elementos para entender integralmente el concepto de riesgo. Estos elementos son: probabilidad, amenazas, vulnerabilidad, activos e impactos. Probabilidad: Establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. Amenazas: Las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres 23 ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, entre otros. Vulnerabilidades: Son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevando a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Esta vulnerabilidad es de naturaleza variada. A modo de ejemplo se citan las siguientes: Falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, entre otros. Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse. Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos. Impactos: Las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. 24 En consecuencia, se pueden establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, son la pérdida de vidas humanas, afectación del medio ambiente, entre otros. De esta forma, matemáticamente el riesgo asociado a una decisión o evento viene dado por la expresión universal: R(t) = p(t) x c(t) Donde: R(t): Riesgo P(t): Probabilidad C(t) Consecuencias El riesgo se comporta como una balanza que permite ponderar la influencia de varias alternativas en términos de su impacto y probabilidad, orientando al analista en el proceso de toma de decisión. Sin embargo, dependiendo de la situación o escenario bajo estudio, la expresión de naturaleza universal anterior, puede asumir diferentes concepciones, como las mostradas a continuación: • En proceso cuyo desempeño depende de la operación de equipos y sistemas físicos, el riesgo puede definirse como: Riesgo(t) = Probabilidad de Falla(t) x Consecuencias Riesgo(t) = [1-confiabilidad C(t)] x Consecuencias 25 • En procesos cuyo desempeño puede ser seriamente afectado por la ocurrencia de eventos indeseados, el riesgo puede definirse como: Riesgo(t) = Probabilidad de ocurrencia Evento Ei(t)Xconsecuencias • En procesos de toma de decisiones, donde el beneficio a obtener depende en grado sumo de la veracidad del análisis y de la data evaluada, el riesgopuede definirse como: Riesgo(t)= Probabilidad de desacierto Di(t) x Consecuencias Normalmente, los procesos y sistemas bajo estudio son heterogéneos en naturaleza, y son muchos los escenarios que deben evaluarse para cuantificar apropiadamente el riesgo de un evento en particular. Al comparar cada una de estos conceptos se puede probar que aunque son de diferentes autores, todas apuntan a que el riesgo es la incertidumbre asociada con la posibilidad de que se produzca una pérdida económica. 2.2.1. ESTIMACIÓN DE RIESGO De acuerdo con el Instituto de Defensa Civil de Perú (2006), la estimación del Riesgo en Defensa Civil, es el conjunto de acciones y métodos que se emplean en un estipulado centro poblado, a fin de recopilar información sobre la identificación de los peligros naturales y/o tecnológicos y el análisis de las condiciones de vulnerabilidad, para determinar o calcular el riesgo esperado (probabilidades de daños: pérdidas de vida e infraestructura). 26 Adicionalmente, como producto de dicho proceso, recomendar las medidas de prevención (de carácter estructural y no estructural) adecuadas, con la finalidad de mitigar o reducir los efectos de los desastres, ante la ocurrencia de un peligro o peligros previamente identificados. Fundado en la definición anterior, se estima el riesgo antes de que ocurra el desastre. En este caso se plantea un peligro hipotético basado principalmente, en su periodo de recurrencia. Además, se considera la estimación del riesgo en aquellos casos relacionados con la elaboración de un proyecto de desarrollo y de esa manera se proporciona un factor de seguridad a la inversión de un proyecto. También se evalúa el riesgo, después de ocurrido un desastre. La evaluación de daños, pérdidas y víctimas, se realiza en forma directa sin emplear la ecuación indicada. Con esto, se podrá cuantificar la gravedad y probabilidad del riesgo, siendo necesario realizar diversas pruebas, investigaciones y cálculos. De igual forma, la identificación del riesgo es definida por Pressman (2005), como un intento sistemático para especificar las amenazas al plan del proyecto (estimaciones, planificación temporal, carga de recursos, entre otros). Identificando los riesgos conocidos y predecibles, el gestor del proyecto da un paso adelante para evitarlos cuando sea posible y contratarlos cuando sea necesario. 27 Existen dos tipos diferenciados de riesgos para cada categoría riesgos genéricos y riesgos específicos del producto. Los riesgos genéricos son una amenaza potencial para todos los proyectos. Los riesgos específicos de producto solo los pueden identificar los que tienen una clara visión de la tecnología, el personal y el entorno especifico del proyecto en cuestión. Para identificar los riesgos específicos del producto, se examinan el plan del proyecto y la declaración del ámbito del producto y se desarrolla una respuesta a la siguiente pregunta: ¿Qué características especiales de este producto pueden estar amenazadas por nuestro plan del proyecto? Asimismo Pressman (2005) expresa que existe un método efectivo para identificar riesgos denominado: Lista de comprobación de elementos dicha lista de comprobación se puede utilizar para identificar los riesgos y se centra en un subconjunto conocido y predecible en las siguientes subcategorías genéricas: 1. Tamaño del producto: riesgos asociados con el tamaño general del producto a construir o modificar. 2. Impacto en el negocio: riesgos asociados con las limitaciones impuestas por la gestión o por el mercado. 3. Características del cliente: riesgos asociados con la sofisticación del cliente y la habilidad del desarrollar para comunicarse con el cliente en los momentos oportunos. 28 4. Definición del proceso: riesgos asociados con el grado de definición del proceso del producto y su seguimiento por la organización de desarrollo. 5. Entorno de desarrollo: riesgos asociados con el grado de definición del proceso del producto y seguimiento por la organización de desarrollo. 6. Tecnología a construir: riesgos asociados con la complejidad del sistema a construir y la tecnología punta que contiene el sistema. 7. Tamaño y experiencia de la plantilla: riesgos asociados con la experiencia técnica y de proyectos de los ingenieros del software que van a realizar el trabajo. 2.3. RIESGOS TECNOLÓGICOS Según la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias Costa Rica (2006), se define como la probabilidad de que un objeto, material o proceso peligroso, una sustancia tóxica o peligrosa o bien un fenómeno debido a la interacción de estas ocasione un número determinado de consecuencias a la salud, la economía, el medio ambiente y el desarrollo integral de un sistema. Para Hidalgo (2002), el riesgo tecnológico es la probabilidad de que existan consecuencias indeseables, o inconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnología y cuya aparición no se puede determinar a priori. 29 Por otra parte, Bosque (2004) define el riesgo tecnológico, como la probabilidad de sufrir daños o pérdidas económicas, ambientales y humanas como consecuencia del funcionamiento deficiente o accidente de una tecnología aplicada en una actividad humana. Desde el punto de vista del autor, es indiscutible que el factor probabilidad este inmerso en la definición de Riesgo Tecnológico; Sin embargo la teoría de Hidalgo fundamenta este estudio ya que no limita la tecnología, y el impacto que genera hechos indeseables en la aplicación de la misma. 2.3.1. PRINCIPIOS DE LOS RIESGOS DE CARÁCTER TECNOLÓGICO Y LA ADMISIÓN DE DECISIONES EN SU PRESENCIA En concordancia con Hidalgo (2002), los riesgos asociados a la tecnología desde su noción, desarrollo y utilización no sólo afectan a las organizaciones que la conciben durante el tiempo de su desarrollo. Los riesgos en un proyecto pueden tener orígenes diversos y entre las fuentes más típicas se encuentran las siguientes: • Derivadas del propio proceso de adquisición o transferencia de tecnología. Son causas internas derivadas de una planificación defectuosa o de la inadaptación de los recursos humanos implicados. • Derivadas de dificultades en la organización receptora. Son causas derivadas de la organización en la que la tecnología se va a utilizar y que afectan a su desarrollo o implantación. 30 • Derivadas de la tecnología empleada en su desarrollo. Como ejemplo, la inestabilidad de la tecnología empleada o la aparición de otras tecnologías alternativas que la hagan inútil o prematuramente obsoleta. • Derivadas del contexto externo a la organización. Como ejemplo, causas socioeconómicas o políticas que impidan el acceso a la tecnología o su mantenimiento posterior. • Derivadas del mercado y de la evolución de éste durante el desarrollo de las actuaciones tecnológicas consideradas. Como ejemplo, causas económicas y de penetración tecnológica muy diferentes de las previstas por acontecimientos no ligados a la tecnología en sí misma: una crisis económica global. Sin embargo estos principios de riesgos están relacionadas entre sí, como también lo están los riesgos precisos de un proyecto, por lo que su separación y análisis diferenciado será uno de los problemas y limitaciones a resolver por los gestores. Durante la actividad de una organización (por ejemplo, en la puesta en marcha de un Plan Tecnológico) se toman decisiones tecnológicas continuamente, tanto por el responsable como por el resto del equipo en función de sus responsabilidades respectivas. La toma de decisiones está, sin embargo, condicionada por la existencia de riesgos cuyos efectos y probabilidades pueden incrementarse por estas mismas decisiones. Cualquier decisión puede realizarse en tres condiciones diferentes: 31 • Con certidumbre.Se dispone de toda la información necesaria para predecir el resultado de la decisión. • Con incertidumbre. No se dispone de la información necesaria para tomar una decisión. Únicamente se puede emplear la experiencia previa y la intuición. • En presencia de riesgos. Sólo se dispone de información parcial, aunque los efectos de los acontecimientos pueden predecirse y su impacto está acotado. Del mismo modo Hidalgo (2002), indica que en el proceso de toma de decisiones relativo a la tecnología y ante un problema identificado relativo a la aparición de un riesgo previamente identificado, el gestor considera la situación actual de la organización y, teniendo en cuenta su experiencia en el tratamiento de situaciones parecidas, selecciona una posible alternativa entre las previamente analizadas y predefinidas. La selección de la alternativa más adecuada no siempre es sencilla de determinar puesto que ello depende de múltiples factores contradictorios que será necesario priorizar en función de la maximización de algunos parámetros. El efecto de determinadas opciones puede representarse mediante las denominadas matrices de efectos. La figura 6 describe una estructura genérica de matriz de efectos. Se han representado en filas las posibles opciones en manos del gestor, sus estrategias (S1, S2, S3), y en columnas un conjunto de acontecimientos sobre los que el gestor no tiene control 32 directo pero que influyen decisivamente en los resultados de sus decisiones (N1, N2,..., Nm). La selección de una alternativa en el caso de que se produzca uno de esos acontecimientos tiene consecuencias muy diferentes sobre la organización. Figura 5. Matriz de efectos. Fuente: Hidalgo (2002) Para construir una matriz de efectos se deben identificar las situaciones sobre las que no se tiene control. Luego, se selecciona el conjunto de estrategias que se desea adoptar. Cada una de las estrategias implica adoptar determinados riesgos que serán diferentes en función de las situaciones externas que finalmente se presenten. Las celdas, por tanto, suponen el análisis concreto de las consecuencias sobre la estrategia correspondiente de la situación del contexto externo. En el caso de una decisión con certeza, independientemente de la situación que finalmente ocurra, existirá una estrategia dominante que 33 producirá mayores ganancias (o menores pérdidas) que cualquier otra. En este caso, todos los contextos tienen la misma probabilidad de ocurrencia. No obstante, en la pericia no hay una táctica dominante para todos los contextos puesto que la decisión se producirá con información parcial. Generalmente, los mayores beneficios se producen cuando los riesgos son más altos y las pérdidas más probables. Normalmente, cada contexto podrá causarse con una estipulada probabilidad cuya estimación deberá estar al tanto de la manera más clara posible, si bien estas estimaciones son difíciles de obtener. 2.3.2. AMENAZA TECNOLÓGICA De acuerdo con el Modulo de Capacitación – Desastre y Emergencias Tecnológicas (2006), la amenaza tecnológica se define por la presencia de un factor que pone en peligro al hombre, sus obras y su medio ambiente, por la posibilidad de que se generen accidentes tecnológicos. La amenaza tecnológica está determinada por otras variables como son: La historia de los eventos sucedidos en la zona en cuestión, la fuente de riesgo, las condiciones de seguridad en que funciona el sistema que posee la amenaza, el grado de interacción de la amenaza con los sistemas amenazados. Para un mejor entendimiento del concepto de amenaza tecnológica, se pueden diferenciar en dos tipos que son: 34 Antrópico – contaminante origina por el vertido de materiales y productos peligrosos en ríos, quebradas y acequias así como la contaminación de mantos acuíferos por el uso indiscriminado de sustancias químicas peligrosas. Antrópico – tecnológicos se derivan de la existencia y manejo inadecuado de instalaciones industriales complejas y actividades que puedan generar factores de inseguridad a la población. 2.3.2.1. AGENTES CONSIDERADOS AMENAZAS TECNOLÓGICAS Los tipos de agentes de amenazas tecnológicas, están constituido por agentes Químicos, físicos y biológicos. • Químicos: Por la presencia de materiales y productos tóxicos o peligrosos. Por lo general este tipo de riesgo esta presente en: bodegas y planteles de almacenamiento, procesos industriales complejos, gasolineras, transporte de materiales peligrosos en vehículos, laboratorios de investigación, manipulación de gases licuados, derrames de sustancias, escape de vapores, nieblas, humos y gases de naturaleza tóxica. • Biológicos: Los riesgos biológicos se manifiestan por la presencia de microorganismos patógenos tales como: virus, bacterias, hongos, entre otros. Están presentes en las industrias: cerámicas, cuero, alimentaria, bodega de almacenamiento, laboratorios de investigación. 35 • Riesgos Físicos: Se presentan en el ambiente como: Ruido y Vibraciones, Temperaturas extremas (Altas, bajas); sobreexposición a radiaciones electromagnéticas del tipo ionizante (rayos X, Gamma), radiaciones cósmicas (alfa, beta=. Por lo general este tipo de riesgos se manifiestan en: Cámara de Esterilización, Procesos Industriales Complejos, Áreas de Calderas. Recipientes a presión. 2.4. GERENCIA DE RIESGOS De acuerdo a la publicación emitida por la Comisión Nacional de Prevención de riesgos y Atención de Emergencias de Costa Rica (2006) toda gestión económica conduce a la obtención de riesgos, es decir la posibilidad de pérdidas o daños, los diferentes actores de un proceso económico tienen la potencialidad de causar daños a través de los fenómenos llamados accidentes. Asimismo, los accidentes son multi causales y estos se clasifican en inmediatos, mediatos y básicos, los cuales determinan la posible ocurrencia del evento. Mediante el análisis y control de causas identificadas, es posible estimar la probabilidad de que un evento se presente y estimar la magnitud de los daños que ocasiones. En tal sentido, como el riesgo se considera una falta de conocimientos, sobre futuros acontecimientos, se puede definir como el efecto acumulativo 36 que estos acontecimientos adversos podrían tener sobre los objetivos de la actividad planificada. Según Hidalgo (2002), para que un riesgo pueda considerarse gestionable y, por tanto, susceptible de considerarse dentro de los procesos de gestión de la tecnología en una organización, es necesaria la existencia simultánea de los siguientes tres componentes: • Pérdidas asociadas con el riesgo identificado. Se refiere a la existencia de efectos negativos resultantes de que el riesgo se concrete durante el desarrollo de la actuación contemplada. Generalmente estas pérdidas se pueden hacer corresponder con una valoración económica, aunque hay casos en los que eso no se produce así, como es el caso de pérdidas de vidas humanas o de desastres medioambientales (en nuestro caso derivado del uso incorrecto o desproporcionado de la tecnología). • Incertidumbre asociada. Es la probabilidad, pero no certidumbre, de que el riesgo identificado ocurra efectivamente y el momento temporal en el que eso pueda suceder. Hay que tener en cuenta que esta condición implica que al riesgo debe poder asociársele una probabilidad de ocurrencia a lo largo del tiempo. • Elección entre alternativas. Posibles actuaciones que mitiguen los efectos del acontecimiento indeseable. Si no existe elección por parte del gestor no existe riesgo, aunque sí puedan existir pérdidas. Estas alternativas permiten al gestor actuar para reducir su aparición, las pérdidas ocasionadas o ambas. 37 No todos los riesgos que ocasionan fuertes pérdidas son gestionables en el sentido indicado. Es, precisamente, la conjunciónsimultánea de los tres componentes mencionados lo que permite su gestión. 2.4.1. CARACTERIZACIÓN DE RIESGOS De acuerdo con Hidalgo (2002), no todos los riesgos tienen la misma importancia. De entre todos los factores que permitirían caracterizar un riesgo, dos de ellos, el impacto y la probabilidad de ocurrencia, son los que tienen mayor importancia para el gestor. Debido a ello, la gestión de riesgos debe comenzar con la situación relativa de todos los riesgos identificados en un mapa bidimensional de impactos y probabilidades. Sobre este mapa se pueden tomar decisiones relativas a los riesgos en los que se debe prestar mayor atención. En tal sentido, se puede decir que la existencia de un riesgo con una probabilidad muy baja puede despreciarse a pesar de que su impacto sea muy alto. En otros casos, la probabilidad muy alta puede verse compensada porque el efecto sea muy pequeño. La importancia relativa depende de la consideración simultánea de ambos factores. Así mismo, en la figura 7 representa una situación en la que existen cuatro riesgos claramente diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos tiene una determinada probabilidad de ocurrencia y un impacto previsible. Estos valores pueden ser en la práctica muy diferentes y, en función de ello, 38 el gestor puede concentrarse en todos ellos o en un número limitado de los mismos. En la realidad, conocer exactamente la probabilidad y el impacto de todos los riesgos posibles es muy difícil. Generalmente, sólo se dispone de estimaciones para ambas variables cuya precisión es también muy diferente en función del riesgo considerado. En la figura 7 se puede observar cómo el margen (la nube de incertidumbre) asociada a cada riesgo puede ser mayor o menor. Figura 6. Relación entre probabilidades e impactos. Fuente: Hidalgo (2002) Las opciones posibles del gestor se han representado mediante el establecimiento de dos límites distintos. Con el límite 1, el riesgo Rl no sería considerado. Si se decide incrementar el límite, únicamente el riesgo Rj debería gestionarse. Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades 39 están en un rango amplio, la decisión que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o tolerancia frente al riesgo. Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera que tanto los efectos como las probabilidades están en un rango amplio, la decisión que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o tolerancia frente al riesgo. Siguiendo con el ejemplo de la matriz de efectos, supóngase que las previsiones del mercado no son tan claras. Dicho de otro modo, los estados no controlados no permiten calcular adecuadamente probabilidades. Si se recalculan los valores con máximos y mínimos, posiblemente los valores esperados se situarían en márgenes que se solaparían. La consecuencia es una dificultad mucho mayor para la toma de decisiones. 2.4.2. ZONAS DE RIESGOS De acuerdo con la Biblioteca Virtual en Salud y Desastres de Guatemala (2003), el riesgo se incrementa proporcionalmente al aumentar los elementos afectables inciertos dentro de una zona de amenaza. Asimismo, al existir mayor población o bienes susceptibles de daño en una zona determinada, la vulnerabilidad es mayor y en consecuencia el riesgo 40 aumenta. Y cuanto más frágiles o inhabilitados para hacer frente el hecho sea las personas y los bienes allí encontrados, son efectivamente más vulnerables y representan no sólo por su cantidad sino por sus características, mayor riesgo. Por lo tanto, la zona de riesgo se determina al definir dentro del área de amenaza establecida, la presencia de infraestructura, viviendas, población o bienes. 2.4.3. EVALUACIÓN DE RIESGOS La comisión Nacional Costa Rica (2003) considera que es importante conocer y definir la presencia de elementos o agentes que en condiciones desfavorables se consideran un peligro. La evaluación consiste en tres etapas: • Identificación y análisis de las fuentes de riesgo. • Identificación y análisis de áreas vulnerables. • Interpretación. En otras palabras, se observa el lugar de trabajo, tanto interna como externamente con la finalidad de determinar las fuentes de riesgos y vulnerabilidad. Para ellos, se puede diseñar un formulario que oriente lo que se busca y facilite su interpretación. El análisis de los elementos identificados, en ocasiones es errado por no contar con el equipo necesario para medir la posible alteración y la imparcialidad que se produzca sobre el riesgo medido, puede afectar 41 significativamente la interpretación, que es básica para la implementación de medidas preventivas, correctivas y de protección. De acuerdo con Casas (2005), la evaluación de riesgos es utilizada para identificar, medir y priorizar riesgos con el fin de que el mayor esfuerzo sea realizado para identificar las áreas auditables de mayor relevancia. Sin embargo Ayala (2002), plantea que una vez calculado el riesgo, se procede a su evaluación. El objeto de la Evaluación es, aplicando criterios para determinar si el riesgo es aceptable o no. Si el riesgo es aceptable, no es necesario proceder a su reducción, entrándose en la fase siguiente, el Análisis para la Reducción de Riesgo. Asimismo, la aceptabilidad del Riesgo debe determinarse de forma separada para el Riesgo humano y para el económico. La primera aproximación al problema de la aceptabilidad del Riesgo humano partió de la búsqueda de Probabilidades Anuales de Excedencia para diversos fenómenos naturales 2.5. ANÁLISIS DE RIESGO Para Castañeda (2011), en su trabajo Análisis de Riesgo , plantea que en un medio informático existen una serie de recursos que pueden ser humanos, técnicos, de infraestructura, entre otros, que están expuestos a diferentes tipos de riesgos: catalogados como normales aquellos comunes a cualquier entorno, y excepcionales, originados por situaciones precisas que 42 afectan o pueden afectar a parte de una organización o a toda la misma, como la inseguridad política en un país o una región sensible a terremotos. Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que se denomina un análisis de riesgos. Cabe mencionar que en la práctica existen dos inmediaciones una cuantitativa y otra cualitativa. La primera de ellas es la menos usada, ya que en muchos casos implica cálculos complejos o datos difíciles de estimar. Se basa en dos parámetros fundamentales: la probabilidad de que un suceso ocurra y una estimación del coste o las pérdidas en caso de que así sea; el producto de ambos términos es lo que se denomina coste anual estimado, y aunque teóricamente es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en función de estos datos, en la práctica la inexactitud en la estimación o en el cálculo de parámetros hace difícil y poco realista esta aproximación. El segundo método de análisis de riesgos es el cualitativo, de uso muy publicado en la actualidad especialmente entre las nuevas consultoras de seguridad (aquellas más especializadas en seguridad lógica, cortafuegos, tests de penetración y similares). Es mucho más sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimación de pérdidas potenciales. En España es interesante la metodología de análisis de riesgos desarrollados desde el Consejo Superior de Informática (Ministerio de 43 Administraciones Públicas) y se denomina MAGERIT (Metodología de Análisisy Gestión de Riesgos de los sistemas de Información de las Administraciones públicas)); se trata de un método formal para realizar un análisis de riesgos y recomendar los controles necesarios para su minimización. Este programa MAGERIT se basa en una aproximación cualitativa que intenta cubrir un amplio espectro de usuarios genéricos gracias a un enfoque orientado a la adaptación del mecanismo dentro de diferentes entornos, generalmente con necesidades de seguridad y nivel de sensibilidad también diferentes. Los términos cuantificación o dimensionamiento del riesgo y análisis de riesgo suelen utilizarse indistintamente en el argot popular. No obstante, en el ámbito técnico el término análisis de riesgo es un proceso que comprenden tres fases (Ver figura 8); estas etapas son: Fase 1: Denominada tradicionalmente cuantificación del riesgo orientada a la estimación de las probabilidades de ocurrencias de los eventos indeseados y sus correspondientes consecuencias, denominado dimensionamiento del riesgo, ya que en algunos casos se pueden cualificar y no necesariamente cuantificar el riesgo. En todo caso el término dimensionar contiene ambos verbos: cualificar y cuantificar. 44 Figura 7. Análisis de Riesgo Fase 2: Denominada gerencia del riesgo, está orientada a evaluar la tolerabilidad a los niveles del riesgo previamente dimensionados bajo un contexto social, humano, político y económico. Fase 3: Conocida como comunicación del riesgo donde se evalúan los diferentes mecanismos para explicar y difundir las estimaciones y decisiones tornadas en las etapas anteriores al resto de los actores involucrados y/o afectados por los eventos bajo estudio. 2.5.1. PROCESO DE ADMINISTRACIÓN DEL RIESGO Según Sena (2004), el proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersas las Dimensionamie nto del Riesgo Gerencia del Riesgo Comunicación del Riesgo 45 organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (recomendable luego de fijar los objetivos), tal como se muestra en la figura 9, determinando un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización. Figura 8. Proceso de administración del Riesgo. Fuente: Sena (2004) 46 Cuadro N° 1 Cuadro de Operacionalización de la Variable Objetivo General: Establecer un plan para la minimización de los riesgos tecnológicos en el sistema de control de combustible fronterizo (SISCCOMBF) implementado por PDVSA-MENPET en las Estaciones de Servicio del municipio Mara. Objetivos Variable Dimensiones Indicadores Sub indicadores 1. Identificar los riesgos tecnológicos en el sistema de control de combustible fronterizo (SISCCOMBF) implementado por PDVSA-MENPET en las estaciones de servicio del municipio Mara. Riesgos Tecnológicos Principios de Riesgo Tecnológico • Origen. • Transferencia de tecnología. • Dificultades organización receptora. • Tecnología empleada en su desarrollo. • Contexto externo a la organización. • Mercado y su evolución. • Amenazas Tecnológicas • Agentes Químicos. • Agentes Biológicos. • Agentes Físicos. • Identificación de Riesgo • Tamaño del producto. • Impacto en el negocio. • Características del cliente. • Definición del proceso. • Entorno de desarrollo. • Tecnología a construir. • Tamaño y experiencia. 47 2. Estimar el riesgo tecnológico en el sistema de control de combustible fronterizo (SISCCOMBF) Estimación de Riesgo • Gerencia de Riesgo • Pérdidas asociadas con el riesgo identificado. • Incertidumbre asociada. • Elección entre alternativas. Elaboración Propia (2012)
Compartir