cap02

Vista previa del material en texto

12 
12 
CAPITULO II 
ETAPA DE ABORDAJE TEÓRICO 
En este capítulo se refleja la revisión bibliográfica y los antecedentes 
examinados para fundamentar de forma teórica la presente investigación, 
donde se explican aspectos relacionados con riesgos tecnológicos. 
De igual forma, se establecen las necesidades de información a efecto de 
estructurar los contenidos y los requerimientos de investigación para la 
gestión de proyectos de tecnologías de información y comunicación. 
1. ANTECEDENTES 
Durante las revisiones de las diferentes investigaciones y estudios 
enfocadas a la elaboración de metodologías y modelos con el objetivo de 
establecer un plan para la minimización de los riesgos tecnológicos, como 
parámetro para la toma de decisiones, se recopiló información de gran 
utilidad para los fines de la presente investigación, con el propósito de 
obtener opiniones y enfoques relevantes para la solución del problema 
planteado. 
Sánchez (2010), en la investigación Riesgo Tecnológico en la selección 
de equipos para la medición eléctrico en las organizaciones pertenecientes a 
la Corporación Eléctrica, específicamente en la zona Occidental – 
Venezuela, a través de la técnica de recolección de datos bajo el esquema 
13 
 
de observación directa, obtuvo como resultado que la empresa objeto de 
estudio no posee aplicaciones de seguridad implantadas para minimizar 
cualquier riesgo que se pueda presentar en la empresa eléctrica que debe 
ser atacado, recomendando combatir los riesgos desde su origen, tomar en 
cuenta la evolución de la técnica y adoptar las medidas en la selección de los 
equipos. 
La investigación hace hincapié como aporte a esta investigación en los 
riesgos tecnológicos considerando tanto los factores internos como los 
externos, donde se analizan varios métodos para prevenirlos o mitigarlos. 
Del mismo modo, hace mención de la reglamentación existente 
proporcionando los lineamientos para conseguir optimizar el desempeño y 
mejorar la gestión del mismo. 
En tal sentido, Carrillo (2010), a través del trabajo Riesgo Tecnológico en 
la utilización de las tecnologías de información y comunicación en las 
instituciones de educación superior, como lo son Universidad Dr. Rafael 
Belloso Chacin, Universidad José Gregorio Hernández e Instituto 
Universitario Politécnico Santiago Mariño; siendo un estudio de tipo 
descriptivo con un diseño no experimental, concluye que es necesario la 
elaboración de planes de mitigación de riesgos tecnológicos, que permitan 
dar respuestas eficaces y controladas en las instituciones de educación 
superior, sector privado, en el municipio Maracaibo, por lo tanto se 
establecieron lineamientos teóricos que permitan identificar y cuantificar los 
14 
 
riesgos tecnológicos; así como desarrollar, seleccionar y gestionar 
alternativas para manejarlos. El aporte de dicha investigación se basa sobre 
el comportamiento de la variable Riesgo Tecnológico, ya que se determina la 
realidad que presenta. 
Del mismo modo, se consideró lo planteado por Soto (2009) en su 
investigación signada con el título de Riesgo tecnológico en el complejo 
carbonífero el Cerrejon, donde se identificaron los riesgos asociados al 
contexto externo en dicho complejo, además se describieron los riesgos 
asociados al recurso humano en el Complejo Carbonífero el Cerrejón en el 
Departamento de la Guajira, lo que permitió formular lineamientos teóricos 
para optimizar la gestión del riesgo tecnológico en el Complejo. 
En tal sentido, dicha investigación valora orígenes diversos derivados del 
proceso de adquisición y transferencia de la tecnología, uso de la tecnología, 
obsolencia de las tecnologías y derivadas del contexto externo de la 
organización como contribución a esta investigación. 
2. REVISIÓN DE ASPECTOS TEÓRICOS 
2.1. SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO 
(SISCCOMBF) 
De acuerdo con el informe emitido por la Gerencia de Automatización, 
Información y Tecnología (AIT) de la Empresa Petróleos de Venezuela 
(PDVSA), el Proyecto Sistema de Control de Combustible Fronterizo tiene 
15 
 
como objetivo principal el desarrollo de una plataforma tecnológica integrada 
para el control de Combustibles líquidos (plantas de distribución, y 
transporte) que permita el balance volumétrico y financiero de los mismos, 
logrando así un eficiente uso de la Política Energética del estado en el 
ámbito nacional. A continuación se menciona el alcance global del proyecto. 
2.1.1. ALCANCE GLOBAL DEL PROYECTO SISTEMA DE CONTROL DE 
COMBUSTIBLE FRONTERIZO 
El proyecto tiene como alcance la creación de un Sistema Automatizado 
de Control de Combustibles en los Estados fronterizos, que permita la 
gestión del consumo de combustibles a nivel regional. El proyecto contempla 
las estaciones de servicio de los estados fronterizos Táchira y el estado 
Zulia. Sobre esta base, en la figura 1, se muestra la arquitectura de 
solución global del proyecto SISCCOMBF, la cual consiste en: 
La figura 1, engloba los distintos sub sistemas, como lo son Sistema de 
Control de Combustible Fronterizo Central y Regional, Sistema Automatizado 
de las Estaciones de Servicio, Sistema de Gestión que serán detallados a 
continuación: 
 
16 
 
 
Figura 1. Arquitectura proyecto SISCCOMBF. Fuente: PDVSA AIT. 
 2.1.1.1 SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO 
CENTRAL (SCCFC) 
Será el encargado del monitoreo con todos los centros regionales, con el 
objeto de obtener la información de consumo y control de los despachos en 
las estaciones de servicio pertenecientes a los diferentes estados fronterizos 
tal como se indica en la siguiente figura: 
 
Figura 2. Sistema de Control de Combustible Fronterizo Central. Fuente: 
PDVSA AIT 
17 
 
2.1.1.2. SISTEMA DE CONTROL DE COMBUSTIBLE FRONTERIZO 
 REGIONAL (SCCFR) 
Este sistema, prevé un modulo Web Server que a través de “HTML 
Protocol” realizara el enlace con el Sistema de Control Combustible 
Fronterizo Regional (SCCFR), dicho sistema será el encargado del monitoreo 
de las diferentes estaciones de servicio en los diferentes estados fronterizos, 
comenzando con el Estado Táchira y Zulia. 
2.1.1.3. SISTEMA AUTOMATIZADO DE LAS ESTACIONES DE SERVICIO 
(SAES) 
Este sistema consiste en un conjunto de tres soluciones las cuales se 
nombran a continuación: Sistema de identificación de vehículos, Sistema de 
automatización y Control de la Estación de Servicio (Equipo de Control del 
Surtidor (ECS) y Sistema de Gestión). 
Asimismo el sistema automatizado está compuesto por un computador 
local y la aplicación de gestión Web bajo un Sistema Operativo Open Source, 
que permitirá administrar los datos comerciales y técnicos de la E/S; y a su 
vez, a través de un Web Server se establece la interconexión con el Sistema 
de Control combustible Fronterizo Regional (SCCFR) y de esta manera 
permitir el intercambio de información entre ambos sistemas dando un tiempo 
estimado entre cada transacción de 10 minutos, ver figura No.3. 
 
En tal sentido, este método está compuesto por: 
18 
 
• Equipo de Control del Surtidor (ECS). Este equipo supervisará y 
controlará el suministro de combustible de acuerdo a las señales recibidas 
de: 
• Lector de tarjeta magnética 
• Lector retráctil RFID. 
• Teclado y pantalla. 
De esta manera, una vez obtenido el código de identificación de ambos 
elementos de entrada, éstos son comparados con la Base de Datos de la 
Tarjeta de Control de Surtidor y si la dupla vehículo - usuario están 
autorizados, se activa la secuencia de suministro de combustible. En caso 
contrario deberá existir una indicación luminosa que le advierta al usuario 
que no está autorizado para el llenado de combustible, al mismo tiempo en la 
pantalla existente se le indicará el motivo. 
 
 
 
 
 
 
Figura 3. Dispositivo asociado a la tarjeta de Control. Fuente: PDVSA AIT 
19 
 
El equipo concentrador de datos tendrácomo función primordial ser el 
elemento de almacenamiento de las transacciones realizadas en los 
surtidores y de la información del nivel de combustible en los tanques. Será 
un equipo robusto, de tipo industrial al cual no tendrán acceso físicamente 
los trabajadores de la Estación de Servicio. Tendrá capacidad para 
almacenar al menos quince (15) días de transacciones en su memoria 
interna, la cual podrá ser bajada sólo por personal autorizado. 
Otra de sus funciones será descargar a las tarjetas de Control de 
Procesos, las decisiones de control de suministro que se tomen en el CNC 
(detener el suministro de combustible, suspender el suministro a determinado 
vehículo, suministrar hasta determinada hora, suministrar sólo una cantidad 
de litros por vehículo, entre otros. Adicionalmente, poseerá capacidad de 
expansión para nuevas funcionalidades e implementación de aplicaciones 
especiales para uso en futuras ampliaciones del sistema. 
2.1.1.4. SISTEMA DE GESTIÓN 
El sistema de gestión, está compuesto por un computador local y la 
aplicación de gestión Web bajo un Sistema Operativo Open Source, que 
permitirá administrar los datos comerciales y técnicos de la E/S y a su vez a 
través de un Web Server poder interconectarse con el Sistema de Control 
combustible Fronterizo Regional (SCCFR) y permitir el intercambio de 
20 
 
información entre ambos sistemas dando un tiempo estimado entre cada 
transacción de 10 minutos, ver figura No.4. 
La mencionada transacción, contendrá la identificación de vehículo y 
conductor, los permisos de suministro otorgada por SCCFC, con posibilidad 
de datos adicionales de carga de combustible (tipo combustible, litros, fecha 
y hora de última carga). A nivel regional existirá una copia de la información 
perteneciente a la región o Estado de modo de sectorizar y descargar la 
cantidad de procesamientos del SCCFC, el cual es denominado SCCFR. 
Por otro lado, en cada uno de los Sistemas Automatizados de Estaciones 
de Servicio SAES, existirá un equipo servidor del sistema de Gestión, el cual 
ofrece la posibilidad de en caso de contingencia albergar una copia de la 
base de datos del sistema permitiendo el expendio de combustible aun sin 
comunicación y logrando llevar el registro de transacciones realizadas en la 
Estación de Servicio. 
Adicionalmente, el computador (PC) en la oficina de la Estación de 
Servicio la cual se interconectará funcionalmente con el Concentrador de 
Datos, será el elemento de interfaz entre la estación y el SCCFC. En el PC 
se almacenará la base de datos de todas las transacciones al igual que en el 
concentrador de datos y permitirá al operador de la estación visualizar las 
transacciones comerciales efectuadas en los surtidores y el nivel de los 
tanques de combustible. 
21 
 
El cableado entre tarjetas de control y el concentrador de datos será del 
tipo FTP, al igual que entre el router y el computador y entre este y el 
conmutador de datos, para lo cual se deberá realizar un cableado de red 
Lan. Como se observa en la figura No.4. 
 
 
 
Figura 4. Sistema de Gestión. Fuente: PDVSA AIT 
2.2. RIESGO 
De acuerdo con Yáñez (2004), el riesgo es un término de naturaleza 
probabilística, que se define como egresos o pérdidas probables 
consecuencia de la ocurrencia de un evento no deseado o falla. En este 
simple pero poderoso concepto coexiste la posibilidad de que un evento o 
aseveración se haga realidad o se satisfaga, con las consecuencias de que 
ellos ocurran. 
Entre las principales definiciones de riesgo se pueden resaltar las del 
Project Management Institute (Duncan, 1996): 
22 
 
• La gestión de riesgos es el proceso por el que los factores de riesgo se 
identifican sistemáticamente y se evalúan sus propiedades. 
• La gestión de riesgos es una metodología sistemática y formal que se 
concentra en identificar y controlar áreas de eventos que tienen la capacidad 
de provocar un cambio no deseado. 
• La gestión de riesgos, en el contexto de un proyecto, es el arte y ciencia 
de identificar, analizar y responder a los factores de riesgo a lo largo de la 
vida del proyecto y en el mejor cumplimiento de sus objetivos. 
En tal sentido Sena (2004), plantea que se deben comprender 
adecuadamente elementos para entender integralmente el concepto de 
riesgo. Estos elementos son: probabilidad, amenazas, vulnerabilidad, activos 
e impactos. 
Probabilidad: Establecer la probabilidad de ocurrencia puede realizarse de 
manera cuantitativa o cualitativa, pero siempre considerando que la medida 
no debe contemplar la existencia de ninguna acción paliativa, o sea, debe 
considerarse en cada caso qué posibilidades existen que la amenaza se 
presente independientemente del hecho que sea o no contrarrestada. 
Amenazas: Las amenazas siempre existen y son aquellas acciones que 
pueden ocasionar consecuencias negativas en la operativa de la empresa. 
Comúnmente se indican como amenazas a las fallas, a los ingresos no 
autorizados, a los virus, uso inadecuado de software, los desastres 
23 
 
ambientales como terremotos o inundaciones, accesos no autorizados, 
facilidad de acceso a las instalaciones, entre otros. 
Vulnerabilidades: Son ciertas condiciones inherentes a los activos o 
presentes en su entorno que facilitan que las amenazas se materialicen 
llevando a esos activos a ser vulnerables. 
Mediante el uso de las debilidades existentes es que las amenazas logran 
materializarse, o sea, las amenazas siempre están presentes, pero sin la 
identificación de una vulnerabilidad no podrán ocasionar ningún impacto. 
Esta vulnerabilidad es de naturaleza variada. A modo de ejemplo se citan 
las siguientes: Falta de conocimiento del usuario, tecnología 
inadecuadamente probada (“testeada”), transmisión por redes públicas, entre 
otros. 
Una vulnerabilidad común es contar con antivirus no actualizado, la cual 
permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese 
actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no 
podría materializarse. 
Activos: Los activos a reconocer son aquellos relacionados con sistemas 
de información. Ejemplos típicos son los datos, el hardware, el software, 
servicios, documentos, edificios y recursos humanos. 
Impactos: Las consecuencias de la ocurrencia de las distintas amenazas 
son siempre negativas. Las pérdidas generadas pueden ser financieras, no 
financieras, de corto plazo o de largo plazo. 
24 
 
En consecuencia, se pueden establecer que las más comunes son: la 
pérdida directa de dinero, la pérdida de confianza, la reducción de la 
eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, 
son la pérdida de vidas humanas, afectación del medio ambiente, entre otros. 
De esta forma, matemáticamente el riesgo asociado a una decisión o 
evento viene dado por la expresión universal: 
R(t) = p(t) x c(t) 
Donde: 
R(t): Riesgo 
P(t): Probabilidad 
C(t) Consecuencias 
El riesgo se comporta como una balanza que permite ponderar la 
influencia de varias alternativas en términos de su impacto y probabilidad, 
orientando al analista en el proceso de toma de decisión. Sin embargo, 
dependiendo de la situación o escenario bajo estudio, la expresión de 
naturaleza universal anterior, puede asumir diferentes concepciones, como 
las mostradas a continuación: 
• En proceso cuyo desempeño depende de la operación de equipos y 
sistemas físicos, el riesgo puede definirse como: 
Riesgo(t) = Probabilidad de Falla(t) x Consecuencias 
Riesgo(t) = [1-confiabilidad C(t)] x Consecuencias 
25 
 
• En procesos cuyo desempeño puede ser seriamente afectado por la 
ocurrencia de eventos indeseados, el riesgo puede definirse como: 
Riesgo(t) = Probabilidad de ocurrencia Evento Ei(t)Xconsecuencias 
• En procesos de toma de decisiones, donde el beneficio a obtener 
depende en grado sumo de la veracidad del análisis y de la data evaluada, el 
riesgopuede definirse como: 
Riesgo(t)= Probabilidad de desacierto Di(t) x Consecuencias 
Normalmente, los procesos y sistemas bajo estudio son heterogéneos en 
naturaleza, y son muchos los escenarios que deben evaluarse para 
cuantificar apropiadamente el riesgo de un evento en particular. 
Al comparar cada una de estos conceptos se puede probar que aunque 
son de diferentes autores, todas apuntan a que el riesgo es la incertidumbre 
asociada con la posibilidad de que se produzca una pérdida económica. 
2.2.1. ESTIMACIÓN DE RIESGO 
De acuerdo con el Instituto de Defensa Civil de Perú (2006), la estimación 
del Riesgo en Defensa Civil, es el conjunto de acciones y métodos que se 
emplean en un estipulado centro poblado, a fin de recopilar información 
sobre la identificación de los peligros naturales y/o tecnológicos y el análisis 
de las condiciones de vulnerabilidad, para determinar o calcular el riesgo 
esperado (probabilidades de daños: pérdidas de vida e infraestructura). 
 
26 
 
Adicionalmente, como producto de dicho proceso, recomendar las 
medidas de prevención (de carácter estructural y no estructural) adecuadas, 
con la finalidad de mitigar o reducir los efectos de los desastres, ante la 
ocurrencia de un peligro o peligros previamente identificados. 
Fundado en la definición anterior, se estima el riesgo antes de que ocurra 
el desastre. En este caso se plantea un peligro hipotético basado 
principalmente, en su periodo de recurrencia. Además, se considera la 
estimación del riesgo en aquellos casos relacionados con la elaboración de 
un proyecto de desarrollo y de esa manera se proporciona un factor de 
seguridad a la inversión de un proyecto. 
También se evalúa el riesgo, después de ocurrido un desastre. La 
evaluación de daños, pérdidas y víctimas, se realiza en forma directa sin 
emplear la ecuación indicada. Con esto, se podrá cuantificar la gravedad y 
probabilidad del riesgo, siendo necesario realizar diversas pruebas, 
investigaciones y cálculos. 
De igual forma, la identificación del riesgo es definida por Pressman 
(2005), como un intento sistemático para especificar las amenazas al plan 
del proyecto (estimaciones, planificación temporal, carga de recursos, entre 
otros). Identificando los riesgos conocidos y predecibles, el gestor del 
proyecto da un paso adelante para evitarlos cuando sea posible y 
contratarlos cuando sea necesario. 
 
27 
 
Existen dos tipos diferenciados de riesgos para cada categoría riesgos 
genéricos y riesgos específicos del producto. Los riesgos genéricos son una 
amenaza potencial para todos los proyectos. Los riesgos específicos de 
producto solo los pueden identificar los que tienen una clara visión de la 
tecnología, el personal y el entorno especifico del proyecto en cuestión. Para 
identificar los riesgos específicos del producto, se examinan el plan del 
proyecto y la declaración del ámbito del producto y se desarrolla una 
respuesta a la siguiente pregunta: ¿Qué características especiales de este 
producto pueden estar amenazadas por nuestro plan del proyecto? 
Asimismo Pressman (2005) expresa que existe un método efectivo para 
identificar riesgos denominado: Lista de comprobación de elementos dicha 
lista de comprobación se puede utilizar para identificar los riesgos y se 
centra en un subconjunto conocido y predecible en las siguientes 
subcategorías genéricas: 
1. Tamaño del producto: riesgos asociados con el tamaño general del 
producto a construir o modificar. 
2. Impacto en el negocio: riesgos asociados con las limitaciones 
impuestas por la gestión o por el mercado. 
3. Características del cliente: riesgos asociados con la sofisticación del 
cliente y la habilidad del desarrollar para comunicarse con el cliente en los 
momentos oportunos. 
 
28 
 
4. Definición del proceso: riesgos asociados con el grado de definición 
del proceso del producto y su seguimiento por la organización de desarrollo. 
5. Entorno de desarrollo: riesgos asociados con el grado de definición del 
proceso del producto y seguimiento por la organización de desarrollo. 
6. Tecnología a construir: riesgos asociados con la complejidad del 
sistema a construir y la tecnología punta que contiene el sistema. 
7. Tamaño y experiencia de la plantilla: riesgos asociados con la 
experiencia técnica y de proyectos de los ingenieros del software que van a 
realizar el trabajo. 
2.3. RIESGOS TECNOLÓGICOS 
Según la Comisión Nacional de Prevención de Riesgos y Atención de 
Emergencias Costa Rica (2006), se define como la probabilidad de que un 
objeto, material o proceso peligroso, una sustancia tóxica o peligrosa o bien 
un fenómeno debido a la interacción de estas ocasione un número 
determinado de consecuencias a la salud, la economía, el medio ambiente y 
el desarrollo integral de un sistema. 
Para Hidalgo (2002), el riesgo tecnológico es la probabilidad de que 
existan consecuencias indeseables, o inconvenientes de un acontecimiento 
relacionado con el acceso o uso de la tecnología y cuya aparición no se 
puede determinar a priori. 
 
29 
 
Por otra parte, Bosque (2004) define el riesgo tecnológico, como la 
probabilidad de sufrir daños o pérdidas económicas, ambientales y humanas 
como consecuencia del funcionamiento deficiente o accidente de una 
tecnología aplicada en una actividad humana. 
Desde el punto de vista del autor, es indiscutible que el factor probabilidad 
este inmerso en la definición de Riesgo Tecnológico; Sin embargo la teoría 
de Hidalgo fundamenta este estudio ya que no limita la tecnología, y el 
impacto que genera hechos indeseables en la aplicación de la misma. 
2.3.1. PRINCIPIOS DE LOS RIESGOS DE CARÁCTER TECNOLÓGICO Y 
LA ADMISIÓN DE DECISIONES EN SU PRESENCIA 
En concordancia con Hidalgo (2002), los riesgos asociados a la tecnología 
desde su noción, desarrollo y utilización no sólo afectan a las organizaciones 
que la conciben durante el tiempo de su desarrollo. Los riesgos en un 
proyecto pueden tener orígenes diversos y entre las fuentes más típicas se 
encuentran las siguientes: 
• Derivadas del propio proceso de adquisición o transferencia de tecnología. 
Son causas internas derivadas de una planificación defectuosa o de la 
inadaptación de los recursos humanos implicados. 
• Derivadas de dificultades en la organización receptora. Son causas 
derivadas de la organización en la que la tecnología se va a utilizar y que 
afectan a su desarrollo o implantación. 
30 
 
• Derivadas de la tecnología empleada en su desarrollo. Como ejemplo, la 
inestabilidad de la tecnología empleada o la aparición de otras tecnologías 
alternativas que la hagan inútil o prematuramente obsoleta. 
• Derivadas del contexto externo a la organización. Como ejemplo, causas 
socioeconómicas o políticas que impidan el acceso a la tecnología o su 
mantenimiento posterior. 
• Derivadas del mercado y de la evolución de éste durante el desarrollo de 
las actuaciones tecnológicas consideradas. Como ejemplo, causas 
económicas y de penetración tecnológica muy diferentes de las previstas por 
acontecimientos no ligados a la tecnología en sí misma: una crisis económica 
global. 
Sin embargo estos principios de riesgos están relacionadas entre sí, como 
también lo están los riesgos precisos de un proyecto, por lo que su 
separación y análisis diferenciado será uno de los problemas y limitaciones a 
resolver por los gestores. 
Durante la actividad de una organización (por ejemplo, en la puesta en 
marcha de un Plan Tecnológico) se toman decisiones tecnológicas 
continuamente, tanto por el responsable como por el resto del equipo en 
función de sus responsabilidades respectivas. La toma de decisiones está, 
sin embargo, condicionada por la existencia de riesgos cuyos efectos y 
probabilidades pueden incrementarse por estas mismas decisiones. 
Cualquier decisión puede realizarse en tres condiciones diferentes: 
31 
 
• Con certidumbre.Se dispone de toda la información necesaria para 
predecir el resultado de la decisión. 
• Con incertidumbre. No se dispone de la información necesaria para tomar 
una decisión. Únicamente se puede emplear la experiencia previa y la 
intuición. 
• En presencia de riesgos. Sólo se dispone de información parcial, aunque 
los efectos de los acontecimientos pueden predecirse y su impacto está 
acotado. 
Del mismo modo Hidalgo (2002), indica que en el proceso de toma de 
decisiones relativo a la tecnología y ante un problema identificado relativo a 
la aparición de un riesgo previamente identificado, el gestor considera la 
situación actual de la organización y, teniendo en cuenta su experiencia en el 
tratamiento de situaciones parecidas, selecciona una posible alternativa entre 
las previamente analizadas y predefinidas. La selección de la alternativa más 
adecuada no siempre es sencilla de determinar puesto que ello depende de 
múltiples factores contradictorios que será necesario priorizar en función de 
la maximización de algunos parámetros. 
El efecto de determinadas opciones puede representarse mediante las 
denominadas matrices de efectos. La figura 6 describe una estructura 
genérica de matriz de efectos. Se han representado en filas las posibles 
opciones en manos del gestor, sus estrategias (S1, S2, S3), y en columnas 
un conjunto de acontecimientos sobre los que el gestor no tiene control 
32 
 
directo pero que influyen decisivamente en los resultados de sus decisiones 
(N1, N2,..., Nm). La selección de una alternativa en el caso de que se 
produzca uno de esos acontecimientos tiene consecuencias muy diferentes 
sobre la organización. 
 
 
 
 
 
 
Figura 5. Matriz de efectos. Fuente: Hidalgo (2002) 
 
Para construir una matriz de efectos se deben identificar las situaciones 
sobre las que no se tiene control. Luego, se selecciona el conjunto de 
estrategias que se desea adoptar. Cada una de las estrategias implica 
adoptar determinados riesgos que serán diferentes en función de las 
situaciones externas que finalmente se presenten. Las celdas, por tanto, 
suponen el análisis concreto de las consecuencias sobre la estrategia 
correspondiente de la situación del contexto externo. 
 
En el caso de una decisión con certeza, independientemente de la 
situación que finalmente ocurra, existirá una estrategia dominante que 
33 
 
producirá mayores ganancias (o menores pérdidas) que cualquier otra. En 
este caso, todos los contextos tienen la misma probabilidad de ocurrencia. 
No obstante, en la pericia no hay una táctica dominante para todos los 
contextos puesto que la decisión se producirá con información parcial. 
Generalmente, los mayores beneficios se producen cuando los riesgos son 
más altos y las pérdidas más probables. 
Normalmente, cada contexto podrá causarse con una estipulada 
probabilidad cuya estimación deberá estar al tanto de la manera más clara 
posible, si bien estas estimaciones son difíciles de obtener. 
2.3.2. AMENAZA TECNOLÓGICA 
De acuerdo con el Modulo de Capacitación – Desastre y Emergencias 
Tecnológicas (2006), la amenaza tecnológica se define por la presencia de 
un factor que pone en peligro al hombre, sus obras y su medio ambiente, por 
la posibilidad de que se generen accidentes tecnológicos. 
La amenaza tecnológica está determinada por otras variables como son: 
La historia de los eventos sucedidos en la zona en cuestión, la fuente de 
riesgo, las condiciones de seguridad en que funciona el sistema que posee la 
amenaza, el grado de interacción de la amenaza con los sistemas 
amenazados. 
Para un mejor entendimiento del concepto de amenaza tecnológica, se 
pueden diferenciar en dos tipos que son: 
34 
 
Antrópico – contaminante origina por el vertido de materiales y productos 
peligrosos en ríos, quebradas y acequias así como la contaminación de 
mantos acuíferos por el uso indiscriminado de sustancias químicas 
peligrosas. 
Antrópico – tecnológicos se derivan de la existencia y manejo inadecuado 
de instalaciones industriales complejas y actividades que puedan generar 
factores de inseguridad a la población. 
 
2.3.2.1. AGENTES CONSIDERADOS AMENAZAS TECNOLÓGICAS 
Los tipos de agentes de amenazas tecnológicas, están constituido por 
agentes Químicos, físicos y biológicos. 
• Químicos: Por la presencia de materiales y productos tóxicos o peligrosos. 
Por lo general este tipo de riesgo esta presente en: bodegas y planteles de 
almacenamiento, procesos industriales complejos, gasolineras, transporte de 
materiales peligrosos en vehículos, laboratorios de investigación, 
manipulación de gases licuados, derrames de sustancias, escape de 
vapores, nieblas, humos y gases de naturaleza tóxica. 
• Biológicos: Los riesgos biológicos se manifiestan por la presencia de 
microorganismos patógenos tales como: virus, bacterias, hongos, entre otros. 
Están presentes en las industrias: cerámicas, cuero, alimentaria, bodega de 
almacenamiento, laboratorios de investigación. 
35 
 
• Riesgos Físicos: Se presentan en el ambiente como: Ruido y Vibraciones, 
Temperaturas extremas (Altas, bajas); sobreexposición a radiaciones 
electromagnéticas del tipo ionizante (rayos X, Gamma), radiaciones cósmicas 
(alfa, beta=. Por lo general este tipo de riesgos se manifiestan en: Cámara de 
Esterilización, Procesos Industriales Complejos, Áreas de Calderas. 
Recipientes a presión. 
2.4. GERENCIA DE RIESGOS 
De acuerdo a la publicación emitida por la Comisión Nacional de 
Prevención de riesgos y Atención de Emergencias de Costa Rica (2006) toda 
gestión económica conduce a la obtención de riesgos, es decir la posibilidad 
de pérdidas o daños, los diferentes actores de un proceso económico tienen 
la potencialidad de causar daños a través de los fenómenos llamados 
accidentes. 
Asimismo, los accidentes son multi causales y estos se clasifican en 
inmediatos, mediatos y básicos, los cuales determinan la posible ocurrencia 
del evento. Mediante el análisis y control de causas identificadas, es posible 
estimar la probabilidad de que un evento se presente y estimar la magnitud 
de los daños que ocasiones. 
En tal sentido, como el riesgo se considera una falta de conocimientos, 
sobre futuros acontecimientos, se puede definir como el efecto acumulativo 
36 
 
que estos acontecimientos adversos podrían tener sobre los objetivos de la 
actividad planificada. 
Según Hidalgo (2002), para que un riesgo pueda considerarse gestionable 
y, por tanto, susceptible de considerarse dentro de los procesos de gestión 
de la tecnología en una organización, es necesaria la existencia simultánea 
de los siguientes tres componentes: 
• Pérdidas asociadas con el riesgo identificado. Se refiere a la existencia de 
efectos negativos resultantes de que el riesgo se concrete durante el 
desarrollo de la actuación contemplada. Generalmente estas pérdidas se 
pueden hacer corresponder con una valoración económica, aunque hay 
casos en los que eso no se produce así, como es el caso de pérdidas de 
vidas humanas o de desastres medioambientales (en nuestro caso derivado 
del uso incorrecto o desproporcionado de la tecnología). 
• Incertidumbre asociada. Es la probabilidad, pero no certidumbre, de que el 
riesgo identificado ocurra efectivamente y el momento temporal en el que eso 
pueda suceder. Hay que tener en cuenta que esta condición implica que al 
riesgo debe poder asociársele una probabilidad de ocurrencia a lo largo del 
tiempo. 
• Elección entre alternativas. Posibles actuaciones que mitiguen los efectos 
del acontecimiento indeseable. Si no existe elección por parte del gestor no 
existe riesgo, aunque sí puedan existir pérdidas. Estas alternativas permiten 
al gestor actuar para reducir su aparición, las pérdidas ocasionadas o ambas. 
37 
 
No todos los riesgos que ocasionan fuertes pérdidas son gestionables en 
el sentido indicado. Es, precisamente, la conjunciónsimultánea de los tres 
componentes mencionados lo que permite su gestión. 
2.4.1. CARACTERIZACIÓN DE RIESGOS 
De acuerdo con Hidalgo (2002), no todos los riesgos tienen la misma 
importancia. De entre todos los factores que permitirían caracterizar un 
riesgo, dos de ellos, el impacto y la probabilidad de ocurrencia, son los que 
tienen mayor importancia para el gestor. Debido a ello, la gestión de riesgos 
debe comenzar con la situación relativa de todos los riesgos identificados en 
un mapa bidimensional de impactos y probabilidades. Sobre este mapa se 
pueden tomar decisiones relativas a los riesgos en los que se debe prestar 
mayor atención. 
En tal sentido, se puede decir que la existencia de un riesgo con una 
probabilidad muy baja puede despreciarse a pesar de que su impacto sea 
muy alto. En otros casos, la probabilidad muy alta puede verse compensada 
porque el efecto sea muy pequeño. La importancia relativa depende de la 
consideración simultánea de ambos factores. 
Así mismo, en la figura 7 representa una situación en la que existen cuatro 
riesgos claramente diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos 
tiene una determinada probabilidad de ocurrencia y un impacto previsible. 
Estos valores pueden ser en la práctica muy diferentes y, en función de ello, 
38 
 
el gestor puede concentrarse en todos ellos o en un número limitado de los 
mismos. 
En la realidad, conocer exactamente la probabilidad y el impacto de todos 
los riesgos posibles es muy difícil. Generalmente, sólo se dispone de 
estimaciones para ambas variables cuya precisión es también muy diferente 
en función del riesgo considerado. En la figura 7 se puede observar cómo el 
margen (la nube de incertidumbre) asociada a cada riesgo puede ser mayor 
o menor. 
 
 
 
 
Figura 6. Relación entre probabilidades e impactos. Fuente: Hidalgo 
(2002) 
Las opciones posibles del gestor se han representado mediante el 
establecimiento de dos límites distintos. Con el límite 1, el riesgo Rl no sería 
considerado. Si se decide incrementar el límite, únicamente el riesgo Rj 
debería gestionarse. Si se aplica este caso a la matriz de efectos descrita 
anteriormente y se considera que tanto los efectos como las probabilidades 
39 
 
están en un rango amplio, la decisión que tiene que tomar el gestor se 
complica y ya no es tan evidente cual sería la estrategia más adecuada. En 
gran medida, dependerá del gestor y de su actitud o tolerancia frente al 
riesgo. 
Si se aplica este caso a la matriz de efectos descrita anteriormente y se 
considera que tanto los efectos como las probabilidades están en un rango 
amplio, la decisión que tiene que tomar el gestor se complica y ya no es tan 
evidente cual sería la estrategia más adecuada. En gran medida, dependerá 
del gestor y de su actitud o tolerancia frente al riesgo. 
Siguiendo con el ejemplo de la matriz de efectos, supóngase que las 
previsiones del mercado no son tan claras. Dicho de otro modo, los estados 
no controlados no permiten calcular adecuadamente probabilidades. Si se 
recalculan los valores con máximos y mínimos, posiblemente los valores 
esperados se situarían en márgenes que se solaparían. La consecuencia es 
una dificultad mucho mayor para la toma de decisiones. 
2.4.2. ZONAS DE RIESGOS 
De acuerdo con la Biblioteca Virtual en Salud y Desastres de Guatemala 
(2003), el riesgo se incrementa proporcionalmente al aumentar los elementos 
afectables inciertos dentro de una zona de amenaza. 
Asimismo, al existir mayor población o bienes susceptibles de daño en una 
zona determinada, la vulnerabilidad es mayor y en consecuencia el riesgo 
40 
 
aumenta. Y cuanto más frágiles o inhabilitados para hacer frente el hecho 
sea las personas y los bienes allí encontrados, son efectivamente más 
vulnerables y representan no sólo por su cantidad sino por sus 
características, mayor riesgo. 
Por lo tanto, la zona de riesgo se determina al definir dentro del área de 
amenaza establecida, la presencia de infraestructura, viviendas, población o 
bienes. 
2.4.3. EVALUACIÓN DE RIESGOS 
La comisión Nacional Costa Rica (2003) considera que es importante 
conocer y definir la presencia de elementos o agentes que en condiciones 
desfavorables se consideran un peligro. 
La evaluación consiste en tres etapas: 
• Identificación y análisis de las fuentes de riesgo. 
• Identificación y análisis de áreas vulnerables. 
• Interpretación. 
En otras palabras, se observa el lugar de trabajo, tanto interna como 
externamente con la finalidad de determinar las fuentes de riesgos y 
vulnerabilidad. Para ellos, se puede diseñar un formulario que oriente lo que 
se busca y facilite su interpretación. 
El análisis de los elementos identificados, en ocasiones es errado por no 
contar con el equipo necesario para medir la posible alteración y la 
imparcialidad que se produzca sobre el riesgo medido, puede afectar 
41 
 
significativamente la interpretación, que es básica para la implementación de 
medidas preventivas, correctivas y de protección. 
De acuerdo con Casas (2005), la evaluación de riesgos es utilizada para 
identificar, medir y priorizar riesgos con el fin de que el mayor esfuerzo sea 
realizado para identificar las áreas auditables de mayor relevancia. 
Sin embargo Ayala (2002), plantea que una vez calculado el riesgo, se 
procede a su evaluación. El objeto de la Evaluación es, aplicando criterios 
para determinar si el riesgo es aceptable o no. Si el riesgo es aceptable, no 
es necesario proceder a su reducción, entrándose en la fase siguiente, el 
Análisis para la Reducción de Riesgo. Asimismo, la aceptabilidad del Riesgo 
debe determinarse de forma separada para el Riesgo humano y para el 
económico. 
La primera aproximación al problema de la aceptabilidad del Riesgo 
humano partió de la búsqueda de Probabilidades Anuales de Excedencia 
para diversos fenómenos naturales 
2.5. ANÁLISIS DE RIESGO 
Para Castañeda (2011), en su trabajo Análisis de Riesgo , plantea que en 
un medio informático existen una serie de recursos que pueden ser 
humanos, técnicos, de infraestructura, entre otros, que están expuestos a 
diferentes tipos de riesgos: catalogados como normales aquellos comunes a 
cualquier entorno, y excepcionales, originados por situaciones precisas que 
42 
 
afectan o pueden afectar a parte de una organización o a toda la misma, 
como la inseguridad política en un país o una región sensible a terremotos. 
Para tratar de minimizar los efectos de un problema de seguridad se realiza 
lo que se denomina un análisis de riesgos. 
Cabe mencionar que en la práctica existen dos inmediaciones una 
cuantitativa y otra cualitativa. La primera de ellas es la menos usada, ya que 
en muchos casos implica cálculos complejos o datos difíciles de estimar. Se 
basa en dos parámetros fundamentales: la probabilidad de que un suceso 
ocurra y una estimación del coste o las pérdidas en caso de que así sea; el 
producto de ambos términos es lo que se denomina coste anual estimado, y 
aunque teóricamente es posible conocer el riesgo de cualquier evento (el 
EAC) y tomar decisiones en función de estos datos, en la práctica la 
inexactitud en la estimación o en el cálculo de parámetros hace difícil y poco 
realista esta aproximación. 
El segundo método de análisis de riesgos es el cualitativo, de uso muy 
publicado en la actualidad especialmente entre las nuevas consultoras de 
seguridad (aquellas más especializadas en seguridad lógica, cortafuegos, 
tests de penetración y similares). Es mucho más sencillo e intuitivo que el 
anterior, ya que ahora no entran en juego probabilidades exactas sino 
simplemente una estimación de pérdidas potenciales. 
En España es interesante la metodología de análisis de riesgos 
desarrollados desde el Consejo Superior de Informática (Ministerio de 
43 
 
Administraciones Públicas) y se denomina MAGERIT (Metodología de 
Análisisy Gestión de Riesgos de los sistemas de Información de las 
Administraciones públicas)); se trata de un método formal para realizar un 
análisis de riesgos y recomendar los controles necesarios para su 
minimización. 
Este programa MAGERIT se basa en una aproximación cualitativa que 
intenta cubrir un amplio espectro de usuarios genéricos gracias a un enfoque 
orientado a la adaptación del mecanismo dentro de diferentes entornos, 
generalmente con necesidades de seguridad y nivel de sensibilidad también 
diferentes. 
Los términos cuantificación o dimensionamiento del riesgo y análisis de 
riesgo suelen utilizarse indistintamente en el argot popular. No obstante, en 
el ámbito técnico el término análisis de riesgo es un proceso que 
comprenden tres fases (Ver figura 8); estas etapas son: 
Fase 1: Denominada tradicionalmente cuantificación del riesgo orientada a 
la estimación de las probabilidades de ocurrencias de los eventos 
indeseados y sus correspondientes consecuencias, denominado 
dimensionamiento del riesgo, ya que en algunos casos se pueden cualificar y 
no necesariamente cuantificar el riesgo. En todo caso el término dimensionar 
contiene ambos verbos: cualificar y cuantificar. 
 
 
44 
 
 
 
 
 
Figura 7. Análisis de Riesgo 
Fase 2: Denominada gerencia del riesgo, está orientada a evaluar la 
tolerabilidad a los niveles del riesgo previamente dimensionados bajo un 
contexto social, humano, político y económico. 
Fase 3: Conocida como comunicación del riesgo donde se evalúan los 
diferentes mecanismos para explicar y difundir las estimaciones y decisiones 
tornadas en las etapas anteriores al resto de los actores involucrados y/o 
afectados por los eventos bajo estudio. 
2.5.1. PROCESO DE ADMINISTRACIÓN DEL RIESGO 
Según Sena (2004), el proceso de administración de riesgos es un 
proceso continuo, dado que es necesario evaluar periódicamente si los 
riesgos identificados y la exposición a los mismos calculada en etapas 
anteriores se mantienen vigentes. La dinámica en la cual se ven inmersas las 
Dimensionamie
nto del Riesgo 
Gerencia del 
Riesgo 
Comunicación 
del Riesgo 
45 
 
organizaciones actualmente demanda este esfuerzo día a día. Es por eso 
que ante cada nuevo emprendimiento se realice en tempranas etapas 
(recomendable luego de fijar los objetivos), tal como se muestra en la figura 
9, determinando un análisis de riesgo del referido proyecto así como su 
impacto futuro en la estructura de riesgos de la organización. 
 
 
 
Figura 8. Proceso de administración del Riesgo. Fuente: Sena (2004) 
 
 
 
 
46 
 
Cuadro N° 1 
Cuadro de Operacionalización de la Variable 
Objetivo General: Establecer un plan para la minimización de los riesgos tecnológicos en el sistema de control 
de combustible fronterizo (SISCCOMBF) implementado por PDVSA-MENPET en las Estaciones de Servicio del 
municipio Mara. 
Objetivos Variable Dimensiones Indicadores Sub indicadores 
1. Identificar los 
riesgos tecnológicos en 
el sistema de control de 
combustible fronterizo 
(SISCCOMBF) 
implementado por 
PDVSA-MENPET en 
las estaciones de 
servicio del municipio 
Mara. 
 
 
 
 
Riesgos 
Tecnológicos 
 
 
 
Principios de 
Riesgo 
Tecnológico 
 
 
• Origen. • Transferencia de 
tecnología. 
• Dificultades organización 
receptora. 
• Tecnología empleada en 
su desarrollo. 
• Contexto externo a la 
organización. 
• Mercado y su evolución. 
• Amenazas 
Tecnológicas 
• Agentes Químicos. 
• Agentes Biológicos. 
• Agentes Físicos. 
 
• Identificación de 
Riesgo 
• Tamaño del producto. 
• Impacto en el negocio. 
• Características del 
cliente. 
• Definición del proceso. 
• Entorno de desarrollo. 
• Tecnología a construir. 
• Tamaño y experiencia. 
47 
 
2. Estimar el riesgo 
tecnológico en el 
sistema de control de 
combustible fronterizo 
(SISCCOMBF) 
 
Estimación de 
Riesgo 
• Gerencia de Riesgo • Pérdidas asociadas con 
el riesgo identificado. 
• Incertidumbre asociada. 
• Elección entre 
alternativas. 
Elaboración Propia (2012)