Riesgo: ¿Y si no existiera la muerte?

De
Nuestra vida, por muy exagerado que suene, está regida por los riesgos, cuyo riesgo principal podría ser la muerte o el sufrimiento, tanto así que te podría jurar que viviríamos de una forma totalmente diferente si ellos no existieran.

En las empresas sucede lo mismo, todo lo que se hace es con el fin de evitar su muerte ¿Y qué necesita una organización para vivir? ¡Ser rentable, producir!



El riesgo siempre está ahí presente, y constantemente, de forma consciente o inconsciente realizamos un análisis (eso espero, que no seamos autómatas) que nos permite tomar decisiones acertadas (algunas veces no tanto) para alcanzar nuestros objetivos.

Por mucho control que apliquemos, nunca haremos desaparecer un riesgo.


La evaluación de riesgo se puede hacer de muchas formas, y puede ser tan compleja como queramos. Cada uno puede valorar las cosas de manera diferente al analizar un riesgo, lo importante es que partamos por lo simple, por las cosas que podemos manejar.

Existen muchas fórmulas para valorar un riesgo y está dependerá de los factores que incluyamos en ella, como las siguientes que suelen estar presentes: la probabilidad, el impacto y los controles.

Cómo no podemos eliminar los riesgo, los tenemos que manejar a fin de contar con un nivel de confianza que nos permita trabajar adecuadamente. El riesgo que evaluamos inicialmente sin tomar en consideración los controles se denomina riesgo inherente, mientras que el riesgo resultante de la aplicación de medidas de mitigación (controles) es llamado riesgo residual.

El tratamiento del riesgo corresponde a aquella medida o combinación de medidas que decidamos tomar para contrarrestar las posibles consecuencias de su materialización, ya sea disminuyendo su probabilidad de ocurrencia o el impacto. El tratamiento que le demos a un riesgo dependerá mucho de la estrategia que queramos seguir y nuestro apetito al riesgo (tema para otro post).

TRATAMIENTO DEL RIESGO

Existen varias formas de tratar el riesgo y dependiendo del estándar al que nos apeguemos podremos encontrar diferentes nombres. A mí me gusta identificarlos de la siguiente manera:

Mitigar (Reducir - Reduce)

Está acción está asociada con la implementación de medidas que permitan evitar que se materialice una amenaza, disminuyendo la probabilidad o el impacto.

En el ejemplo que expuse en el post anterior se pueden identificar controles mitigantes como el uso de credenciales de acceso o herramienta de borrado remoto para un celular, que si bien no evitaría su perdida si complicaría la tarea de acceder a nuestra información (cuidados con esas fotos que se tomen). Dependiendo de la amenaza que estemos tratando reducimos la probabilidad de acceso a la información o el impacto del robo de nuestro equipo.

Resultado de imagen para riesgo

Tomando otro ejemplo, el de la imagen, podemos ver como el ratón usa un casco para protegerse ante la amenaza inminente que representa la trampa, no disminuye la probabilidad de que sea golpeado pero si el impacto del golpe (aunque lo más probable es que el pobre ratón muera, o por lo menos quede loco). El casco es un fiel ejemplo de un control que debería mitigar el riesgo, reducirlo, disminuirlo, ahora si el control es efectivo o no, es otro cuento.

La idea de minimizar un riesgo, es llevarlo a un nivel que lo podamos asumir y con el cual podamos trabajar.

Aceptar (Asumir - Accept)

La decisión de aceptar el riesgo, de no tratarlo o de no seguir tratándolo, suele responder a que el nivel de riesgo es tan bajo que no merece la pena tomar acciones al respecto. Además de este criterio de aceptación, suele existir otras razones para aceptar un riesgo:
  • La inversión para tratar el riesgo es mayor a la perdida por su materialización. Para qué voy a invertir 10.000 $ en un control si solo perdería 500 $, simplemente lo acepto (Al menos que exista una regulación que me exija hacerme cargo del riesgo). 
  • Estratégicamente hemos decidido ser arriesgado, los beneficios que podríamos llegar a percibir por exponernos a un riesgo es mayor a las perdidas (hay quienes hablan de riesgos positivos pero bajo nuestro contexto el riesgo es negativo). 
Algunas veces esa ganancia puede ser tan simple como la sensación de satisfacción, euforia, éxtasis o como la quieran llamar, que implicar tomar un riesgo, saltar ese precipicio y superar nuestro miedo.

Resultado de imagen para accept risk

Generalmente los riesgo se reducen, al menos que sea tan improbable o el impacto sea tan bajo que no represente algo significativo para nosotros (yo no saltaría sin protección).

Debemos recordad que nuestros recursos son limitado mientras que los riesgos puede ser infinitos, de ahí lo importante de tratar aquellos que verdaderamente son relevantes para nosotros, y estar en conocimiento de lo que estamos aceptando.

¿Y si evitamos corre un riesgo?

Evitar (Avoid)


Es importante aclarar que evitar no es eliminar, el riesgo siempre existirá. Si queremos saltar de un paracaídas y tenemos el riesgo de morir por esta actividad ¿qué podemos hacer para evitar este riesgo? Simple, no saltamos, con ello evitamos ese riesgo, pero el riesgo a la muerte sigue estando presente (podemos morir de cualquier otra forma).

El termino evitar en el contexto de tratamiento de riesgo está asociado a la no ejecución de la actividad que nos pone en riesgo, por lo que si no la realizamos no seríamos vulnerable a ello, o como vemos en la imagen, evitamos ese camino que invariablemente nos amenaza.

No todos los riesgos se pueden evitar, ya que existen actividades necesarias para alcanzar nuestro objetivo o seguir con el negocio. Si tenemos un blog <sarcasmo> fantástico </sarcasmo> como el de Seguridad ligera, y el riesgo que estamos analizando está asociado a un ataque informático, no daremos de baja a nuestra Web para evitarlo, pero si queremos evitar que dañen nuestra imagen por la inclusión de mensajes mal intencionados en el blog podemos desactivar los comentarios.

¿Ahora si no podemos mitigar, aceptar o evitar un riesgo, o simplemente queremos hacer algo para sentirnos más seguros (o menos inseguros), que otra cosas podemos hacer?

Transferir (Compartir - Transfer)

Aunque este se suele definir como un tratamiento más del riesgo, yo considero que es una forma más de mitigarlo. Para mi transferir o compartir un riesgo no es más que aplicar un control enfocado a la disminución del impacto.

Resultado de imagen para transfer risk

Los controles clásicos y que incluso expuse en el ejemplo del post anterior, es el uso de un seguro o la subcontratación (me gusta decirle tercerización, aunque la RAE no la reconoce) de la actividad que nos expone al riesgo. En ambos casos no reducimos la probabilidad de que un riesgo se materialice, sino su impacto, con la esperanza de que las consecuencias negativas no nos alcancen.

Cuando contratamos un seguro lo único que hacemos es disminuir el impacto económico, ya que cuando se materialice el evento recibiremos cierta cantidad de dinero a cambio. Por otro lado, cuando subcontratamos, el proveedor de servicio es quien se debe preocupar por el tratamiento del riesgo y nosotros respaldarnos en un buen contrato y supervisión (aquí nacen muchos procesos de auditoría) que nos de tranquilidad (ven que no nos podemos desentender).

Con esta opción hay que ser bien cautos, ya que al final si o si nosotros somos los responsables del riesgo y es muy probable que nos afecte (aunque sea en nuestra imagen, que de igual manera puede tener implicaciones económicas).

Hablando o mejor dicho escribiendo sobre todas estas formas de tratar los riesgos ¿tu como lo sueles tratar?

¿Si no existiera la muerte, cómo vivirías, estás viviendo o tratas de evitar el riesgo a toda costa?



Comentarios

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad...
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu...
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe...
Leer más