Un anlisis de riesgos es simplemente una cuidadosa examinacin de que si una tarea a realizar en el trabajo

podra causar dao lesin a los trabajadores, entonces poder analizar si se han tomado todas las precauciones
si es necesario realizar ms para prevenir accidentes.Los trabajadores y otras personas tienen el derecho a
ser protegidas contra una lesin causada por una falla tomando las medidas razonables de control. Los
accidentes y enfermedades profesionales pueden arruinar vidas y afectar seriamente su negocio si los
resultados son afectados, la maquinaria es daada, los costos de los seguros se incrementan o si usted es
demandado.
Como
realizar
Siguiendo
1
2
3
4
5

Decidir
Evaluar
registrar
revisar
su

un

anlisis
los

de

riesgos
5

en

su
pasos

lugar

Identificar
los
quien
puede
ser
daado
los
riesgos
y
decidir
las
sus
hallazgos
e
anlisis
y
poner
al
da
si

de

trabajo
siguientes:

peligros
como
precauciones
implementarlos
es
necesario
y

No hay que sobre complicar el proceso, en muchas organizaciones los riesgos son bien conocidos las
necesarias
medidas
de
control
son
fciles
de
aplicar.
Por ejemplo, usted probablemente ya conoce que si sus operadores mueven cargas pesadas por lo tanto
podran verse afectadas sus espaldas existe la probabilidad de resbalarse en su camino, entonces usted tiene
que
tomar
las
razonables
precauciones
para
evitar
estos
accidentes.
Cuando
piense
acerca
de
un
anlisis
de
riesgos
recuerde:
a- Un peligro es cualquier cosa que pueda causar dao, tales como, qumicos , elctricos, trabajos en alturas,
etc
b- El riesgo es la chance, alta baja de que alguien pueda ser daado a travs de este otros peligros, junto
con
una
indicacin
de
cuan
serio
este
dao
puede
ser.
Paso
Identificar

1
los

peligros

Inspeccione el lugar donde se desarrolla el trabajo y vea que podra esperarse de las tareas que pueda causar
dao
Hable con sus empleados sus representantes que es lo que ellos piensan, ellos podra tener advertido cosas
que
no
son
inmediatamente
obvias
para
usted
Investigue en las asociaciones locales de seguridad las guas practicas sobre donde los peligros ocurren y
como
controlarlos.
Revise las instrucciones de los fabricantes o las hojas de datos para qumicos y equipamientos en general.
Estas pueden ser muy tiles en detallar los peligros y poner a ellos en su correcta perspectiva
Revea sus registros de accidentes y de salud, ellos frecuentemente ayudan a identificar los peligros menos
obvios
Recuerde pensar en peligros y daos a la salud que pueden suceder a largo plazo ejemplo: altos niveles de
ruido,

exposicin
a
substancias
peligrosas
Paso
2
Decidir
que
podra
ser
daado
y
como
Para cada peligro usted necesita ser claro acerca de quien podra ser daado, esto le ayudar a identificar el
mejor
camino
para
manejar
el
riesgo
Recordar:
Algunos trabajadores tienen particulares requerimientos, ejemplo: trabajadores nuevos y jvenes, gente con
capacidades reducidas podran estar en particular riesgo. Esfuerzos extras sern necesarios para algunos
peligros
Personal de limpieza, visitantes, contratistas personal de mantenimiento etc.,quienes podran no estar en el
lugar
de
trabajo
todo
el
tiempo
Si usted comparte su lugar de trabajo, usted necesitar pensar acerca de cmo su trabajo afecta a otros

presentes, hable con su gente y pregunte a ellos si pueden decirle por alguno que usted haya olvidado.
Paso
3
Evaluar
los
riesgos
y
decidir
por
las
precauciones
Teniendo anotado los peligros, entonces se debe decidir que hacer acerca de ellos.
Las leyes requieren que usted haga todo lo razonablemente practicable para proteger a los trabajadores de los
peligros. Se puede trabajar con el anlisis solo, pero es aconsejable como mejor camino comparar los
resultados con similares mejores practicas. Estas se pueden consultar en los institutos asociaciones de
seguridad.
Entonces , luego de la comparacin sus resultados con las mejores prcticasvea si existen ms y mejores
cosas
que
hacer
para
llevar
su
trabajo
a
lo
estndar.
Pregntese
lo
siguiente:
Puedo
librarme
del
peligro
completamente?
Si no, como puedo controlar los riesgos para que el dao no sea probable?
Cuando
procedemos
a
controlar
los
riesgos
,
aplicar
los
siguientes
principios:
1 Intentar una opcin menos riesgosa (ejemplo: cambiar por un qumico menos riesgoso)
2
Prevenir
el
acceso
a
los
peligros
(ejemplo
colocando
protecciones)
3 Organizar el trabajo para reducir la exposicin al peligro (ejemplo poner vallas entre peatones y trfico)
4 Proveer de elementos de proteccin personal (anteojos de seguridad, zapatos de seguridad, protectores
auditivos
etc)
ver:
http://www.construsur.com.ar/Article266.html
ver:
http://www.construsur.com.ar/Article274.html
5 Providenciar elementos de primeros auxilios y limpieza (botiqun ,lava ojos ,duchas de emergencia etc)
Mejorar la salud y seguridad no necesita tener costos altos. Por ejemplo instalando un espejo en una esquina
peligrosa ayuda a prevenir un accidente vehicular. El costo es bajo considerando los riesgos
Involucre
a
todo
el
personal
en
estas
prcticas
Paso
4
Registre
sus
hallazgos
e
implemntelos
La puesta en prctica de los resultados de su anlisis de riesgo har la diferencia puesto que usted se est
ocupando
de
su
gente
y
su
negocio
Escriba
sus
hallazgos
y
comprtalo
con
el
personal
El anlisis no tiene que ser perfecto pero debe ser apropiado y suficiente
Es
necesario
mostrar
que:
1
Una
apropiada
revisin
se
ha
hecho
2
Se
investig
quienes
podran
verse
afectado
3 Se evaluaron todos los peligros significativos, teniendo en cuenta el nmero de personas que podran ser
involucradas
4
Las
precauciones
son
razonables
y
el
riesgo
remanente
es
bajo
5
Se
involucr
a
todo
el
personal
y/o
sus
representantes
en
el
proceso
Si se encontr que es necesario realizar muchas modificaciones y mejoras en las tareas no trate de hacerlas
de una vez, elabore un plan de accin con las cosas ms importantes primero.
Un buen plan de accin frecuentemente tiene una mezcla de diferentes cosas tales como:
1 Algunas tareas de bajo costo y fciles de implementar , quizs como una solucin temporaria hasta que una
ms
confiable
pueda
ser
realizada
2 Soluciones a largo plazo para aquellos riesgos con ms probabilidad de accidente y/o dao a la salud
3 Soluciones a largo plazo para aquellos riesgos que potencialmente tengan la peor consecuencia
4 Plan de capacitacin para empleados sobre los principales riesgos y como ellos pueden ser controlados
5 Verificaciones regulares para asegurarse que las medidas de control estn en el lugar
6
Responsabilidades
claras
de
quien
lidera
la
accin
y
cuando
Recuerde
de
priorizar
las
cosas
ms
importantes
primero

Paso
Revisar

el

anlisis

de

riesgos

realizar

una

actualizacin

si

es

5
necesaria

Pocos lugares de trabajo no se modifican con el tiempo, ms tarde ms temprano se traern nuevos
equipos, substancias y procedimientos que podran generar nuevos peligros, etc. Esto , hace necesario, por lo
tanto,
revisar
nuevamente.
Cada ao , formalmente se debe revisar donde est uno con el anlisis, para asegurarse la mejora continua.
Ha habido cambios? Hay alguna mejora que todava es necesario hacer? Tienen los trabajadores identificado
un
problema?
Tiene
usted
aprendido
todo
sobre
accidentes?
Estas son algunas preguntas que nos debemos hacer para asegurarnos que el anlisis de riesgo est
actualizado.
Cuando usted est trabajando, es muy fcil olvidarse de revisar el anlisis de riesgo, hasta que alguna cosa
sucede y es demasiado tarde. Entonces porque no hacer el anlisis ahora? Deje escrito que la revisin de los
riesgos
sea
un
evento
anual.
Durante el ao ,si hay un cambio significativo, entonces no esperar, chequear los riesgos y realizar los
ajustes
necesarios.
Si es posible , es mucho mejor realizar el anlisis de riesgo cuando se estn planeando los cambios y no
despus.

Un enfoque utilizado en seguridad de la informacin consiste en la aplicacin de controles de seguridad

como resultado de la evaluacin y tratamiento de riesgos. En esta publicacin vamos a revisar los
primeros cuatro pasos de OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability
Evaluation), una opcin para evaluar riesgos de seguridad en 8 pasos, desarrollada por SEI (Software
Engineering Institute) y con documentacin disponible de forma gratuita.
El uso de este y otros modelos similares es una forma preventiva de hacer frente a los riesgos que
continuamente se presentan, ya que tienen como objetivo anticiparse a la materializacin de amenazas
identificadas. Para este enfoque, el reto consiste en considerar todas aquellas amenazas que podran
afectar de manera negativa los objetivos de una organizacin, haciendo un anlisis de riesgos para
reducirlos hasta un nivel aceptable, utilizando para ello (por ejemplo) una metodologa como MAGERIT.
A continuacin se describen los primeros cuatro pasos de OCTAVE Allegro (los cuatro restantes sern
revisados en la prxima publicacin).

1. Establecer criterios de medicin

del riesgo
El primer paso consiste en definir criterios que permitan conocer la postura de la organizacin en cuanto a
su propensin a los riesgos. Se trata de la base para la evaluacin, ya que sin esta actividad no se puede
medir el grado en el que la organizacin se ve afectada cuando se materializa una amenaza.

El mtodo establece la creacin de un conjunto de criterios cualitativos con las cuales se podr evaluar
el efecto del riesgo contra la misin y objetivos de la organizacin en 5 categoras:

Reputacin/confianza del cliente

Financiera

Productividad

Seguridad/salud

Multas/penas legales

Adems, hay una ltima que el usuario puede definir, utilizada para una preocupacin especfica de la
empresa.
Para cada criterio se deben generar reas de impacto, es decir, condiciones de cmo la organizacin se
ver afectada por algn incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deber ser
definido por el personal encargado de generar los criterios de medicin del riesgo. En la siguiente imagen
se muestra un ejemplo de un rea de impacto para los criterios de Reputacin y confianza del cliente:

Una caracterstica de OCTAVE Allegro es que emplea hojas de trabajo para registrar toda la informacin
que se genera durante su aplicacin. Esto se traduce en una ventaja, ya que algunos estndares de
seguridad requieren que el proceso de evaluacin de riesgos sea documentado.
Posteriormente, se deben priorizar estas reas de acuerdo con los intereses de la organizacin, por lo que
el orden puede variar de una empresa a otra. La categora ms importante recibe el puntaje ms alto y la
menos importante recibe la calificacin ms baja, con una escala de 1 a 5 si el usuario no define un rea

de impacto y solo utiliza las descritas en OCTAVE Allegro:

2. Desarrollar un perfil de activos de

informacin
La evaluacin de riesgos que se desarrolla se enfoca en los activos de informacin, es decir, los
conocimientos o datos que tienen valor para la organizacin. Se documentan las razones por la cuales
se eligen y adems se debe realizar una descripcin de los mismos.
Tambin, se debe asignar un custodio a cada uno de estos activos de informacin, el responsable de
definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de
acuerdo a su criterio y experiencia.
Se crea un perfil para cada activo de informacin que los encargados de la evaluacin consideren como
crtico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta
actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, as como
sus requisitos de seguridad, para definir las opciones de proteccin a aplicar.

3. Identificar contenedores de
activos de informacin
En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta
informacin, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos, por tales
caractersticas, tambin son los lugares donde se aplican los controles de seguridad.
De acuerdo con este mtodo, pueden ser del tipo tcnico, fsico o humano, ya que la informacin puede
encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrnicos u
pticos), en forma fsica (escrita o impresa en papel), as como informacin no representada, como las
ideas o el conocimiento de los miembros de la organizacin.

En el mismo sentido, la informacin puede ser almacenada, procesada o transmitida de diferentes

maneras, en formato electrnico, verbal o a travs de mensajes escritos o impresos, por lo que tambin es
posible encontrarla en diferentes estados.

4. Identificar reas de preocupacin

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de informacin,
resultado de la combinacin de la posibilidad de materializacin de una amenaza (probabilidad) y sus
consecuencias (impacto).
De acuerdo con el mtodo, un rea de preocupacin es un enunciado descriptivo que detalla una
condicin o situacin del mundo real que puede afectar un activo de informacin en la organizacin. Se
deben generar tantas reas como sean necesarias para cada uno de los activos perfilados en el paso 2.
Se busca documentar las condiciones que preocupan a la organizacin en cuanto a su informacin crtica,
por lo que se identifican riesgos evidentes sin necesidad de una revisin exhaustiva, para ello se registra
informacin sobre quin podra llevar a cabo esta amenaza (actores), los medios por los cuales se podra
ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas
afectaran los requisitos de seguridad descritos en el segundo paso.
Para proseguir con el modelo planteado por OCTAVE Allegro restan otros 4 pasos.