Uso del Nivel de Alerta

El uso de niveles de alerta para ajustar las medidas de seguridad al nivel de riesgo es una práctica cada vez mas frecuente. Es necesario establecer la relación de los niveles de alerta con nuestro sistema de control de riesgo.

El nivel de alerta está asociado al grado del riesgo (nivel de riesgo) del activo, por lo tanto, un aumento en el nivel de alerta se debe a un aumento de las variables que determinan el riesgo: impacto, exposición a la amenaza o vulnerabilidad. Voy a citar varios ejemplos que ilustran esto:

  • · Cuando el Ministerio del Interior eleva el nivel de alerta antiterrorista, el nivel de riesgo se eleva como consecuencia de un aumento de la exposición a la amenaza.
  • · Cuando se requiere desconectar el CPD de backup, el nivel de alerta sobre el CPD principal aumenta porque el nivel de riesgo aumenta (a consecuencia del incremento del impacto, por no disponer de CPD de respaldo).
  • · Cuando el sistema de intrusión se desactiva parcialmente (o se avería), el nivel de alerta aumenta porque aumenta la vulnerabilidad del activo.

El área de seguridad es una unidad especializada para la supervisión y control del riesgo, pero no es el dueño del riesgo. El dueño del riesgo es aquella unidad de la empresa a quien afecta el daño y quien provee los recursos necesarios para el tratamiento del riesgo.
La necesidad de dar respuesta rápida a los cambios en el riesgo de los activos requiere que el área de seguridad acuerde con el dueño del riesgo directrices para el tratamiento del riesgo. Estas directrices se pueden articular con los niveles de alerta.
De esta forma, el sistema de seguridad debe disponer de controles (medidas) adecuados al activo, al perfil de riesgo, y a los distintos niveles de alerta que se han identificado para este caso. En estas circunstancias, un cambio en el nivel de alerta dirige con agilidad los controles necesarios a complementar para tratar la modificación del riesgo.
Para implementar el uso del nivel de alerta y activar medidas complentarias acordes a la modificación del riesgo se puede proceder de la siguiente manera:

  • · Identificar el nivel de riesgo residual del activo en condiciones normales (nivel de riesgo después de implantar las medidas de seguridad).
  • · Identificar las variaciones de vulnerabilidad, exposición e impacto creíbles que pueden aplicar a un activo durante su explotación.
  • · A partir del punto anterior, calcular las variaciones del nivel de riesgo, e identificar los niveles de alerta que se puede esperar para el activo.
  • · Diseñar los controles complementarios que deben aplicarse de forma temporal en caso de que el nivel de alerta cambie.
  • · Implantar los medios necesarios para que los controles complementarios se apliquen con agilidad cuando se presenta un cambio en el nivel de alerta.

Conclusiones:

  • · El uso de los niveles de alerta aporta capacidad de respuesta, para adecuar el sistema de seguridad a los cambios del riesgo.
  • · El uso de los niveles de alerta requiere implantar indicadores que permitan detectar los cambios en el riesgo.
  • · El uso de los niveles de alerta, requiere recursos requiere recursos para complementar los controles ante el cambio del riesgo, y solo se justifica en activos relevantes para la empresa.



volver