Vulnerabilidad:

Está íntimamente relacionado con el riesgo y la amenaza y se puede definir como la debilidad o
grado de exposición de un sujeto, objeto o sistema. También son aquellas fallas, omisiones o
deficiencias de seguridad que puedan ser aprovechadas por los delincuentes.

Se establece este concepto de vulnerabilidad en primer lugar en virtud de la dimensión que ha

cobrado en la actualidad. En efecto, las vulnerabilidades se han vuelto una materia en sí misma, ya
que su búsqueda, desarrollo de pruebas de concepto, explotación y publicación de las
actualizaciones que las corrigen son parte de un ciclo que involucra múltiples actores interesados,
entre los que pueden citarse instituciones académicas, investigadores independientes, empresas
especializadas, gobiernos y hasta organizaciones supranacionales.

Riesgo:

Es la probabilidad latente de que ocurra un hecho que produzca ciertos efectos, la combinación de
la probabilidad de la ocurrencia de un evento y la magnitud del impacto que puede causar, así
mismo es la incertidumbre frente a la ocurrencia de eventos y situaciones que afecten los
beneficios de una actividad.

La probabilidad de ocurrencia es el producto del análisis sobre datos históricos respecto a cuántas
veces sucedió un hecho similar en un periodo de tiempo que se tomará como unidad. Se entiende
por consecuencias, el impacto, es decir, los hechos o acontecimientos que resultan de uno o varios
eventos evaluados para esa organización.

La determinación de la probabilidad de ocurrencia y la valoración del impacto tienen lugar en el

proceso de gestión del riesgo, que dará como producto la decisión de distribuir o aplicar los
controles, sobre la base de una ecuación de costo/beneficio, dando como resultado la
determinación del nivel de riesgo aceptable y la identificación del riesgo a mitigar.

Por tanto a mayor, probabilidad de ocurrencia se asume mayor riesgo. Igualmente a mayor
vulnerabilidad se asume que el riesgo aumenta. Una persona encargada de reducir el riesgo puede
optar por dos estrategias posibles:

1-.Reducir la peligrosidad o probabilidad de ocurrencia de un hecho.

2-.Reducir la vulnerabilidad frente a daños, dado que se asume que el suceso peligroso acabará
dándose tarde o temprano.

En ocasiones sólo es posible reducir uno de los dos factores (por ejemplo, en los desastres
naturales no puede actuarse sobre la probabilidad de ocurrencia ya que no dependen de la acción
humana).
Tipos de riesgos:

1.-Riesgo estratégico

 Riesgo laboral
 Riesgo de accidente
 Riesgo patológico
 Riesgo sanitario

2.-Riesgo geológico

 Riesgo sísmico: Terremotos o Maremotos

 Erupciones volcánicas
 Corrimiento de tierra

3.-Riesgo financiero

 Riesgo de Crédito
 Riesgo de Liquidez
 Riesgo de Mercado
 Riesgo Operacional
 Riesgo Relacional

4.-Riesgo biológico

 Infección viral.
 Epidemia
 Material Biológico Peligroso
 Agentes microscópicos altamente patógenos

Características de riesgo:

De éstas las dos primeras son reales y la tercera es potencial pudiendo llegar a convertirse en real
lo que no es necesario para que exista el riesgo y son:

La existencia de un objeto expuesto a sufrir un daño o pérdida, determinado por: la propiedad y su

uso, la salud o la capacidad de generar ingresos de una persona, y la responsabilidad ante
terceros.

La presencia de la causa o causas posibles que ocasionan el daño o la perdida al objeto, que
pueden ser de origen natural, como los terremotos; de origen humano, como los robos; y de
origen económico, los cambios sociales.

El perjuicio o pérdida resultante que sufre el objeto que ocurre la causa, el cual generalmente se
mide en términos económicos, como ser el costo de la pérdida de un Inmueble debido a un
incendio, o el generado por una hospitalización.
Amenaza:

Potencial ocurrencia de un hecho que pueda manifestarse en un lugar específico, con una
duración e intensidad determinadas. Cuando el Agente de riesgo selecciona una víctima contra la
cual pretende cometer un acto delictivo, automáticamente se convierte en una amenaza para ella.
Se puede considerar que es la materialización del riesgo.

Características: Se caracteriza por relacionarse con fallas humanas, catástrofes naturales o ataques
deliberados. Las fallas humanas pueden ser con intención o sin ella, debido a negligencia,
impericia o mal uso.
De acuerdo a su origen, las amenazas pueden ser:

Naturales: son aquellas en los que no interviene la actividad humana, como sismos, erupciones
volcánicas, algunos tipos de inundaciones, deslizamientos, entre otros.

Antrópicas o generadas por la actividad humana: sucesos como incendios, explosiones,

contaminaciones, accidentes del transporte masivo, entre otros.

Mixtas: producto de un proceso natural modificado por la actividad humana, como los
deslizamientos por deforestación de las laderas, sequías, derrumbes por mala construcción de
caminos, canales, viviendas, etc.

Las amenazas varían en el tiempo. Los factores que contribuyen a un panorama de amenazas
siempre cambiante son el constante crecimiento de la cantidad de las clasificaciones que sirven
para orientar y segmentar el estudio de los problemas, aunque no siempre los modelos
conceptuales se ajustan a la realidad.

Diferencias entre amenazas y riesgo:

La diferencia fundamental entre la amenaza y el riesgo está en que la amenaza está relacionada
con la probabilidad de que se manifieste un evento natural o un evento provocado, mientras que
el riesgo está relacionado con la probabilidad de que se manifiesten ciertas consecuencias, las
cuales están íntimamente relacionadas no sólo con el grado de exposición de los elementos
sometidos sino con la vulnerabilidad que tienen dichos elementos a ser afectados por el evento
 Conclusión

El escenario en el que hoy desarrollan su actividad las organizaciones presenta múltiples amenazas
de características cambiantes. Algunas son preexistentes y otras surgen a partir de nuevos
avances. Esta peligrosa combinación requiere una permanente consideración de las
vulnerabilidades que puedan afectar la información y los recursos que la gestionan. Lo cierto es
que el riesgo en las organizaciones aparece desde el momento en que inician sus actividades. A lo
largo de su existencia podrán identificarse y reducirse pero nunca se eliminarán en su totalidad. Es
por ello que puede afirmarse que las organizaciones se encuentran siempre en riesgo, en mayor o
menor medida, cuando aprovechan los beneficios de las tecnologías de la información.

Por consiguiente, el profesional que se dedica a cualquiera de las áreas de la seguridad de la

información deberá tener en cuenta estos conceptos frente a cada paso que dé, identificando las
amenazas, las vulnerabilidades y riesgos que afectan a los procesos en los que se desempeña, para
así estar en condiciones de definir los controles a implementar. Esta responsabilidad no debe
evadirse para cumplir adecuadamente su tarea.
 Introducción

La evolución constante de las nuevas tecnologías suele generar un gran interés para quienes las
utilizan como eje de su trabajo, lo cual los lleva a tratar de conocer y aprovechar cada avance y
cada nuevo dispositivo que aparece. Por otro lado, el trabajo diario muchas veces los obliga a
focalizarse en la solución de cuestiones específicas, provocando a menudo la degradación de una
visión más amplia de todas las aristas que acompañan las soluciones que es factible implementar.

En el campo de la seguridad esta realidad se refleja también en la necesidad de comprender las

fallas que se presentan en el día a día, junto a la presión cotidiana que sienten los profesionales
para solucionarlas. Este panorama dificulta la posibilidad de una visión integral de la protección de
la información y los sistemas. Muchas veces no se dimensionan ciertos conceptos fundamentales
como son los de amenaza, vulnerabilidad y riesgo, los cuales constituyen la base de la gestión de
riesgos y de cualquier programa o actividad que se lleve adelante respecto a la protección de la
información.

En efecto, cualquiera que sea el tamaño, finalidad, complejidad del negocio o de la plataforma
tecnológica, ninguna organización debe desconocer los riesgos que se plantean para cada uno de
los procesos que constituyen su actividad y, una vez identificados, no debe dejar de gestionarlos.
Si esto último ocurriera, irremediablemente se afectaría su desempeño pudiendo, inclusive, verse
obligada a cesar su actividad.

Por consiguiente, y para una efectiva gestión del riesgo, necesariamente deberán conocerse las
situaciones que pueden afectar a la organización, es decir de qué debe protegerse, cuál es su
información y sus recursos críticos, y si las medidas que ha implementado para preservarlos
evitarán o minimizarán cualquier impacto negativo. Al desarrollar su actividad en un escenario
cambiante, el profesional se verá obligado a evaluar de modo permanente la situación en la que
se encuentra y a asegurarse de que las medidas de protección establecidas siguen siendo
efectivas.

En esta línea, el presente artículo se propone rescatar ciertos conceptos básicos, comprender sus
implicaciones y plantear las relaciones que existen entre ellos, para lograr una gestión segura