Hace unos días, asistiendo como invitado a la defensa de la Tesis doctoral de un buen amigo, me sorprendió escuchar como en el desarrollo del acto se establecía un inesperado debate respecto al significado y alcance de dos términos de gran actualidad: riesgos y amenazas. Argüían unos que en algunas de las estrategias de seguridad nacional aprobadas por diferentes países se utilizaban ambos términos de forma equivalente, mientras que otros opinaban que tal uso era erróneo.
Aunque el debate no se dilató por mucho tiempo, dado que no era tema central de la Tesis, fue suficiente para hacerme reflexionar sobre las diferentes interpretaciones que se expusieron y, dada mi extrañeza ante tal imprecisión, decidí dedicar unas líneas para dar a conocer mi opinión al respecto, basada en la experiencia y conocimiento de los procedimientos habituales en los dominios de la seguridad de la información y la ciberseguridad
Si nos ceñimos a lo expuesto en el Diccionario de la lengua española (DRAE) la palabra riesgo proviene del italiano (risico o rischio) y este a su vez del árabe clásico (rizq; lo que depara la providencia) significando la contingencia o proximidad de un posible daño. Por su parte el vocablo amenaza, del latín vulgar (mĭnacia) y éste del latín (mĭna) denota el anuncio de un mal o peligro, así como la acción de amenazar, verbo por el que se da a entender con actos o palabras que se quiere hacer algún mal a alguien.
Así pues el DRAE diferencia de forma palmaria el riesgo de la amenaza, como en otro contexto también lo hace, por ejemplo, la Estrategia española de seguridad (en su versión de julio de 2011) en la cual se define como amenaza a toda circunstancia o agente que ponga en peligro la seguridad o estabilidad de España, especificando por su parte que riesgo es la contingencia o probabilidad de que una amenaza se materialice produciendo un daño. Es decir, riesgos y amenazas son conceptos relacionados pero diferentes, algo que por cierto no queda tan notoriamente expuesto en la Estrategia nacional de seguridad (versión de la anterior de mayo de 2013 ) donde se entremezclan ambos conceptos.
Tomando como base estas definiciones profundizaré algo mas en el tema afirmando que si bien los riesgos son directamente proporcionales a las amenazas estas no son los únicos factores de aquellos, dado que existen otros que pueden aumentarlos o disminuirlos, aunque las amenazas sean pequeñas o grandes respectivamente.
Tales factores son, además de las amenazas, las vulnerabilidades, los daños posibles o impactos y en determinados casos, en particular en lo que concierne a los riesgos inherentes, las salvaguardas o controles. Todos ello conforman la que podemos denominar Ecuación del riesgo que caracteriza a este como el resultado de multiplicar el valor de cada uno de ellos. Por tanto, como asegura la ley de la multiplicación que se aplica a todo producto, el resultado final (el riesgo) no depende del orden de factores sino del mayor o menor valor de cada uno de ellos.
Extrapolando la ecuación a nuestra sociedad actual podremos validarla sin dificultad pues es evidente que los riesgos a los que estamos expuestos dependen tanto de las significativas amenazas que nos acechan, reales y virtuales, como de nuestras vulnerabilidades, propias de sociedades avanzadas, y de la posibilidad de impacto o daño.
El tema es de gran interés y actualidad y se desarrolla expresamente en materias tales como el análisis y la gestión de riesgos, pero para no alargar innecesariamente este artículo aplicaré el dicho de que una imagen vale más que mil palabras resumiendo lo expuesto en la infografía que adjunto al post.
Buena presentación, clara, útil y creo que bastante acertada.
Me parece que está mal conceptuado; amenaza es capacidad e intención, en cambio riesgo es solo una de ellas. En el ámbito de la seguridad , yo entiendo que va de menor a mayor; primero sería una preocupación, luego riesgo y finalmente una amenaza, y no viceversa…..No podemos decir que para Palestina es un riesgo Israel……sería una estupidez. Ya que si podemos decir que para Palestina, Israel es una Amenaza o viceversa…Pero veo que se está confundiendo pues este tema del riesgo se da mas en campos no militares…..Una empresa no puede hablar de términos de Amenaza porque no es un ser vivo, sino en términos de riesgo.
Basándose en la ecuación del riesgo Israel es una amenaza para Palestina y al ser muy vulnerable respecto a Israel el riesgo es grande. En una empresa puede haber amenazas, por ejemplo robo de información, pero si está protegida, según la ecuación, el riesgo seria pequeño. Son conceptos diferentes relacionados entre si; existen amenazas, vulnerabilidades e impactos y todos ellos caracterizan el riesgo.
Gracias por la aportación.
[…] suelo explicar al hablar de gestión de ciberriesgos, concretamente en la que denomino su ecuación,una vulnerabilidad es una debilidad o falta de control que permitiría o facilitaría que una […]