Discusión:Riesgo

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Definición antigua de riesgo en wikipedia: es la probabilidad de obtener un resultado desfavorable como resultado de la exposición a un evento azaroso dado

En mi opinión, esta definición adoloce de varios errores conceptuales:

1. No define el riesgo, sino que lo valora, porque una probabilidad es el resultado de una medición cuantitativa o cualitativa. El riesgo se define diciendo qué es, no cómo se valora. Para ser consecuentes con esta definición, para valorar el riesgo también debió valorarse el "resultado desfavorable", porque cuanto mayor es este resultado más grande es el riesgo.

2. Medir el riesgo mediante una probabilidad significa que el riesgo es algo aleatorio, es decir, es una situación de hecho que puede o no existir de forma azarosa. Esto no es cierto. La existencia de riesgo es una variable bivalente: existe o no existe. Si se quiere afinar más, la existencia de riesgo es una variable polivalente: tiene grados de verdad de existencia.

3. El concepto "exposición a un evento azaroso" es mejor que el habitual (incluso legal) concepto de "exposición a un riesgo". Nada ni nadie puede estar expuesto a un riesgo, porque el riesgo no es algo físico sino un concepto abstracto, producto de la observación y el juicio. Sin embargo, este concepto propuesto incurre en el error de creer que el "evento azaroso" es algo ajeno a quien se encuentra en situación de riesgo. Lo cierto es que alguien puede encontrarse en situación de riesgo porque él/ella mismo/a son los creadores de ese evento (quien se encuentra expuesto/a a un evento es porque éste tiene origen fuera de él/ella mismo/a). Por ejemplo, un trabajador sobre un andamio sin barandilla no se encuentra "expuesto a un evento azaroso de "perder el equilibrio", porque este evento es originado por él/ella mismo/a. Debe decirse "es susceptible de incurrir en el evento azaroso de perder el equilibrio". La forma de evitar este problema es decir: "expuesto a un agente dañino" (energía potencial gravitatoria, en este caso). Este último concepto es más general, porque se aplica a todos los casos posibles.

Ahora la crítica positiva:

Concepto genérico de riesgo: es la propiedad de un sistema cualquiera creada por las causas "situación dañina" (aptitud del sistema para dañar) y "situación fallida" (aptitud del sistema para fallar) que producen el efecto "vulnerabilidad" (posible y viable daño) sobre bienes jurídicos protegidos. El riesgo es potencial cuando, al menos, uno de sus dos componentes es potencial.

Valoración del riesgo: el riesgo se valora mediante la ponderación de sus dos componentes "situación dañina" (valora la cantidad del posible daño) y "situación fallida" (valora la viabilidad del eventual accidente). El riesgo es mayor cuanto mayores son ambos componentes y menor cuando disminuye cualquiera de ellos o ambos a la vez.

Hay dos supuestos de valoración:

Conjunto suficientemente elevado de sistemas análogos (por ejemplo, el riesgo en el sector de la construcción): ambos componentes se valoran estadísticamente en determinado riesgo (por ejemplo, caídas de andamios). El número de sistemas debe ser suficientemente elevado para que los resultados sean significativos, con determinado nivel de confianza.

Conjunto escaso de sistemas análogos o uno solo: ambos componentes se valoran por uno o más expertos en la materia. Si hay varios expertos, el consenso se obtiene aplicando el método "delphi".

Discusión del añadido traducido del inglés[editar]

1. Afirmación: Riesgo es el daño o beneficio potencial que puede surgir por un proceso presente o evento futuro.

Crítica: Esta definición es parcialmente correcta. Dice la verdad (“potencial” es algo que ahora no existe, pero puede existir), pero no toda la verdad (“proceso presente o evento futuro” es una de las dos causas necesarias del riesgo; la otra causa necesaria es la “dañosidad” de un sistema).

2. Afirmación: Es frecuente utilizar este concepto como sinónimo de probabilidad, pero en el asesoramiento profesional el riesgo combina probabilidad de que ocurra un evento negativo con cuánto daño causa.

Crítica: Entender el riesgo como “probabilidad” es contradictorio con la definición anterior, que sólo exige que el daño potencial sea “posible”, no exige que también sea “probable”. Una razón adicional es que el concepto “probabilidad” es confuso, porque vulgarmente tiene significados incompatibles. Por ejemplo, a veces se entiende como “frecuencia de ocurrencia de uno o más sucesos” (casos favorables entre varios posibles; accidente típico), o bien se entiende como “esperanza de que ocurra un suceso único” (un daño concreto). La expresión “el riesgo combina probabilidad de que ocurra un evento negativo con cuánto daño causa” es, en realidad, la valoración del riesgo. Por último, entender el riesgo como “probabilidad de un evento negativo” confunde el riesgo con el accidente.

3. Afirmación: El riesgo es usualmente vinculado a la probabilidad de que ocurra un evento no deseado. Generalmente la probabilidad de que ocurra dicho evento y algún asesoramiento sobre el daño que se espera de él deben ser unidos en un escenario creíble que combine el riesgo y las probabilidades de arrepentimiento y recompensa en un valor esperado. Hay muchos métodos informales que se usan para asesorar sobre el riesgo (o para "medirlo", aunque esto no suele ser posible) y otros formales”.

Crítica: La expresión “el riesgo es usualmente vinculado a la probabilidad de que ocurra un evento no deseado” confunde el riesgo con el accidente. La expresión “combine el riesgo y las probabilidades de arrepentimiento y recompensa en un valor esperado” carece de significado (es absurda). El “arrepentimiento y recompensa” sólo tienen sentido en la religión (cristiana, al menos) en la comisión de pecados. Afirma que “es imposible medir el riesgo”. Esto no es cierto, porque hay cosas que se pueden medir sin aparatos. Por ejemplo, si determinado riesgo patrón tiene valor “aceptable”, se pueden medir riesgos mayores y menores más o menos subjetivamente.

4. Afirmación: En el análisis de escenarios el "riesgo" es distante de lo que se llama "amenaza". Una amenaza es un evento serio pero de poca probabilidad - pero cuya probabilidad puede NO ser determinada por algunos analistas en un asesoramiento de riesgo, porque nunca ha ocurrido, y para la cual ninguna medida preventiva está disponible. La diferencia está más claramente ilustrada por el principio de precaución que busca disminuir la amenaza reduciéndola a una serie de riesgos bien definidos antes de que un acción, proyecto, innovación o experimento sea llevado a cabo.

Crítica: La expresión “el riesgo es distante de lo que se llama amenaza" no es correcta; la correcta es “el riesgo es semejante, pero no idéntico a la amenaza". Riesgo es “posible daño”, mientras que amenaza es “presagio de daño”. Posible es “lo que puede ser o suceder”, mientras que presagio es “señal que indica, previene y anuncia un suceso”. Es decir, en el riesgo el daño es hipotético, mientras que en la amenaza el daño es casi seguro. En base a lo anterior, la expresión “una amenaza es un evento serio pero de poca probabilidad” es incorrecta por dos razones: no es un evento (es un daño anunciado) y tiene alta probabilidad (anuncia un daño casi seguro). La expresión “la diferencia está más claramente ilustrada por el principio de precaución que busca disminuir la amenaza reduciéndola a una serie de riesgos” es contradictoria con lo anterior: si el "riesgo" es distante de lo que se llama "amenaza", entonces es imposible “reducir la amenaza a una serie de riesgos” (para que esto sea posible, ambos deben tener la misma naturaleza).

5. Afirmación: En seguridad de la información (se llamará así a la protección de cualquier tipo de información, no solo a los sistemas informáticos) el riesgo es definido como la función de tres variables: la probabilidad de que haya una amenaza, de que haya debilidades y el impacto potencial. Si cualquiera de estas variables se aproxima a cero, el riesgo total también. Por ejemplo, los seres humanos son totalmente vulnerables a la amenaza de control mental por alinígenas, que tendría un impacto considerablemente serio. Pero como todavía no nos hemos encontrado con extraterestres, podemos asumir que no son una gran amenaza y que el riesgo total es cero (traducido como el resto del artículo del inglés; por favor poner un ejemplo mejor).

Crítica: el ejemplo “seguridad de la información” es inapropiado. Hubiera sido más apropiado un ejemplo sobre daños humanos o al medio ambiente. Definir la “seguridad de la información como la protección de cualquier tipo de información” incurre en el error lógico de confundir la “causa” (protección) con el “efecto” (seguridad): algo está seguro (efecto) cuando se ha protegido (causa). La expresión “el riesgo es definido como la función de tres variables: probabilidad de que haya una amenaza, probabilidad de que haya debilidades e impacto potencial” es errónea y contradictoria con la valoración antedicha “el riesgo combina probabilidad de que ocurra un evento negativo con cuánto daño causa” (dos variables). Además, en la primera expresión la probabilidad se refiere a “situaciones” (amenazas y debilidades), mientras que en el segundo la probabilidad se refiere a “daños”. El ejemplo y expresión “amenaza de control mental por alinígenas (se escribe “alienígenas”)” es un ejemplo absurdo: los extraterrestres jamás llegarán a la tierra, ya que deben tardar muchísimos años en viajar hasta nosotros, habida cuenta de que la luz tarda 4 años en llegar desde la estrella más próxima (“Alfa” de la constelación “Centauro”), suponiendo que esta estrella tenga un planeta habitado y, además, con civilización tan avanzada (la existencia del "homo sapiens" es el 0.000000000000.....1% de la existencia de la tierra). Además, la palabra “amenaza” es inadecuada en este ejemplo; la adecuada es “riesgo”. Sería una “amenaza” (presagio de daño) si extraterrestes tan avanzados estuvieran en Marte; pero es un “riesgo” (posible daño) si están muchísimo más lejos (planeta de otro sistema solar).

Ejemplos

1. Afirmación: Un ejemplo de una distinción entre amenaza y riesgo es la preparación de Estados Unidos ante el ataque a las torres gemelas. A pesar de que la CIA había advertido de un "peligro claro y presente" de que fueran usados aviones como armas, esto era considerado una amenaza y no un riesgo. Por esto es que ningún escenario de probabilidades y contramedidas había sido preparado. Desde un punto de vista probabilístico frecuencial, una amenaza no puede ser considerada un riesgo sin al menos un incidente específico donde la amenaza se haya concretado.

Crítica: Para saber que la amenaza existe no es necesario tener noticias de un “incidente específico donde la amenaza se haya concretado”. Esto es contradictorio con el ejemplo anterior, porque no hay noticias de que “en el pasado los extraterrestres han controlado nuestras mentes”. Lo cierto es que tales noticias son necesarias para averiguar si hay o no riesgo ante la "exposición a agentes" que se ignora si son o no dañinos (por ejemplo, como sucedió con la exposición de trabajadores al amianto; se ignoraba que es dañino hasta que estudios epidemiológicos detectaron que es un agente cancerígeno). La expresión "peligro claro y presente de que fueran usados aviones como armas" es un error común (por ejemplo, también cuando se dice el "peligro del huracán Katrina"). En estos casos el peligro no está en el cielo sino en la tierra. El peligro (en mi teoría) es la "situación resultante de la inaplicación de medidas de seguridad ante un evento potencialmente dañino". Los aviones y el huracán no son "peligrosos", sino "dañinos". Es absurdo afirmar que “no es necesario preparar un escenario de probabilidades y contramedidas” cuando hay riesgo, sólo cuando hay amenaza". Lo cierto es que tales contramedidas deben aplicarse en ambos casos, sólo que son más “urgentes” cuando hay amenaza. Debe recordarse que amenaza es presagio de daño (daño que "va a ocurrir"), mientras que riesgo es posible daño (daño que "puede existir"). Observe la diferencia entre las palabras "existir" (riesgo) y "ocurrir" (amenaza).

2. Afirmación: Desde este punto de vista, habría una base para afirmar, por ejemplo, "en la historia de la humanidad, X viajes aéreos han conducido a ...". Por el otro lado, métodos de probabilidad bayesiana permitirían que cierto grado de creencia fuera asignado a las amenazas, incluso si nunca ocurrieron antes, y esto podría ser entonces tratado como una probabilidad.

Crítica: La frase “...cierto grado de creencia fuera asignado a las amenazas, incluso si nunca ocurrieron antes” es contradictoria con lo afirmado antes. En efecto, por un lado se afirma que “existe amenaza, incluso si nunca ha ocurrido un daño” y, por otro, se afirma que “no existe amenaza sin, al menos, un incidente específico donde la amenaza se haya concretado”.

3. Afirmación: Amenazas en un contexto de seguridad de la información incluyen actos dirigidos, deliberados (por ejemplo por hackers) y eventos no dirigidos, aleatorios o impredecibles (como un rayo).

Crítica: el ejemplo del rayo es erróneo. Un rayo nunca es impredecible (por supuesto, en presencia de negros nubarrones, no en un cielo despejado), porque se ha comprobado millones de veces que los rayos caen (no es un suceso fortuito porque tiene causas conocidas). Lo que es impredecible (fortuito) es el “momento preciso en que caerá un rayo”. Y, en este ejemplo, que habla del riesgo, carece de importancia el momento preciso en que ocurrirá el daño; sólo tiene importancia su “posibilidad”.

Observaciones finales: a mi juicio, tanta confusión tiene una causa: no existe una teoría del riesgo. Por esta razón, todos hablan del riesgo de forma intuitiva, apoyándose únicamente en la opinión de cada cual. Este es el motivo por el que llevo varios años dedicado a la investigación y desarrollo de una teoría del riesgo. El libro se editará en breve (si encuentro un editor que se arriesgue en invertir en un escritor primerizo).

Como dije en el resumen, dejé de traducirlo porque me pareció que hablaba mucho pero decía poco. Creo que todas las críticas tendrían que tratar de incluirse en el artículo. En caso de que a alguien no le guste, le parezca poco neutral etc. puede cambiarlo cuando quiera.--Wikiwert 01:26 27 sep, 2005 (CEST)

Valoración del riesgo[editar]

¿Tiene sentido diferenciar grados de riesgo?

  • Riesgo muy alto. Ejemplo: El riesgo de ser atropellado, si cruzas la avenida de los Campos Eliseos, corriendo, y con los ojos vendados, es muy alto, se podría estudiar si es mas alto en las horas de pico, en la noche con poco trafico, o con neblina...
  • Riesgo alto
  • Riesgo medio
  • Riesgo bajo
  • Riesgo muy bajo. Ejemplo: Una pulga saltando en el centro de un puente colgante, a la frecuencia propia del puente, si salta la suficiente cantidad de veces el puente caerá. Todos concordaremos con que el riesgo de que el puente caiga por ese motivo es muy bajo, o en otras palabras, la probabilidad de que el daño sea causado, por ese motivo, es muy baja.

Creo que si, se pueden diferenciar grados de riesgo, es decir no es un SI ó NO

Me habia olvidado de firmar estas consideraciones...--Alfredobi 23:44 12 sep 2006 (CEST)


Creo que las criticas que se han planteado a la deficinón olvidan algo muy importante sobre le riesgo; todos se quedan con el aspecto negativo, el de pérdida, pero el riesgo tambien entraña la posibilidad de que las cosas salgan bien y se gane, en lugar de que se pierda. una mejor definición puede ser la que hemos desarrolado asi: “Riesgo es la posibilidad, en términos probabilístico o de percepción, de que un evento pueda, afectar a una persona, en forma negativa o positiva, en el logro de sus objetivos, el ejercicio y goce pacifico de derechos y la satisfacción plena de necesidades presentes o futuras” tampoco comparto la opinión que se trata de una varibale unicamente contínua o discreta, ello dependerá de cómo se esté evaluando el riesgo, pues en las escalas que se usan en los modelos cualitativos las variables que se emplean son discretas y en los modelos estadísticos que usan como parametro el valor del riesgo, definitivamente se tendrán variables continuas. Libardo Polanco Cruz libardopc@sescolombia.com

Riesgo, probabilidad contínua[editar]

Primero que todo tenemos que diferenciar entre las distribuciones de probabilidad contínuas y distribuciones de probabilidad discretas. El riesgo es una probabilidad contínua porque no es "contable", sino "medible", es decir, no puedo decir que "la probabilidad que ocurra un riesgo es del 70%", pero si puedo decir que "la probabilidad que ocurra un accidente es del 70%", esto se debe a que los accidentes los puedo contar pero al riesgo no, no puedo decir "un riesgo o dos riesgos". Por lo tanto, como las distribuciones de probabilidades continuas se basan en curvas que se hacen asintóticas al eje de las absisas (curva normal o campana de gaus) nunca se hace cero, o mejor dicho, se hace cero en el infinito. Esto sirve para aclarar el error que se comete al decir "PREVENCIÓN DEL RIESGO", el término prevención indica evitar o hacer cero, lo cual es una mentira o un imposible. Sin embargo no es un error decir "PREVENCIÓN DE ACCIDENTES", porque a traves de la minimización del riesgo se previenen accidentes. Mi correo para discutirlo es: raul562@yahoo.com.ar

Riesgo no es vulnerabilidad[editar]

El artículo inicia afirmando "El riesgo es la vulnerabilidad...", esto es falso. La vulnerabilidad es un factor asociado al receptor del riesgo, en tanto que riesgo sería un estimador, pretendidamente insesgado y de máxima verosimilitud, de la probabilidad de ocurrencia del peligro. Así, peligro: "perro suelto", riesgo: "dos mordidos al mes", en tanto que la vulnerabilidad, asociada al receptor del riesgo, es mayor para un "niño de 2 años" que para un "entrenador canino". Esta distinción posiblemente se puede expresar matemáticamente como una operación de convolución, es decir, la vulnerabilidad se combina sistemáticamente con el peligro para potencializar los efectos. Pero más allá de representaciones abstractas, es importante distinguir la vulnerabiidad del riesgo, como factor independiente, porque esto permite traer a discusión el hecho de que la vulnerabilidad aparentemente se distribuye de manera inequitativa entre la población, no así el peligro. Entonces ante un peligro uniformente distribuido -en su incidencia y grado- los efectos (riesgo) se distribuyen no uniformente, es decir, existen factores sociotécnicos que influyen en su manifestación.

OK... Yo no soy experto en el tema... solo quise mejorar la horrible redacción que tenía... La verdad es que me hacía ruido la definiciòn... es cosa de variarla. Atèvase.--Vaina chilena - Mario Gonzalez.jpg Ciberprofe.cl | Escríbeme 04:33 28 jul 2013 (UTC)

Un riesgo es la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información o grupo de ellos. Al menos desde el punto de vista de seguridad de la información.