Propuesta de elaboración de una herramienta para Análisis de Riesgo en Archivos
Descripción
Propuesta de una herramienta para el Análisis de Riesgo en Archivos Noemí Ramírez
“Todo riesgo pierde mucho de su amenaza cuando se han descubierto sus causas”.
Konrad Lorenz Resumen El propósito de este trabajo es aportar una herramienta para una evaluación integral del riesgo mediante el desarrollo de una metodología para el análisis de mismo. Nos hemos basado en la Metodología de Gestión de Riesgo elaborada por Stephan Michalski, (1990) del Instituto Canadiense de Conservación (CCI). Esta metodología está conformada por un conjunto de matrices que permiten identificar y valorar el riesgo, para a partir de ellas emitir una serie de recomendaciones o medidas de control que permitan la oportuna atención del riesgo identificado. Ésta propuesta nos permite tener una idea y a la vez tomar conciencia del estado del arte en los archivos en la actualidad; así como también percibir la situación y llevar a cabo las medias pertinentes para resolverlas. Además, nos permite ratificar la importancia que tiene la intervención de los Archivólogos en ésta ardua tarea de custodiar parte de la memoria. Palabras clave: análisis de riesgo, agentes de deterioro
i
Listado de siglas A Alta B Baja CCI Canadian Conservation Institute (Instituto Canadiense de Conservación) ERM – COSO Enterprise Risk Management – Comitee of Sponsoring Organizations HR Humedad relativa ISACA Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información) ISAD (G) General International Standard Archival Description (Norma Internacional General de Descripción Archivística). ISO International Organization for Standardization (Organización Internacional para la Estandarización). M Media MAGERIT Metodología de Análisis y Gestión de Riesgos de Información y Tecnología UNIT Instituto Nacional de Normas Técnicas
ii
Tabla de contenidos Introducción ..................................................................................................................................................1 1 Marco Teórico ............................................................................................................................................2 1.1 Archivo ......................................................................................................................................................2 1.1.1Documento de archivo .....................................................................................................................2 1.1.2 Fondo documental ............................................................................................................................3 1.2 Valoración de los Documentos ...................................................................................................... 4 1.3 Conservación .........................................................................................................................................5 1.3.1 Elementos en la conservación Documental ..........................................................................5 1.3.1.1 Medio Ambiente y Almacenamiento ....................................................................................6 1.3.1.2 Factores Externos .........................................................................................................................6 1.3.1.2.1 Temperatura ..............................................................................................................................6 1.3.1.2.2 Humedad .....................................................................................................................................6 1.3.1.2.3 Manipulación .............................................................................................................................7 1.3.1.2.4 Agentes Biológicos ..................................................................................................................7 1.3.1.2.5 Desastres Naturales ................................................................................................................7 1.3.1.2.6 El Hombre ...................................................................................................................................7 1.3.1.2.7 Disociación ..................................................................................................................................7 1.4 Agentes del deterioro.........................................................................................................................8 1.5 Riesgo......................................................................................................................................................11 1.5.1 Análisis de Riesgo ..........................................................................................................................12 1.5.1.1 Glosario ...........................................................................................................................................14 1.5.1.2 Establecimiento del contexto ...............................................................................................16 1.5.1.3 Identificación del Riesgo ........................................................................................................17 1.5.1.4 Estimación del Riesgo .............................................................................................................18 1.5.1.5 Análisis del Riesgo ....................................................................................................................18 1.5.1.6 Tratamiento del Riesgo............................................................................................................18 1.5.1.7 Aceptación del Riesgo..............................................................................................................20 1.5.2 Matriz de Análisis de Riesgo .....................................................................................................20 1.5.2.1 Metodología de Análisis de Riesgo .....................................................................................20 1.5.2.2 Presentación de resultados ....................................................................................................24 2 Metodología ............................................................................................................................................25 2.1 Metodología de Trabajo ..................................................................................................................25 3 Presentación de resultados ..............................................................................................................26 Bibliografía ..................................................................................................................................................33 Webgrafía .....................................................................................................................................................34
iii
Introducción Los archivos se encuentran amenazados por un problema de deterioro masivo y en algunos casos se han ocasionado pérdidas de sus colecciones. La conservación es una de las funciones fundamentales de un archivo, el cuidado preventivo adecuado de las colecciones, incluidos el almacenamiento, la manipulación y la seguridad apropiados, no representan una meta inalcanzable y redundará en un gran beneficio. La conservación es una de las funciones fundamentales de un archivo, somos conscientes también que es algo costoso llevarla a cabo. Sin embargo, el cuidado preventivo adecuado de las colecciones, incluidos el almacenamiento, la manipulación y la seguridad apropiados, no representan una meta inalcanzable. El presente trabajo de investigación apunta a la Elaboración de una Herramienta de diagnóstico de Riesgo. Para el trabajo de campo se consideró que la técnica de investigación utilizada sería la entrevista. Se utilizaron los indicadores del Instituto Canadiense de Conservación (CCI) para la identificación de las amenazas. A partir de la entrevista se procede a un relevamiento de datos que nos permiten conocer en que situación se encuentran los archivos estatales, no solo en lo referido a la conservación, sino también al tratamiento documental, organización, selección, descripción, recursos humanos, servicios y seguridad.
1
1 Marco Teórico El marco teórico que fundamenta esta propuesta nos permite vislumbrar aquellos conceptos básicos, complementarios y específicos que posibilitan comprender el tema de referencia. Todos los documentos de un archivo tiene un valor desde el momento en que fueron creados. A efectos de este trabajo consideramos necesario determinar el valor documental para poder evaluar correctamente, esta valoración tendrá relación directa con el valor del fondo documental del que se ampliará más adelante. Pero primero haremos una revisión de algunos conceptos necesarios. 1.1 Archivo Para comenzar empezamos definiendo Archivo, no solo como continente, es decir, al edificio que alberga los documentos, el mueble donde los guardamos sino también el archivo como contenido. Una forma muy sencilla para definir al archivo como contenido es referirse a él como la sumatoria de tres elementos: Documentos + organización + servicio.
1.1.1 Documento de Archivo El componente principal de los archivos son los documentos de archivo; seguidamente comenzamos con la definición de documento hasta llegar al documento de archivo para marcar así la diferencia conceptual de ambos términos. Según el Diccionario de Terminología Archivística del Consejo Internacional de Archivos (1995) documento es “la combinación de soporte y la información registrada en él, que puede ser utilizado como prueba o para consulta” (p. 122). Mientras que Heredia Herrera, Antonia (1993) lo conceptualiza de una manera muy amplia como “el testimonio de la actividad del hombre fijado en un soporte perdurable que contiene información” (p. 122). En el glosario de términos de la Norma Internacional General de Descripción Archivística ISAD (G) (2000).
2
El documento único, aislado, sin conocimiento de su procedencia orgánica, carece de sentido archivístico, así surgen las definiciones de documento de archivo los cuales son nuestra materia prima para conformarlos. Es fundamental el vínculo del documento de archivo con la entidad productora, así como su finalidad y el cómo llegan al archivo. El Diccionario de Terminología Archivística del Consejo Internacional de Archivos (1995) lo define de la siguiente manera “Un documento de archivo es el testimonio material de un hecho o acto realizado en el ejercicio de sus funciones por personas físicas o jurídicas, públicas o privadas, de acuerdo con unas características de tipo material y formal” (p. s/n). Se define en ISAD (G) (2000) como “Información contenida en cualquier soporte y tipo documental, producida, recibida y conservada por cualquier organización o persona en el ejercicio de sus competencias o en el desarrollo de su actividad” (p. 16).
1.1.2 Fondo Documental De acuerdo a los conceptos vertidos anteriormente, podemos definir Fondo documental que según ISAD (G) (2000) es el “Conjunto de documentos, con independencia de su tipo documental o soporte, producidos orgánicamente y/o acumulados y utilizados por un persona física, familia o entidad en el transcurso de sus actividades y funciones como productor” (p. 17). También define el Subfondo como la “Subdivisión del fondo consistente en un conjunto de documentos relacionados entre sí que se corresponde con las subdivisiones administrativas de la institución u organismo que lo origina, y cuando esto no es posible, con agrupaciones geográficas, cronológicas, funcionales o similares de la propia documentación. Cuando el productor posee una estructura jerárquica compleja, cada subfondo tiene a su vez tantos subfondos subordinados como sean necesarios para reflejar los niveles de la estructura jerárquica de la unidad administrativa primaria subordinada” (p. 17).
Los documentos de archivo que componen un fondo pueden estar completos o incompletos por pérdida o destrucción, o dispersos, por división, pero constituyen siempre una unidad, independiente de otros fondos o agrupaciones documentales. 3
1.2 Valoración de los documentos Es la fase del tratamiento archivístico en la que se analizan y determinan los valores primarios y secundarios de las series documentales, y además, se fijan los plazos de transferencia, acceso, conservación o eliminación total o parcial. • Valor primario: Va unido a la finalidad inmediata por la cual el documento se ha producido por la institución. Este valor puede ser administrativo, legal, fiscal y contable. • Valor secundario: Es el que interesa a los investigadores en la información retrospectiva. Se alcanza una vez agotado el valor inmediato o primario. Estos pueden ser establecidos convencionalmente: el informativo e histórico. Este valor se discrimina en la siguiente tabla: Tabla 1 Valor de los documentos
Valor Administrativo: aquel que tienen los documentos para la Administración que los ha producido como testimonio de sus procedimientos y actividades.
Valor Legal: aquel que pueden tener los documentos para servir como testimonio ante la Ley.
Primarios
Valor Jurídico: aquel del que se derivan derechos u obligaciones legales regulados por el Derecho.
Valor Fiscal: aquel que tienen los documentos que pueden servir de testimonio del cumplimiento de obligaciones tributarias.
Valor Contable: aquel que tienen los documentos que pueden servir de explicación o justificación de operaciones destinadas al control presupuestario.
4
Valor Informativo: Aquel que sirve de referencia para la reconstrucción de las actividades
de la administración.
Secundarios Valor Histórico: aquel que posee un documento como fuente primaria para la historia.
1.3 Conservación Para definirla nos remitimos a Arévalo Jordan, Víctor Hugo (1995) quien sostiene: “Es la actividad que comprende todas las actuaciones necesarias para que los documentos de archivo se conserven en tanto duren sus valores. Permite tomar el documento como prueba e información” (p. 75). A su vez refiere a la conservación de los archivos como: “Una vez determinado mediante el proceso de evaluación lo que vale la pena conservar permanentemente en los archivos, la tarea de los archivistas consistirá fundamentalmente en preservar dichos documentos y tener información que difundir” (p. 75). Entonces, conservar significa planificar y diseñar métodos y dispositivos que permitan el seguimiento y control de los riesgos de deterioro de los objetos y colecciones, integrando todas las actividades de un centro. Implica medidas preventivas para evitar el deterioro o curativas aplicando un tratamiento adecuado al soporte deteriorado. 1.3.1 Elementos en la conservación documental Los documentos afrontan constantemente a un conjunto de elementos que ponen en riesgo su integridad física. El deterioro que sufren los documentos día a día en las instituciones está relacionado con factores muy diversos: 5
1.3.1.1 Medio ambiente y almacenamiento El medio ambiente y las formas de almacenamiento intervienen en la preservación de los documentos. Las condiciones de descuido, desorganización y amontonamiento, producen daños a las colecciones, por lo que el control ambiental y las buenas condiciones de almacenamiento constituyen la primera de todas las medidas preventivas. Cuando se reciben los documentos en un archivo la primera medida es revisarlos, para comprobar su estado físico. Si los documentos se encuentran en buen estado se procede al procesamiento, si están en mal estado, se debe analizar el tipo de daño que presentan; éstos pueden ser por la acción de: humedad, insectos, hongos, roedores, microorganismos, bacterias o incorrecta manipulación. Las condiciones de temperatura y humedad relativas en los depósitos a largo plazo tienen un impacto significativo y perdurable en los materiales bibliográficos. 1.3.1.2 Factores externos 1.3.1.2.1 Temperatura: el daño a los documentos se produce por la exposición a temperaturas incorrectas, que pueden clasificarse en tres categorías diferentes: Temperatura demasiado alta: produce tasas aceleradas de deterioro en compuestos químicamente inestables. Temperatura baja: puede hacer que ciertos materiales se tornen quebradizos. Temperatura que fluctúa: puede hacer que ciertos materiales se fracturen o se deslaminen. La temperatura puede ser un factor determinante en la extensión de la vida útil de los objetos inestables como películas fotográficas o papeles ácidos. 1.3.1.2.2 Humedad: Humedad absoluta: es la cantidad de agua sostenida como vapor en el aire. Se expresa como el peso de agua en un volumen determinado de aire. Humedad relativa: se define como la cantidad de humedad que el aire sostiene a una temperatura determinada, en comparación con la que podría sostener. 6
HR muy alta: provoca manchas de moho y debilitamiento, corrosión, hidratación, hinchamiento, crushing. HR muy baja: produce encogimiento, partición, fracturación, deshidratación Cambios muy drásticos en HR: fracturas, craquelados. 1.3.1.2.3 Manipulación: el descuido, desorganización y amontonamiento producen rápidamente daños evitables a las colecciones. La manipulación incorrecta conduce a daños serios e irreparables. 1.3.1.2.4 Agentes biológicos: Los hongos, insectos, roedores, entre otros pueden causar serios y, a veces, irreparables daños. Es importante identificar las causas biológicas que originan la infestación, así como tomar medidas para prevenir y controlar los problemas antes de que lleguen a ser extensos. Estos agentes pueden provocar perforaciones, raspado, arañado o marcas de masticación, suciedad, cavado de túneles, manchado, debilitamiento por insectos, pájaros o roedores. 1.3.1.2.5 Desastres naturales: el fuego, los fenómenos atmosféricos (ciclones o huracanes, tornados, terremotos, maremotos, volcanes, etc.) son mecanismos que atacan directamente a las colecciones, y pueden causar el deterioro o la pérdida completa de los documentos, por lo que se recomienda en caso de catástrofe, adoptar las medidas preventivas que ayuden a causar daños menores. 1.3.1.2.6 El hombre: Constituye el principal factor de deterioro de cualquier formato en que se presentan los documentos y se considera el causante de daños irreversibles a los mismos, además de ser el único capaz de poder darle solución a estos. Puede ocasionar la desaparición de partes o total de objetos de colección por robo, o desfiguración por vandalismo. 1.3.1.2.7 Disociación: surge de la tendencia natural de los sistemas ordenados a deshacerse a lo largo del tiempo. Provoca la pérdida de objetos, de su información relacionada o de la capacidad para recuperar o asociar objetos e información. La disociación incide tanto en los aspectos legales como intelectuales y/o culturales del objeto, se puede considerar un agente metafísico. La pérdida de valor de uno o de unos cuantos objetos dentro de una colección puede afectar el valor de todo el conjunto. 7
1.4 Los diez agentes del deterioro Para realizar la siguiente tabla de agentes se acude al esquema de clasificación para todas las posibles amenazas de una colección, fueron desarrollados en 1994 por el CCI Preservation Framework Póster. En el presente proyecto utilizamos los diez agentes de deterioro como un marco referencial básico para la organización de los riesgos. Tabla 2 Agentes de deterioro
Agente de deterioro
Fuerzas físicas directas (choques, vibraciones, abrasión y gravedad).
Robo, vandalismo, pérdida involuntaria (acceso no autorizado y desplazamiento).
Elementos que atraen el agente
Actividades y disciplinas que intervienen en la gestión de cada riesgo
Rotura, deformación, perforación, oquedades, arañazos, abrasión.
Temblores de tierra. Guerra. Mala manipulación. Almacenes sobrecargados.
Conservación.* Todo el personal del archivo para la detección, manipulación y respuesta a las situaciones de emergencia. Servicios de mantenimiento del edificio. Preparación para situaciones de emergencia.
Pérdida total, mutilación. Objeto perdido o extraviado.
Delincuentes profesionales y aficionados. Público. Personal de la institución.
Seguridad. Gestión de las colecciones. Conservadores e investigadores.
Riesgos del Agente
8
Destrucción total. Quemadura. Depósito de hollín y residuos de humo. Daño colateral provocado por el agua.
Instalación de exposición defectuosa o errónea. Sistemas de iluminación, de electricidad defectuosos. Incendio voluntario. Fumadores negligentes. Construcciones adyacentes.
Seguridad (fuego). Todo el personal del archivo para la detección.
Contornos de manchas o eflorescencias sobre los materiales porosos. Dilatación de los materiales orgánicos. Corrosión de los metales. Disolución de la goma. Separación de capas, levantamientos, combadura de los objetos laminados. Aflojamiento, rotura o corrosión de los objetos ensamblados.
Inundaciones. Tempestades. Techos defectuosos. Conductos de agua y de alcantarillado defectuosos dentro de la instalación. Conductos de agua y de alcantarillado defectuosos fuera de la instalación. Redes de extintores automáticos bajo el agua.
Conservación.* Preparación para las situaciones de emergencia, archivo y gobierno. Todo el personal para la detección y la respuesta a las situaciones de emergencia. Servicios de mantenimiento del edificio.
1 Destrucción, perforación, desgaste, galerías. Excrementos que destruyen, debilitan Paisaje circundante. Vegetación en el o desfiguran los materiales. perímetro del 2 Destrucción de edificio. Presencia de materiales orgánicos y basura. Introducción de materiales de pérdida involuntaria de Plagas construcción. los objetos más 1 Insectos. Introducción de pequeños. Manchas 2 Roedores, aves y otros nuevos artefactos. provocadas por los animales pequeños. excrementos y la orina. Llegada de personal y 3 Moho, microbios. Perforación, manchas de visitantes. Alimentos los materiales derramados. inorgánicos que crean un obstáculo ante los materiales orgánicos.
Conservación.* Exploración del edificio. Servicios de alimentación. Concepción de exposición. Todo el personal. Compañías externas de desinfección. Biólogos ajenos para la identificación.
Fuego
Agua
9
Desintegración, Contaminantes decoloración o 1 Gases internos y corrosión. externos 2 Líquidos 3 Sólidos (por ej. polvo, sales).
Contaminación urbana. Contaminación natural. Materiales de construcción. Materiales de embalaje. Algunos artefactos. Materiales de mantenimiento.
1. Desintegración, decoloración, oscurecimiento, Luz del día. amarilleo de la Tragaluces, ventanas. superficie d e l os materiales orgánicos y Iluminación eléctrica. Radiaciones 1 Rayos ultravioletas de algunos materiales inorgánicos coloreados. 2 Luz visible. 2. Decoloración. 1 Alteración de los colores y desintegración progresiva de los materiales orgánicos, sobre todo si son químicamente inestables (por ej. papel ácido, fotografías en colores, películas de nitrato y de Clima local. Luz del acetato). sol. Instalaciones Temperaturas 2 Friabilidad que técnicas defectuosas. contraindicadas provoca el agrietamiento 1 Demasiado elevadas. de la pintura y de otros 2 Demasiado bajas. polímeros. 3 3 Fluctuaciones. Agrietamiento y separación de las capas de los materiales sólidos quebradizos. Fuentes de fluctuaciones de la humedad relativa. 1 Moho (manchas sobre los materiales orgánicos e inorgánicos, debilitamiento), corrosión (metales). 2 Hidratación o Clima local. Salideros Índices de humedad deshidratación de de agua. Paredes relativa algunos minerales y frías. Instalaciones contraindicados corrosión de los metales técnicas defectuosas. 1 Humedad excesiva que contienen sales. Ventilación (HR superior al 75%) 3 Alteración de los inadecuada. 2 HR superior o inferior colores y desintegración a un umbral progresiva de los determinado materiales orgánicos, 3 HR superior a 0% 4 sobre todo los Fluctuaciones materiales químicamente inestables
10
Conservación.* Exploración del edificio. Servicios de mantenimiento del edificio.
Conservación.* Arquitectos. Exploración del edificio. Personal de seguridad.
Conservación.* Arquitectos. Exploración del edificio.
Conservación.* Arquitectos. Exploración del edificio.
1 Moho (manchas sobre Clima local. Salideros Conservación.* los materiales orgánicos de agua. Paredes Arquitectos. e inorgánicos, frías. Instalaciones Exploración del edificio. debilitamiento), técnicas d efectuosas. corrosión (metales). Ventilación Índices de humedad 2 Hidratación o inadecuada. relativa de contraindicados deshidratación algunos minerales y 1 Humedad excesiva (HR superior al 75%) corrosión de los metales 2 HR superior o inferior que contienen sales. 3 Alteración de los a un umbral y desintegración determinado colores progresiva de los 3 HR superior a 0% 4 materiales orgánicos, Fluctuaciones sobre todo los materiales químicamente inestables (por ej. papel ácido). 4 Encogimiento y dilatación de los materiales orgánicos que no sufren el efecto de fuerzas. Compresión, agrietamiento de materiales orgánicos que sufren el efecto de fuerzas. Separación y levantamiento de las de materiales Los íconos utilizados para capas esta gráfica fueron realizados con el generador de íconos gratuitos Iconion, orgánicos. descargado de http://iconion.com/es/ Mudanzas.
Pérdida de los objetos o
1.5 Riesgo
de los datos de los objetos, causado por la
Cambio de Mobiliario. Mala manipulación.
Conservación.* Todo el personal del archivo para la detección,
La Real Academia Española (2001) define al riesgo como “…la proximidad de un Préstamos. Mala
mala ubicación de ellos,
manipulación y
reubicación. daño…Sometiéndose a influjo de suerte o evento, sin poder reclamar por la acción de Disociación
estos…”.
o disociación de los
objetos con sus datos.
Remoción de etiquetas de
respuesta a las situaciones.
Podemos decir que riesgo es la probabilidad de que un acontecimiento ocurra y identificación. la o las consecuencias que pueden presentarse a partir de él. Este concepto está asociado indefectiblemente a otros dos que lo acompañan: vulnerabilidad y amenaza. Definimos vulnerabilidad como una debilidad inherente a un objeto, un valor o una organización, que puede ser explotada por una o más amenazas. Cabe entonces definir a la amenaza como una causa potencial de un incidente indeseado, que puede dar lugar a daño a un objeto, un valor o una organización.
11
En cuanto al riesgo en archivos tomamos los diez agentes de deterioro definidos por el “Plan para la preservación de colecciones” elaborado por el Instituto de Conservación Canadiense. Distinguimos tres dimensiones que pueden verse afectadas por estos agentes de deterioro: a) Elementos estructurales del edificio, incluye elementos vinculados a la forma permanente o que son parte de la estructura del edificio; b) Equipamientos o materiales, incluyen a las instalaciones, accesorios y materiales que no forman parte integral del edificio y c) Medidas y procedimientos. 1.5.1 Análisis de riesgo Si bien tomamos como referencia la Norma Técnica Colombiana NTC 5254 para la Gestión del Riesgo, -‐traducción de la norma técnica Australiana AS/NZ 4360:2004 para la gestión del riesgo independiente de la organización de que se trate-‐; analizamos también otras metodologías. Evaluamos la herramienta ERM – COSO (Enterprise Risk Management – Comitee of Sponsoring Organizations) cuyo enfoque está orientado a empresas y conformado por una cadena de acciones extendida a todas las actividades de gestión empresarial y se concibe como un medio para un fin: proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos de la empresa. En este sentido, para ERM-‐COSO, la Evaluación del Riesgo es un componente de los cinco que conforman este modelo cuyo núcleo es el control interno. Descartamos este modelo en líneas generales porque su enfoque es hacia el control interno y no al análisis de riesgo. Sin embargo rescatamos e incorporamos el concepto de Aceptación del Riesgo, como resultado natural y parte del tratamiento del riesgo. La ISACA Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información, propone la guía COBIT orientada a sistemas de información que plantea un conjunto de declaraciones para modelos de maduración del proceso (de 0 a 5). 12
Adaptamos las descripciones de niveles a las matrices que planteamos en nuestro trabajo. El modelo MAGERIT es una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España, que ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones, para de esta forma implementar las medidas de control más adecuadas. Además de esto, cuenta con todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos. Su enfoque es a la identificación de riesgo y su solución. De su capítulo de técnicas específicas, se centra en algunas técnicas muy específicas del análisis y gestión de riesgo que considera: 1. uso de tablas para la obtención sencilla de resultados; 2. técnicas algorítmicas para la obtención de resultados elaborados; 3. árboles de ataque para complementar los razonamientos de qué amenazas se ciernen sobre un sistema de información. De este modelo incorporamos el uso de tablas o matrices, para una presentación sencilla así como las escalas para los valores de magnitud riesgo. Por último consideramos las normas ISO 27005 (2008) e ISO 31000 (2009) que son los estándares más conocidos para la gestión de riesgos, que facilitan a una empresa enfocarse en implementar herramientas y metodologías que satisfagan los requerimientos básicos de la administración de riesgos en sus sistemas de información. Estas normas ofrecen un conjunto de pasos ordenados y lógicos en un marco lo suficientemente amplio como para aplicarse a distintas áreas y realidades. Para los propósitos del análisis de riesgo es necesario establecer un marco lógico que nos remita a un proceso ya que no se trata de una acción aislada dentro de una organización sino que se ve comprendida dentro de un contexto que es necesario establecer. Este proceso se desarrolla en seis pasos que graficamos a continuación.
13
Comunicación
1
2 3 4
5 6
• Establecimiento del contexto • Identisicación del riesgo
• Estimación del riesgo
• Análisis del riesgo
• Tratamiento del riesgo • Aceptación del riesgo
Revisión y Monitoreo
Figura 1. Diagrama de proceso de análisis de riesgo
El proceso de gestión de riesgo puede ser iterativo para las actividades de evaluación y/o tratamiento del riesgo. Este enfoque se explica en la necesidad de profundizar y precisar el detalle de la evaluación en cada iteración, que trae como resultado -‐ o al menos pretende hacerlo-‐ un buen equilibrio entre la minimización de tiempo y esfuerzo y la adecuada evaluación del riesgo. Nuestro punto focal será el Análisis de Riesgo del proceso de Gestión de Riesgo. Antes de abordar el tema debemos acordar un lenguaje común, para ello a continuación proponemos un Glosario. 1.5.1.1 Glosario A los efectos del tratamiento de este tema resulta importante definir los términos que se aplicarán de aquí en adelante, ordenados conceptualmente y tomados de la Guía ISO/IEC 73:2009; guía estandarizada del vocabulario normalizado para el Análisis de Riesgo. Amenaza: causa potencial de un incidente indeseado, que puede dar lugar a daño a un 14
objeto, un valor o una organización. Riesgo: la probabilidad de que un acontecimiento ocurra y la o las consecuencias que pueden presentarse a partir de él. Vulnerabilidad: debilidad inherente a un objeto, un valor o una organización, que puede ser explotada por una o más amenazas. Impacto: cambio adverso. Identificación del riesgo: proceso de encontrar, enumerar y caracterizar elementos de riesgo. Análisis del riesgo: proceso de encontrar, enumerar y caracterizar elementos de riesgo. Evaluación del riesgo: proceso global de análisis y evaluación del riesgo. Estimación del riesgo: proceso de asignar valores a la probabilidad y las consecuencias de un riesgo. Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización en relación con el riesgo. Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo. Evitar el riesgo: decisión de no involucrarse en una situación de riesgo. Aceptación del riesgo: decisión de asumir un riesgo. Transferencia del riesgo: compartir con otra parte el peso o pérdida o beneficio de la ganancia de un riesgo. 15
Reducción del riesgo: acciones tomadas para disminuir la probabilidad, las consecuencias negativas o ambas, asociadas con un riesgo. 1.5.1.2 Establecimiento del contexto Es menester establecer el contexto; para lo que se requiere toda la información relevante del archivo y a partir de ella fijar criterios básicos necesarios para la evaluación y la gestión, definir los alcances y los límites y establecer la organización apropiada para su operación. A partir de este contexto se logrará la especificación de criterios básicos, alcance y límites para el proceso de la gestión del riesgo. Es recomendable desarrollar un criterio de evaluación del riesgo que considere el valor de los fondos que compongan el archivo; la criticidad de la información implicada, los requisitos legales, reglamentarios o contractuales; la importancia operacional en términos de disponibilidad, confidencialidad e integridad y las expectativas que se tienen dentro y fuera de la institución que los alberga. Resulta necesario especificar el criterio del impacto en relación al grado de daño que puede causar a la institución desde la pérdida física a la pérdida de integridad, disponibilidad y accesibilidad; los requisitos legales, reglamentarios o contractuales y el daño a la reputación. Es importante entonces asumir el criterio de aceptación de riesgo para lo que será necesario en principio establecer un nivel objetivo deseado del riesgo. Este criterio de aceptación puede ser expresado como el cociente del beneficio estimado sobre el riesgo. La variedad dentro del criterio de aceptación estará pautada por el marco legal en principio, mientras que en otros casos pueden ser aceptados mediante consenso de partes.
16
1.5.1.3 Identificación del riesgo El propósito de la identificación del riesgo es determinar que podría suceder para causar una potencial pérdida y conocer cómo, cuándo y por qué la pérdida puede suceder. Los fondos que comprenden el archivo deben estar identificados de tal manera que provean del detalle de información suficiente para realizar una adecuada evaluación. El nivel de detalle nos permite lograr una mayor refinación en las iteraciones de la evaluación. Deben designarse los responsables legales y administrativos de los fondos para en primer lugar determinar el grado de responsabilidad en su uso, mantenimiento y estado del arte así como cualquier otra información adicional que le sea propia. A continuación deberán identificarse las amenazas y sus fuentes. Una amenaza es todo vector que tiene el potencial de dañar los fondos en su soporte, en su información así como en los procesos que le comprendan. Estas amenazas pueden ser tanto de carácter interno como externo. Algunas amenazas pueden afectar a más de un fondo lo que puede resultar en diferentes impactos dependiendo los fondos afectados. Debe tenerse en cuenta la información histórica en relación a la ocurrencia de las amenazas que servirán de insumo a la confección de una lista de amenazas y sus fuentes. Se requiere entonces identificar los controles existentes o planificados. Para ello es necesario recopilar o desarrollar una lista de los controles existentes así como su estado de implementación y de uso. Además de las amenazas deberían identificarse las vulnerabilidades que pueden ser explotadas por amenazas para causar daños. La presencia de una vulnerabilidad en sí misma no causa daño ya que es necesario que exista una amenaza para que pueda explotarla, una vulnerabilidad que no tiene una amenaza puede no requerir la implementación de un control pero si requiere de un monitoreo. 17
La conjunción entonces de una vulnerabilidad y una amenaza trae aparejadas consecuencias que deben ser cuantificadas de alguna manera por lo que se requiere establecer una serie de escenarios de incidentes con sus consecuencias sobre la institución, los fondos y los procesos que se vean comprendidos. 1.5.1.4 Estimación del riesgo Es importante lograr un nivel de detalle en función de la criticidad de la institución, los fondos y los procesos, el conocimiento de las vulnerabilidades, las amenazas y los incidentes anteriores en los que se vio involucrada la organización. Para poder estimar el riesgo es necesario comparar el riesgo contra criterios previamente establecidos para determinar su importancia. Establecer un método cuanti o cualitativo que permita realizar mediciones y establecer indicadores tanto a nivel institucional, físico como de procesos. 1.5.1.5 Análisis del riesgo Implementar la herramienta confeccionada a estos fines en relación a los escenarios de incidentes que conduzcan al riesgo. 1.5.1.6 Tratamiento del riesgo Las opciones en cuanto al tratamiento del riesgo deberían seleccionarse tomando en cuenta el resultado del Análisis de riesgo. Estas opciones deben ser consensuadas y no son siempre excluyentes ya que dependiendo del riesgo podrá tratarse con una combinación de las mismas. Las cuatro opciones para el tratamiento del riesgo son: reducir del riesgo; aceptar del riesgo; evitar el riesgo y transferir el riesgo. Estas opciones surgen al asumir las consecuencias adversas de los riesgos que deberían ser llevadas a su mínima expresión en la medida de las posibilidades y necesidades institucionales.
18
Para cualquiera de ellas es imprescindible definir cuál es el criterio de aceptación del riesgo así como la corrección, eliminación, y prevención del impacto, detección de amenazas, recuperación ante un impacto, seguimiento y monitorización. Si el nivel de riesgo satisface el criterio de aceptación no hay necesidad de establecer controles adicionales y el riesgo es aceptado. Cuando los riesgos identificados son considerados muy altos o su tratamiento excede los beneficios que se pretenden obtener se puede tomar la decisión de evitar el riesgo retirándose de la actividad o cambiando totalmente las condiciones. Por ejemplo, los riesgos causados por la naturaleza, si un archivo se encuentra en una zona inundable puede ser más efectivo realizar una mudanza a otro local, por lo que de esa manera estaré eliminando el riesgo. El transferir el riesgo implica delegar en alguien más el riesgo. Por lo general se realiza con partes externas y la transferencia puede generar a su vez riesgos que deberán ser evaluados o proveerles un tratamiento adicional. La reducción del riesgo se encuentra orientada a los controles que permitan llevar al riesgo a un criterio de aceptable. El “Plan para preservación de colecciones” propone medidas para el control del riesgo y las divide en cinco etapas. Las cuatro primeras corresponden a la conservación preventiva, es decir, orientadas a la disminución del riesgo a un valor aceptable. Ellas son: E. Evitar -‐ Evitar los orígenes o condiciones propicias para su desarrollo. D. I. Detener - Impedir-‐ Impedir o detener la llegada e instalación en el objeto o valor. D. Detectar -‐ Si no se puede evitar, impedir o detener, se debe detectar, es decir, salir a la búsqueda del riesgo, por ejemplo, mediante inspecciones. A. Actuar -‐ Dar respuesta orientada a la erradicación del riesgo. La última etapa corresponde ya al tratamiento del riesgo y se trata de la etapa: R. T. – Recuperar Tratar – Cuando se ven agotadas las medidas anteriores.
19
1.5.1.7 Aceptación del riesgo La aceptación del riesgo trae consigo dos conceptos ineludibles. En primer lugar el concepto de riesgo residual, es decir, luego del tratamiento del riesgo tendré un nivel de riesgo que deberá ser evaluado como aceptable, de acuerdo a los requerimientos legales, reglamentarios o contractuales. El segundo concepto es el de plan para el tratamiento del riesgo que fomente el seguimiento y monitorización del riesgo así como registro y evolución de indicadores para el riesgo residual. 1.5.2 Matriz de Análisis de Riesgo La matriz de Análisis de Riesgo es una herramienta clave para la identificación de amenazas y vulnerabilidades que pueden ser explotadas ante la presencia de un impacto. 1.5.2.1 Metodología de Análisis de Riesgo Como primera medida corresponde realizar una valoración de los archivos y de los fondos en relación a la probabilidad de ocurrencia de una amenaza. La siguiente matriz toma en consideración la probabilidad de exposición correspondiente al impacto en los fondos. La probabilidad de que este impacto ocurra vincula al impacto con la exposición. El riesgo resultante es una escala de 0 a 8 que puede ser evaluada con respecto al criterio de aceptación del riesgo. Riesgo que no aplica
0
Riesgo bajo
1 – 2
Riesgo medio
3 – 5
Riesgo alto
6 – 8
NOTA: Cuando el riesgo no aplica no se contempla al momento de promediar los resultados obtenidos
20
Tabla 3 Matriz de grado de riesgo
Impacto / Exposición No aplica Bajo Medio Medio-‐Alto Alto
Muy Baja
Baja
Media
Alta
Muy Alta
0 1 2 3 4
1 2 3 4 5
2 3 4 5 6
3 4 5 6 7
4 5 6 7 8
A continuación se expresan los niveles de descripción de los riesgos contemplando el valor numérico, el significado y el impacto que producen a fin de tomar medidas. Tabla 4 Matriz de descripción de los riesgos
Valor numérico
Significado
Medidas
0
No aplica
No aplica
1
Insignificante
Tienen un impacto muy bajo. No requieren ninguna acción.
2
Trivial
Tienen un impacto bajo. No requieren acción.
3
Menor
Tienen efectos menores. Requieren un plan.
4
Poco Significativo
Tendrían algún efecto negativo. Requieren acciones específicas.
Significativo
Tendrían efecto negativo. Se debe considerar exhaustivamente el caso y ejecutar acciones para reducción del riesgo.
5
6
Importante
7
Mayor
Tendrían serios efectos negativos. Estos riesgos deben ser reducidos o tratados de alguna forma para ser más aceptables. Tendrían efectos negativos mayores y deberían ser reducidos en todas las circunstancias para hacerlos aceptables.
21
8
Tendrían efectos desastrosos y deberían ser reducidos en todas las circunstancias además de asegurarse que no ocurran.
Catastrófico
Corresponde entonces valorar la vulnerabilidad y la amenaza en relación al fondo. Tabla 5 Matriz de grado de exposición
Vulnerabilida dAmenaza
Baja Probabilidad
Media Probabilidad
Alta Probabilidad
Baja
Muy bajo riesgo de exposición
Bajo riesgo de exposición
Medio riesgo de exposición
Media
Bajo riesgo de exposición
Medio riesgo de exposición
Alto riesgo de exposición
Alta
Medio riesgo de exposición
Alto riesgo de exposición
Muy alto riesgo de exposición
Tabla 6 Matriz de ocurrencia/amenaza
Probabilidad de ocurrencia Facilidad de explotación 1 2 3 4 5 Valor del fondo
Bajo
Medio
Alto
B
M
A
B
M
A
B
M
A
1 1 2 3 4
1 2 3 4 5
2 3 4 5 6
1 2 3 4 5
2 3 4 5 6
3 4 5 6 7
2 3 4 5 6
3 4 5 6 7
4 5 6 7 8
En esta matriz tenemos identificado en primer lugar el valor del fondo y en las columnas mayores la probabilidad de ocurrencia de la amenaza seguida por la fila correspondiente a la facilidad de explotación. 22
Por ejemplo, si un fondo tiene un valor “3”, la amenaza es “alta” y la vulnerabilidad “baja”, la medida de riesgo es “5”. Cabe entonces verificar contra los criterios de aceptación de riesgo para su posterior valoración. A continuación se propone un Orden de prelación de las Amenazas por medidas de riesgo. Tabla 7 Matriz de resultados
Descripción Probabilidad de la de Amenaza ocurrencia (a) de amenaza (b) Amenaza a 5 Amenaza b 2 Amenaza c 3 -‐ -‐
Valor del Medida del Orden de fondo riesgo prelación (c) (d) 2 4 5 -‐
10 8 15 -‐
2 3 1 -‐
En esta matriz se propone relacionar los factores de las consecuencias (valor del archivo/fondo) y la probabilidad de ocurrencia de una amenaza teniendo en cuenta aspectos de la vulnerabilidad. Los datos se obtienen a partir del relevamiento registrado en el formulario de agentes de deterioro cada uno de los cuales representa una amenaza. Se trabajará con el resultado del promedio de cada amenaza y luego el promedio de las tres dimensiones contempladas. Solo como dato adicional se calcula y agrega la desviación que se considera a partir de la evaluación cualitativa sobre el promedio de las dimensiones. El primer paso es evaluar la probabilidad de ocurrencia de la amenaza columna (b). El segundo paso es evaluar las consecuencias (valor del archivo/fondo), mediante la escala previamente definida en la columna (c). El tercer paso es calcular la medida del riesgo multiplicando (b x c).
23
Finalmente las amenazas pueden ser ordenadas de acuerdo a la medida del riesgo asociada. Por último en la columna (e) establecemos el orden de prelación de acuerdo a los valores resultantes en la escala adecuada. 1.5.2.2 Presentación de resultados Los resultados se presentan de dos formas. En la primera a partir de los resultados obtenidos de los promedios de las amenazas emanadas del formulario de agentes de deterioro y volcadas a una gráfica de barras en las que se podrán apreciar los valores del riesgo en cada una de las dimensiones (edificio, mobiliario y procesos) y para cada una de las amenazas/agentes. En la segunda, a partir del resultado de la medida del riesgo obtenido del cálculo del orden de prelación de amenazas. Estos resultados se escalan de acuerdo al valor obtenido de la Matriz Impacto/Exposición por el máximo valor de fondo (5). A partir de los valores relevados realizamos un promedio para cada uno de los agentes en las tres dimensiones de los que resultan los siguientes datos, cuyo resultado numérico se redondea a partir de los valores superiores a 0,5 en el valor entero siguiente. Se pretende de esta manera una rápida identificación del riesgo asociada al color asignado a los diferentes valores. Tabla 8 Identificación del riesgo
Impacto / Exposición No aplica Bajo Medio Medio-‐Alto Alto
Muy Baja
Baja
Media
Alta
Muy Alta
0 1 -‐5 6 -‐10 11 – 15 16 – 20
1 -‐5 6 -‐10 11 -‐ 15 16 -‐ 20 21 -‐ 25
6 -‐10 11 -‐ 15 16 -‐ 20 21 -‐ 25 26 -‐ 30
11 -‐ 15 16 -‐ 20 21 -‐ 25 26 -‐ 30 31 -‐35
16 -‐ 20 21 -‐ 25 26 -‐ 30 31 -‐35 36 -‐ 40
24
2 Metodología La metodología utilizada para este trabajo es un desarrollo a partir de la norma UNIT ISO 31000 sobre la Gestión del Riesgo. El núcleo del trabajo se realiza a partir de un conjunto de matrices de doble entrada que permiten organizar y sistematizar información en columnas horizontales y verticales, concentrando y relacionando la información obtenida a partir del relevamiento de datos de una fuente. 2.1 Metodología de Trabajo Se propone una metodología cuali-‐cuantitava. Para la primera la herramienta seleccionada fue la entrevista. Esta se formaliza por medio de un cuestionario con formato de formulario de relevamiento, que comprendia las generalidades de cada institución. Asimismo se elabora un segundo formulario, de agentes de deterioro, de tipo cuantitativo para la ponderación de las amenazas, definimos cada amenaza como los agentes de deterioro. Las amenazas seleccionadas se fundamentan en los antecedentes históricos de ocurrencia de eventos en los que se plasmó el riesgo en incidentes que afectaron en forma directa y significaron una pérdida en los fondos, obtenidos del relato o registro. También se contemplan la frecuencia de explotación del riesgo y la probabilidad de ocurrencia por observación directa. A efectos de cuantificar la observación se acompañan además un conjunto de matrices que se detallan a continuación. La primera, una matriz de grado de riesgo, cuadro de doble entrada en que se combinan por un eje impacto y por otro exposición. La segunda, una matriz de descripción de riesgos, cuadro de doble entrada en que a cada valor numérico se le asigna un significado y su impacto. La tercera, una matriz de exposición de riesgo, cuadro de doble entrada en que se combinan la vulnerabilidad y la amenaza.
25
La cuarta, matriz de ocurrencia de amenaza, cuadro de doble entrada en el que se combinan la probabilidad de ocurrencia y la facilidad de explotación. A partir de la valoración realizada en cada institución se toma el valor cinco (5) para todos los fondos por su naturaleza jurídico administrativa. La quinta matriz, de medida de riesgo; a partir de la descripción de la amenaza multiplicando el valor del fondo por la probabilidad de ocurrencia se obtiene la medida del riesgo que luego se establece el orden de prelación. Como las amenazas se desglosan a efectos de cubrir la mayor cantidad de eventos se procede a realizar un promedio para cada amenaza y lograr un valor único para cada una. A partir de los valores relevados realizamos un promedio para cada uno de los agentes en las tres dimensiones de los que resultan los siguientes datos, cuyo resultado numérico se redondea a partir del 0,5 incluyendo a este número, al valor superior y menor a 0,5 al valor inferior. Con estos datos se procede a graficar los resultados que se vuelcan por un lado a una gráfica de líneas y por otro a un cuadro resumen, basado en el formulario de ponderación, utilizando la matriz de descripción de riesgo a la que se traslada el valor promedio y se le asigna el color correspondiente a cada resultado. Se pretende con esta doble presentación de resultado facilitar la lectura y lograr una fácil detección del riesgo para cada una de las amenazas. 3 Presentación de resultados El trabajo de campo consiste de una entrevista con la persona responsable del Archivo, y se utilizan los formularios de relevamiento de archivo y de agentes de deterioro. Se define el alcance a las instituciones. Se efectuan las correspondientes visitas. Se recopila además la información en la página web de cada institución relativa a su creación, una breve reseña histórica así como las dependencias que la integran y su actualidad. 26
A continuación se plantea un ejemplo de los resultados volcados en la ficha de relevamiento propuesta para los agentes de deterioro. Luego se grafican los resultados como presentamos a continuación.
Formulario de Relevamiento de Agentes de Deterioro
Fuerzas físicas
Vandalismo
Fuego
Agua
Edificio Conflicto Sobrecarga
8 6
Mobiliario Sobrecarga Antigüedad
6 2
Procesos Manipulación Perforación
1 1
Antigüedad
6
Rotura
2
Deformación
3
Grietas
4
1
n/a
Piso
0
0
n/a
Revestimientos interiores lisos
Abrasión Soportes para delimitar
0
Movilidad
0
n/a
Conflictos externos
8
Vandalismo
0
Manipulación
0
Espacio adecuado Zonas carga y descarga adecuadas Puestos de seguridad
1
Pérdida
0
0
0
Destrucción total
0
Pérdida Acceso no autorizado
0
Destrucción parcial
0
Usuarios externos
0
Líneas de división despejadas
0
Equipos de seguridad apropiados
0
Usuarios internos
0
Ventanas seguras
1
n/a
Puertas seguras Ductos de ventilación
1
n/a
Barreras sicológicas Traslado
0
n/a
n/a
Quemadura
0
Quemadura
0
Destrucción total Sistema eléctrico Sistema extinción incendios Detectores de humo Rociadores
0 0
Destrucción total Material flamable Contenedores flamables
0 1
Programa seguridad ante incendios Simulacros Funcionario
7
n/a
Cortafuego Inundación
1
Cañerías y tuberías
0
Tragaluz, claraboya Desagüe
0 4
2 7
n/a
n/a
7
n/a
n/a
6
n/a Adecuada separación del suelo Cajas impermeables Material absorbente n/a
n/a 1 1 0
Revisiones periódicas Tratamientos por daños Medidas de n/a
0
0 0
7 7 1
0 0 0 n/a
27
A continuación se calculan los valores promedio para cada amenaza.
28
Tabla 9 Valores promedio agentes de deterioro
Edificio
Mobiliario
Procesos
Promedio
Fuerzas físicas
6
2,7 ~ 3
1,7 ~ 2
4
Vandalismo
2,7 ~ 3
0
0
1
Fuego
5,5 ~ 6
4
5
5
Agua
2,5 ~ 3
1
0
1
Plagas
2,3 ~ 2
5
2,5 ~ 3
3
Contaminantes
1
7
5
4
Radiación
0
0
0
0
Temperatura
2
5
7
5
Humedad
2
2
3,5 ~ 4
3
Disociación
1
2
3
2
Teniendo en cuenta la fórmula estadística para cálculo de la Desviación Promedio que para este caso es: 1,44. Podemos a partir de esta primera lectura de la probabilidad de amenaza graficar estos resultados para las tres dimensiones. 8 7 6 5 4 3
Edisicio
2
Mobiliario
1
Procesos
0
Figura 2. Gráfica resultados de amenaza.
29
Con el valor promedio de la amenaza nos disponemos a calcular el valor de riesgo. Tabla 10 Matriz de resultados Descripción de la Valor del Probabilidad Amenaza fondo de ocurrencia (a) (b) de amenaza (c)
Fuerzas físicas Vandalismo Fuego Agua Plagas Contaminantes Radiación Temperatura Humedad Disociación
Medida del Orden de riesgo prelación (d)
5
4
20
2
5
1
5
5
5
5
25
1
5
1
5
5
5
3
15
3
5
4
20
2
5
0
0
6
5
5
1
5
3
25 15
2
10
4
5
3
Se analizan los resultados de acuerdo a las matrices de referencia. La aplicación de la herramienta al ejemplo planteado arroja los siguientes resultados: Edificio: el problema más importante detectado en esta institución basándonos en los diez agentes, es en Fuerzas Físicas donde se destaca la sobrecarga y antigüedad del edificio. También en el caso de conflictos estaría comprometida la conservación de los archivos. Otro de los agentes que sobresale es el Fuego, el Archivo carece de detectores de humo, rociadores y puertas cortafuego. Mobiliario: los mayores problemas observados se dan en el agente Contaminantes, no cuenta con dosímetro y tampoco filtro de aire. Otro agente con un impacto significante es el referido a las Plagas ya que no se cuenta con cajas aislantes. Por último, al carecer de un termómetro la Temperatura no es controlada. Procesos: el problema más importante se da en el agente Fuego ya que no tienen programas de seguridad, tampoco se hacen simulacros en casos de catástrofes relacionadas con este agente. En relación a los Contaminantes no existen planes de control ni identificación de elementos sensibles. Con respecto a la Temperatura no tienen ningún tipo de registro, ni se efectúan controles al respecto. 30
De acuerdo a los valores arrojados en la matriz de “Valor del Riesgo” concluimos que el riesgo es significativo y se da en los agentes Fuego y Temperatura.
31
Bibliografía CORTÉS ALONSO, Vicenta (1981). Los documentos y su tratamiento archivístico. Boletín de la ANABAD, Tomo 31, Nº 3, p. 365-‐381. CRUZ MUNDET, José Ramón (2002). La gestión de documentos y archivo: una herramienta al servicio de la calidad. Revista d'arxius, Nº 1, p. 9-‐30. CRUZ MUNDET, José Ramón (2006). La gestión de documentos en las organizaciones. 1a Ed. Madrid: Ediciones Pirámide, 311 p. CRUZ MUNDET, José Ramón (2012). Archivística Gestión de documentos y administración de archivos. 1ª Ed. Madrid: Alianza Editorial, 359 p. de GUICHEN Gaël (1999). La conservación preventiva: ¿simple moda pasajera o cambio trascendental? En: Museum Internacional. Vol. 51, Nº1, p 4-‐6. FUSTER RUIZ, Francisco (1995). Política y planificación de archivos. 1a Ed. Murcia: DM, 191 p. FUSTER RUIZ, Francisco (1995). Manual de Archivística Planificación general de los archivos. Antonio Ángel Ruiz Rodríguez (ed. lit.), p. 303-‐324. HEREDIA HERRERA, Antonia (2007). ¿Qué es un archivo? 1a Ed. Gijón: Ediciones Trea, S.L., 136 p. HEREDIA HERRERA, Antonia (2008). Gestión de documentos y administración de archivos. Códices: Revista de la Facultad de Ciencias Económicas y Sociales. Programa de Sistemas de Información y Documentación, Vol. 4, Nº 2 (JUL-DIC), p. 43-‐50. HEREDIA HERRERA, Antonia (2009). Recordando, mirando al futuro: del lenguaje, de la normalización y de los contextos documentales. Códices: Revista de la Facultad de Ciencias Económicas y Sociales. Programa de Sistemas de Información y Documentación, Vol. 5, Nº. 2 (JUL-DIC), p. 149-‐160 HEREDIA HERRERA, Antonia (2011). Historia, memoria y gestión en el contexto archivístico. En: Carmen Galván, Juan Baró Pazos. La utilidad de los archivos: Estudios en homenaje a Manuel Vaquerizo Gil, p. 73-‐82. ICC (1998). Plan para Preservación de Colecciones [cartelón]. División de Investigaciones sobre el Ambiente y el Deterioro del Instituto Canadiense de Conservación.
32
NTC 5254 Norma Técnica Colombiana (2004). Gestión del Riesgo. Bogotá: ICONTEC (Instituto Colombiano de Normas Técnicas y Certificación). LODOLINI, Elio (1993). Archivística Principios y Problemas. 1ª Ed. Madrid: La Muralla SA, 357p. LODOLINI, Elio (1995). El Archivo de ayer al mañana (La Archivística entre tradición e innovación). Boletín de la ANABAD, Nº 1, Tomo 45, p. 39-‐50. NUÑEZ FERNÁNDEZ, Eduardo (1999). Organización y Gestión de archivos. Gijón: Ed. Alfagrama Ediciones. RUFEIL, Marta (2009). Manual de Teoría Archivística y Glosario. 1a Ed. Córdoba: Brujas, 252 p. SALAS, Pilar (2014, 11 y 12 de agosto). La gestión de riesgos como herramienta para la planificación de medidas de seguridad. Ponencia presentada en: V Jornadas Patrimonio en Peligro. El patrimonio papel en situaciones de riesgo: Planes de Emergencia, Escuela Lino Enea Spilimbergo, Ciudad de las Artes, Córdoba. SCHELLENBERG, Theodore Roosevelt (1957). Archivos Modernos Principios y Técnicas. Chicago: Ed. FGV, 350 p. TANODI, Aurelio (1975). Manual de archivología. Córdoba: Centro Interamericano de Formación de Archiveros, 128 p. TANODI, Aurelio Z. y TANODI, Branka (2009). Manual de archivología Hispanoamericana Teoría y Principios. 1a Ed. Córdoba: Brujas, 264 p. UNIT-‐ISO/IEC 27005:2008. Tecnología de la Información – Técnicas de seguridad – Gestión de riesgos de la seguridad de la información. Montevideo: Publicada por el Instituto Uruguayo de Normas Técnicas. UNIT-‐ISO/IEC 31000:2009. Fundamentos de la Gestión del Riesgo. Montevideo: Publicada por el Instituto Uruguayo de Normas Técnicas. VÁZQUEZ MURILLO, Manuel (2006). Administración de documentos y Archivos: planteos para el siglo XXI. 2a Ed. Buenos Aires: Alfagrama, 154 p.
33
7 Webgrafía Agua destroza libros en la Biblioteca de Parlamento. [en línea]. Montevideo: Melgar, P., 4 de setiembre de 2015. [Consulta: setiembre de 2015]. Disponible en: http://www.elpais.com.uy/informacion/agua-‐destroza-‐libros-‐biblioteca-‐ parlamento.html Canadian Conservation Institute: Plan para la preservación de colecciones (póster).[en línea]. Canadá: 2011. [Consulta: abril de 2015]. Disponible en: https://www.cci-‐ icc.gc.ca/resources-‐ressources/agentsofdeterioration-‐agentsdedeterioration/index-‐ eng.aspx Conservación de Documentos. [en línea]. Cuba: Instituto de Información Científica y Tecnológica, 7 de diciembre de 2012. [Consulta: junio de 2015]. Disponible en: http://www.ecured.cu/index.php/Conservación_de_documentos Enterprise Risk Management – Integrated Framework. [en línea]. EE.UU: Setiembre 2004. [Consulta: junio de 2015]. Disponible en: http://www.coso.org/documents/coso_erm_executivesummary.pdf Facultad de Derecho, Universidad de la República. [en línea]. Montevideo: 31 de octubre de 2012. [Consulta: julio de 2015]. Disponible en: http://www.fder.edu.uy/archivo/decreto-‐reglamentario-‐ley-‐18220.pdf La gestión del riesgo - Vocabulario - Directrices para el uso en las normas. [en línea] Suiza: 2002. [Consulta: julio de 2015]. Disponible en: http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumbe r=34998 MAGERIT – Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. [en línea]. Madrid: Ministerio de Hacienda y Administraciones Públicas, octubre de 2012.
[Consulta:
agosto
de
2015].
Disponible
en:
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Doc umentacion/Metodologias-‐y-‐guias/Mageritv3/2012_Magerit_v3_libro3_guia-‐de-‐ tecnicas_es_NIPO_630-‐12-‐171 8/2012_Magerit_v3_libro3_gu%C3%ADa%20de%20técnicas_es_NIPO_630-‐12-‐171-‐ 8.pdf Real Academia Española. [en línea]. Madrid: 2001. [Consulta: junio de 2015]. Disponible en: http://lema.rae.es/drae/?val=riesgo
34
35
Lihat lebih banyak...
Comentarios
