Valor numérico final de la exposición, máximo 1,250 pts. Determina el nivel y la urgencia de acción.

Magnitud del daño potencial. Combina la importancia operativa (I) y los daños ocasionados (D).

Posibilidad de materialización. En SEKrisk incluye un multiplicador dinámico por recencia de eventos en el log de incidentes.

Porcentaje que resume la postura global de seguridad de la instalación. ≤20% Resiliente · 21-50% Preventivo · >50% Reactivo.

Peso operativo de la amenaza: qué tan grave sería que ocurriera y qué tan difícil sería reponerse.

Peso reputacional y geográfico: qué tanto afecta la imagen y qué tan lejos llegan las consecuencias.

Plan de acción derivado del análisis. Se divide en Táctico (1–30 días) y Estratégico (30–90 días).

Subconjunto mínimo de riesgos que concentra el 80% del ER total. Son la prioridad absoluta de intervención.

Margen ±10% en los umbrales de nivel aplicado exclusivamente a riesgos operativos con activos físicos reversibles.

Bien, persona, proceso o sistema que la organización debe proteger. Se define en el Activos Críticos de Éxito en el Paso 2 y se vincula a los riesgos que lo amenazan. La criticidad se clasifica en Alta (Crítico), Media (Importante) o Baja (Operativo).

Activo asociado a uno o más riesgos evaluados. La exposición se mide por la cantidad de riesgos ALTO (A) y MEDIO (M) que lo amenazan. Visible en el sidebar 🎯 Activos en Riesgo.

Consecuencia operativa si el riesgo se materializa. ¿Qué tan grave sería para la operación del negocio?

Dificultad para reponer los activos o bienes afectados. ¿Qué tan fácil es recuperarse económicamente?

Efectos psicológicos y daño a la imagen o reputación de la organización ante el evento.

Alcance geográfico del impacto. ¿Cuántas personas o cuánto territorio se ven afectados?

Nivel de amenaza basado en la recencia de incidentes históricos registrados en el Log.

Robustez de los controles físicos y tecnológicos actuales. ¿Qué tan expuesta está la instalación hoy?

Índice de criminalidad percibida por país. Fuente: Numbeo. Vigencia: 200 días. A mayor valor, mayor criminalidad relativa.

Escala 0–100. Mayor puntaje = menor corrupción percibida. Fuente: Transparencia Internacional. Publicación anual (febrero). Vigencia: 400 días.

Índice de exposición a eventos climáticos extremos. Fuente: Germanwatch. Publicación anual (noviembre). Vigencia: 400 días. Mayor valor = mayor riesgo climático.

Factores Político, Económico, Social, Tecnológico, Ambiental y Legal del país de operación. Vigencia editorial: 180 días.

Nivel de amenaza país (1–5) derivado de los índices macroeconómicos y de seguridad. Es el valor default de A cuando no hay log de incidentes propio.

🟢 Verde: datos dentro de vigencia · 🟡 Ámbar: por vencer (>75%) · 🔴 Rojo: vencido. El evaluador debe actualizar datos vencidos antes de emitir un informe formal.

Es cualquier bien, persona, proceso o sistema cuya interrupción, pérdida o compromiso causaría un impacto significativo en la seguridad o continuidad operativa de la instalación. No todos los activos son críticos — solo los que son esenciales para la función principal del sitio.

🏢 Infraestructura — Edificios, perímetros, salas de control, subestaciones, CCTV, accesos físicos.
👥 Personas — Personal clave, ejecutivos, guardias, operadores críticos, visitantes de alto perfil.
💻 Sistemas — IT, OT, redes, servidores, BMS, sistemas de seguridad electrónica.
⚙️ Operaciones — Procesos productivos, logística, cadenas de suministro, continuidad del negocio.
📊 Información — Datos confidenciales, propiedad intelectual, registros financieros, información de clientes.

🔴 Crítico — Activo sistémico. Su pérdida detiene la operación o genera impacto irreversible.
🟡 Importante — Activo relevante. Impacto significativo pero recuperable en el corto plazo.
🟢 Operativo — Activo de soporte. Impacto limitado; hay redundancias o sustitutos disponibles.

1. Defina activos en Activos Críticos de Éxito en el Paso 2 (nombre, categoría, criticidad).
2. En cada tarjeta de riesgo, active los chips 🎯 de los activos que esa amenaza expone.
3. El sidebar 🎯 Activos en Riesgo muestra qué activos concentran más riesgos ALTO/MEDIO.
4. Use la exposición por activo para priorizar inversiones en controles y planes CAPA.

El concepto de activo crítico se alinea con ISO 31000:2018 (gestión de riesgos — contexto y alcance), ASIS SPC.1 (Organizational Resilience Standard) y los marcos de análisis de criticidad de infraestructura del DHS / CISA adaptados a entornos corporativos latinoamericanos.

El marco legal no es el techo de la seguridad — es el piso. Antes de cualquier análisis de riesgos físicos se verifica que la operación de seguridad cumpla con cuatro requisitos básicos: (1) Registro y habilitación del proveedor, (2) Contratos laborales vigentes, (3) Cumplimiento de privacidad de datos, (4) Habilitaciones sectoriales aplicables. Si alguno falla, existe una exposición legal que puede ser más costosa que la física.

Metodología que usa el diseño del entorno físico como herramienta de disuasión y detección. En SEKrisk, CPTED se evalúa durante la visita de campo (no en el escritorio). Cubre cinco ítems observables: Orden y limpieza · Iluminación perimetral · Señalización visible · Control básico de acceso · Mantenimiento observable. Cada ítem se califica como Bien · Atención · Crítico. Un ítem Crítico compromete la base de pirámide de la defensa.

📋 Escritorio Previo — Trabajo documental antes de la visita: Marco Legal, Activos Críticos, tipo de instalación, controles declarados, documentación de madurez. Define el recorrido físico para que sea dirigido, no improvisado.
🔍 Visita de Campo — Observación física, entrevistas y verificación de evidencias. Incluye la evaluación CPTED y el registro de hallazgos. Puede completarse en múltiples sesiones.

Postura Declarada: Lo que el sistema dice que tiene — controles instalados, documentos existentes, presupuesto asignado. Se captura en el wizard (Paso 2).
Observación de Campo: Lo que el evaluador puede verificar físicamente. Puede diferir de la postura declarada. La brecha entre ambas es la vulnerabilidad real.
La confiabilidad del análisis depende de que ambas perspectivas estén documentadas.

Declarados: Chips marcados en el Wizard (Paso 2 → Controles Declarados) — CCTV, Acceso Biométrico, Guardias, etc. Representan lo que la organización afirma tener operativo.
Verificados: Confirmados físicamente durante el recorrido. El evaluador observa el estado real y lo documenta en el panel de Observación de Campo. Discrepancias entre declarados y verificados deben incluirse en los hallazgos.

Modelo de seguridad por capas concéntricas.
🔵 Anillo Exterior — Disuasión: señalización, iluminación, vigilancia visible. Objetivo: que el agresor perciba riesgo antes de actuar.
🟡 Anillo Intermedio — Detección y demora: CCTV, alarmas, barreras físicas, control de acceso. Objetivo: detectar y retardar la intrusión.
🔴 Anillo Interior — Denegación: bóvedas, salas seguras, redundancias críticas. Objetivo: proteger el activo crítico aunque los anillos exteriores fallen.
CPTED evalúa la condición base de los tres anillos.