Gestión de Riesgos: el modelo del queso suizo
¿Podemos usar el modelo del queso suizo utilizado para analizar los accidentes laborales en el análisis de riesgos de TI? ¿Podemos utilizar este modelo como apoyo para las acciones de mejora?
Cualquier metodología de análisis de riesgos tiene un objetivo: identificar las causas que podrían provocar una situación indeseada para emprender las acciones preventivas oportunas.
Esto es común en cualquier disciplina, ya sea la elaboración de un análisis de riesgos dentro del proceso de Gestión de la Continuidad de una organización de TI o en el análisis de riesgos a los que está expuesto un empleado en su puesto de trabajo.
En este artículo hablaremos del modelo del queso suizo, utilizado para explicar por qué ocurre un accidente laboral y ver cómo podemos reaprovechar esta idea en el mundo de la Gestión de Servicios de TI.
El modelo del queso suizo sugiere que nunca hay una única causa que provoque un accidente laboral, sino que siempre concurre un número variable de situaciones que, quizás de manera independiente no provocan el accidente pero que si lo hacen si coinciden a la vez.
Por ejemplo, si un empleado camina por un pasillo elevado, se cae y se hace una herida en la cabeza podemos identificar dos causas concurrentes: que no hubiera barandilla y que no llevase casco. Si alguna de las dos no hubiese existido no se habría hecho una herida en la cabeza.
Por tanto, si queremos mejorar a futuro no debemos buscar una única causa y proponer acciones preventivas sobre esa causa, debemos identificar todos los hechos concurrentes y proponer acciones preventivas sobre todos ellos. Así, incluso si alguna acción preventiva no fuese eficaz, basta con que alguna de las otras lo sea para evitar la repetición del accidente.
Es interesante comentar que el método de los 5-why puede ser útil para lo anterior porque aunque está pensado para encontrar una causa raíz, las causas intermedias pueden ser consideradas como causas concurrentes y tratar de incluirlas en las acciones de mejora e incluso porque las preguntas que nos hagamos no tienen por qué generar una serie lineal, pudiendo tomar forma de árbol y existiendo por tanto un conjunto de causas raíz.
El lector que haya llegado hasta se preguntará qué tiene que ver esto con Gestión de Servicios de TI, nuestro tema habitual en el blog. Pues bien, ahora piense en que el modelo del queso suizo se utiliza normalmente analizar qué provoca accidentes laborales pero es un modelo muy genérico y útil.
Le sugiero que tenga en mente este modelo cuando:
- Haga un análisis de riesgos para la Gestión de la Continuidad o para la Gestión de la Seguridad.
- Esté identificando oportunidades de mejora para la fase de CSI que propone ITIL.
- Aplique un enfoque proactivo a la Gestión de Problemas buscando oportunidades de mejora incluso antes de la ocurrencia de incidencias.
José Luis Fernández Piñero