Una evaluación de vulnerabilidad es el proceso de identificar, cuantificar y priorizar (o clasificar) las vulnerabilidades de un sistema. Ejemplos de sistemas para los cuales se realizan evaluaciones de vulnerabilidad incluyen, entre otros, sistemas de tecnología de la información , sistemas de suministro de energía , sistemas de suministro de agua , sistemas de transporte y sistemas de comunicación . Estas evaluaciones pueden realizarse en nombre de una variedad de organizaciones diferentes, desde pequeñas empresas hasta grandes infraestructuras regionales. La vulnerabilidad desde la perspectiva de la gestión de desastres significa evaluar las amenazas de peligros potenciales para la población y la infraestructura. Podrá realizarse en el ámbito político, social, económico o medioambiental.
La evaluación de vulnerabilidad tiene muchas cosas en común con la evaluación de riesgos . Las evaluaciones generalmente se realizan de acuerdo con los siguientes pasos:
" El análisis de riesgos clásico se ocupa principalmente de investigar los riesgos que rodean una planta (o algún otro objeto), su diseño y operaciones. Dicho análisis tiende a centrarse en las causas y las consecuencias directas para el objeto estudiado. El análisis de vulnerabilidad , por otra parte, Se centra tanto en las consecuencias para el objeto en sí como en las consecuencias primarias y secundarias para el entorno circundante. También se preocupa por las posibilidades de reducir tales consecuencias y de mejorar la capacidad de gestionar futuros incidentes." (Lövkvist-Andersen, et al. , 2004) [1] En general, un análisis de vulnerabilidad sirve para "categorizar activos clave e impulsar el proceso de gestión de riesgos". (Departamento de Energía de Estados Unidos, 2002). [2]
En los Estados Unidos, numerosas agencias, entre ellas el Departamento de Energía, la Agencia de Protección Ambiental y el Departamento de Transporte de los Estados Unidos, ofrecen guías que brindan valiosas consideraciones y plantillas para completar una evaluación de vulnerabilidad.
Varios artículos de investigación académica, incluidos Turner et al. (2003), [3] Ford y Smith (2004), [4] Adger (2006), [5] Fraser (2007) [6] y Patt et al. (2010) [7] , entre otros, han proporcionado una revisión detallada de las diversas epistemologías y metodologías en la investigación de la vulnerabilidad. Turner y cols. (2003) [3], por ejemplo, propuso un marco que ilustra la complejidad y las interacciones involucradas en el análisis de la vulnerabilidad, llama la atención sobre la variedad de factores y vínculos que potencialmente afectan la vulnerabilidad de un par de sistemas humano-ambientales. El marco utiliza diagramas de flujo anidados para mostrar cómo interactúan las fuerzas sociales y ambientales para crear situaciones vulnerables a cambios repentinos. Ford y Smith (2004) proponen un marco analítico basado en investigaciones con comunidades árticas canadienses. Sugieren que la primera etapa es evaluar la vulnerabilidad actual documentando las exposiciones y las estrategias de adaptación actuales. A esto le debe seguir una segunda etapa que estime los cambios direccionales en esos factores de riesgo actuales y caracterice la capacidad de adaptación futura de la comunidad. El marco de Ford y Smith (2004) utiliza información histórica que incluye cómo las comunidades han experimentado y abordado los peligros climáticos, con información sobre qué condiciones es probable que cambien y qué limitaciones y oportunidades existen para una futura adaptación.
La GSA (también conocida como Administración de Servicios Generales ) ha estandarizado el servicio “Evaluaciones de riesgos y vulnerabilidades (RVA)” como un servicio de soporte previamente examinado, para realizar rápidamente evaluaciones de amenazas y vulnerabilidades, determinar desviaciones de las configuraciones aceptables, empresariales o locales. política, evaluar el nivel de riesgo y desarrollar y/o recomendar contramedidas de mitigación apropiadas en situaciones operativas y no operativas. Este servicio estandarizado ofrece los siguientes servicios de soporte previamente examinados:
Estos servicios se conocen comúnmente como Servicios de ciberseguridad altamente adaptables (HACS) y se enumeran en el sitio web de US GSA Advantage. [8]
Este esfuerzo ha identificado proveedores de servicios clave que han sido revisados y examinados técnicamente para brindar estos servicios avanzados. Este servicio GSA tiene como objetivo mejorar el rápido pedido y despliegue de estos servicios, reducir la duplicación de contratos con el gobierno de EE. UU. y proteger y respaldar la infraestructura de EE. UU. de una manera más oportuna y eficiente.
132-45D Evaluación de riesgos y vulnerabilidades [9] identifica, cuantifica y prioriza los riesgos y vulnerabilidades de un sistema. Una evaluación de riesgos identifica amenazas reconocidas y actores de amenazas y la probabilidad de que estos factores resulten en exposición o pérdida.