Management

Qué es el Modelo del Queso Suizo

Se trata de uno de los mejores modelos de los que disponemos para la prevención y análisis de riesgos, y el consiguiente establecimiento de distintas capas de seguridad.

Origen y desarrollo

James Reason, emérito profesor de Psicología en la Universidad de Manchester, es un auténtico experto en factores humanos. Ha escrito una serie de libros sobre tipos de errores, en especial en el contexto de la aviación, y sobre la gestión de riesgos en accidentes de la empresa.

Como tantos conceptos, sistemas, acrónimos y otros métodos de heurística de los que hemos hablado en el pasado, puede decirse que el Modelo del queso suizo es la más célebre de sus muchas contribuciones.

Reason supo establecer una metáfora sobre cómo tomaban forma los accidentes, desarrollando un marco de trabajo conceptual para describirlos en su libro Human Error (1990) Postuló que los accidentes sólo ocurren si múltiples barreras fallan, al trazarse un “camino” que atraviesa dichas barreras en una sucesión de eventos, desde la causas iniciales aparentemente inocuas a las consecuencias más desastrosas.

Elementos clave

El Modelo del queso suizo se compone principalmente de dos elementos:

• Una o varias capas, lonchas o rebanadas, presentadas en sucesión.
• Distintos agujeros en cada capa sucesiva, a veces incluso alineados.

Exploremos lo que esta imagen implica…

Capas de defensa

Debemos pensar en la metáfora como un queso que ha sido finamente loncheado, no servido en cuñas ni en una rueda sin cortar. Hablamos de un queso de estante de supermercado, empaquetado en una bandeja lista para su consumo, de rebanadas con corte industrial y homogéneo.

Cada loncha de esta bandeja representa una capa del sistema de defensa, y el conjunto de las mismas, en sucesión, representa los sucesivos mecanismos y protocolos de seguridad.

Huecos y fallos

No obstante, recordemos, el Emmental es famoso por tener una gran cantidad de agujeros. Como quizá hayas imaginado ya, el nombre del modelo no hace referencia al queso en sí mismo, sino a la presencia de estos huecos. Se trata de agujeros metafóricos, como los agujeros de guion en una película, esos lugares donde la trama hace aguas.

En este caso, nos enfocamos a los lugares donde el sistema está agujereado, lo que llamaríamos grietas, fisuras, o brechas en un sistema de seguridad. Cada hueco en la loncha representará un fallo o brecha de seguridad en la capa del sistema.

Interacción entre capas y huecos

Ahora imagina que has comprado esa bandeja de queso Emmental lista para el consumo inmediato. Examinas loncha a loncha y te das cuenta de que los agujeros son enormes, ocupando una superficie nada desdeñable de cada loncha. ¿Cómo te sentirías? Muy probablemente, nos daríamos cuenta de que el precio al kilo sale muy alto (estamos pagando por aire) y esto nos echaría para atrás a volver a comprar esa marca.

Con un sistema de seguridad pasa lo mismo. Las capas del sistema o lonchas del modelo deberán ser lo más uniformes y sólidas posible para asegurar un cierto nivel de competencia. Nuestro sistema es tan efectivo como su relación entre capas de seguridad (lonchas) y sus huecos o fallos, los agujeros que (casi) irremediablemente contiene.

Beneficios para la seguridad organizacional

Conozcamos las ventajas de implementar este modelo antes de ponernos manos a la obra.

Identificación y mitigación de vulnerabilidades

La obra de Reason, citada y resumida en el muy recomendable compendio de modelos de pensamiento estratégico y toma de decisiones que es ”The Decision Book” de los autores Krogerus y Tschäppeler, identifica principalmente tres tipos de errores:

• Errores reales: De forma activa, alquien está llevando a cabo un auténtico error dentro del procedimiento operativo estándar.

• Apagones (Black-outs): Parte del proceso se omite u olvida. Aquí también metemos ese típico ángulo muerto que escapa a nuestro control.

• Deslices (Slip-ups): Si bien el proceso adecuado se está llevando a cabo, es mediante una forma incorrecta. Se trata de las “pifias” de toda la vida.

Usando esta triple terminología podemos empezar a visualizar de qué forma se presentarán las brechas.

Prevención de errores e incidentes

A veces es inevitable que existan esos fallos, ningún sistema es perfecto. No obstante, conocer los niveles en los que estos errores tienen lugar y las causas que contribuyen a que ocurran, nos hará ir un paso por delante.

Según Reason, los “Niveles” (entiéndase también: Razones) por los cuales los errores ocurren son tres: Habilidades, Reglas y Conocimientos. Por supuesto, esto también implica sus respectivas negaciones, como no disponer de las habilidades adecuadas, romper las reglas o la falta de conocimientos.

A su vez, Reason define varios factores que contribuyen a que sucedan los errores:

• Humanos: Un jefe, tu equipo, compañeros/as, amistades…
• Aprovisionamiento técnico: Estado del equipamiento y herramientas, estado y condiciones adecuadas del lugar de trabajo…
• Elementos de la organización: Tareas a cumplir, gestión del tiempo…
• Influencias externas: Clima económico, clima meteorológico…

Si combinamos los tipos de error del apartado anterior con los niveles y factores de este apartado, en seguida podremos extraer ejemplos y apreciar cómo pueden aparecer y qué forma tomarán dichos errores.

Mejora continua de la seguridad organizacional

No basta con analizar y teorizar: Si los errores se catalogan pero no se corrigen y se evitan, el trabajo habrá sido en vano. Debemos invertir en la promoción constante de una cultura de seguridad dentro de la organización.

Al fin de al cabo, nuestro enfoque será la empresa, donde nuestra gestión pueda concienciar al equipo humano y poner énfasis en la prevención de accidentes laborales y otros factores de riesgo sobre nuestros activos, como los ataques informáticos de ransomware.

Es importante formar al personal y concienciar sobre los errores, ayudar a identificarlos y optar por una mejor toma de decisiones, en la cual no se tomen riesgos innecesarios. Simplemente, que la seguridad sea lo primero.

Cómo implementar el Modelo del Queso Suizo

Supongo que, si has llegado hasta aquí, es porque te interesa poner en práctica estos consejos…

Realizar una evaluación inicial de riesgos

Es lógico que existan huecos dentro de cada capa, es casi inevitable, y por esto el modelo se conoce como queso suizo, por sus agujeros característicos. Si tuviéramos un sistema perfecto y absolutamente seguro, lo llamaríamos “modelo de las sucesivas capas de plomo y titanio reforzado” o algo por el estilo, pero no.

Los sistemas de seguridad desarrollados a través de este modelo no deberían tener brechas importantes, pues esto implicaría que son una auténtica chapuza. Cuando nos adherimos al marco de trabajo del queso suizo, nos obligamos a extraer y examinar cada capa y velar porque tengan el menor número de agujeros posibles y que los agujeros, si es que son inevitables, sean diminutos e impracticables. Quedémonos con que, en un mundo perfecto en el que los errores no fueran posibles, las lonchas no tendrían agujeros.

Por tanto debemos preguntarnos… ¿Qué tipo de sistema es el nuestro? Y principalmente… ¿Cómo podemos llevar a cabo el testing para predecir estas amenazas?

Dos estrategias habituales: Podemos partir por imaginar el peor caso posible (worst-case-scenario) y prevenir mediante la ingeniería inversa, deshaciendo los pasos por los que se llegaría a ese hipotético peor escenario. Asimismo, ponernos en el lugar del atacante, como es el caso de la disciplina del Ethical hacking.

Diseñar e implementar capas de defensa efectivas

Estableceremos elementos a prueba de ataques que se fundamenten en la redundancia, en planes de contingencia y sistemas de punto límite (llamados en inglés “fail-safe”) que se activan automáticamente cuando un elemento falla.

Dependiendo de en qué industria se encuentre nuestra empresa u organización y la función del sistema de seguridad que queremos implementar, nuestro caso será particular y no siempre el mismo que el de otros con necesidades similares. No obstante, muchos expertos realizan ejercicios de abstracción y establecen paralelismos entre distintos campos, especialmente en la elaboración de protocolos. Un sistema de seguridad en la aeronáutica, en ciber-seguridad o en un protocolo de prevención de accidentes de una central nuclear probablemente difieran en gran cantidad de elementos, pero se parezcan en unos cuantos.

Recuerda: ¡Los agujeros en una capa no deben repetirse en otra! Un error puede pasar desapercibido o ser irrelevante si sólo permite penetrar una capa. Si las capas se alinean, esteremos invitando a la penetración en esa brecha de seguridad y, por consiguiente, llamando al desastre. En ciertos campos sensibles como la aviación o la epidemiología, este tipo de negligencias pueden acarrear la pérdida masiva de vidas humanas.

Monitorización y mejora continua de las capas de defensa

Nuestro sistema de seguridad, como el ejército de una superpotencia hegemónica, deberá estar al día y no depender de tecnología y prácticas obsoletas.

Un caso célebre en el campo de la ciber-seguridad es el malware llamado “Ataque de día cero”, conocido así porque el ataque se produce cuando el sistema informático es aún nuevo. Dicho “día cero” hace referencia a la ventana de vulnerabilidad, tras la cual los errores han sido ya parcheados. Precisamente por casos como este debemos monitorizar y actualizar el sistema, mejorando constantemente sus capas de defensa.

Desafíos comunes y cómo superarlos

Incluso en un sistema perfectamente asegurado tendremos futuros problemas que atender.

Complejidad de implementar múltiples capas de defensa

Cuantos más componentes tiene un sistema, más probabilidades hay de que antes o después uno sea defectuoso, quizás echando por tierra la función del sistema al completo. Lo cual, traducido a la metáfora quesera que nos ocupa, es también una célebre y simpática paradoja:

El queso tiene agujeros.
Cuanto más queso, más agujeros.
Cuantos más agujeros, menos queso.
Por tanto, tener más cantidad de queso implica tener menos cantidad de queso.

Podemos tomarnos unos unos segundos para reflexionar sobre ello, pero básicamente, cuantas más capas de seguridad, más fácil es que haya errores en cada una, diversos puntos críticos que penetren esas capas de seguridad, incluso quizás una puerta trasera que anule las demás y las vuelva obsoletas.

Puede tratarse de la típica imagen de dos ladrones de bancos, el primero penetra con las más sofisticadas técnicas a través de capas y capas de cajas fuertes, mientras que el segundo opta por la fuerza bruta y abre un boquete en el lateral de la cámara acorazada. Nos esforzamos tanto en diseñar un sistema de seguridad con niveles sucesivos de progresiva dificultad, que se nos pasó por alto reforzar los demás flancos y utilizar un mínimo de pensamiento lateral.

En su libro de 1977 “Sistemántica” (Systemantics: How Systems Work and Generally How They Fail) el autor John Gall comenta que un sistema complejo que funciona siempre surge de un sistema simple que ya funcionaba previamente.

¿Qué significa esto? No debemos intentar crear algo complejo de la nada, sino que dicha complejidad tiene que evolucionar poco a poco desde la simplicidad.

Así que ya sabéis, si queremos diseñar un sistema complejo y a prueba de errores, sólo queda un consejo: Despacito y buena letra.

Gestionar el cambio dentro de la organización

Tal como acabamos de comentar, un sistema de gran complejidad no nace de la nada, sino que requiere sucesivas iteraciones para alcanzar los niveles de sofisticación y efectividad necesarios y así poder operar a la perfección.

No obstante, una gran cantidad de cambios pequeños sucesivos puede desorientar al personal. Es preciso mantener actualizado al usuario del sistema, pero también es recomendable economizar el flujo de la ”newsletter” instaurando los cambios y trabajando en constantemente en su mejora, pero notificándolos con cierta periodicidad.

Capacitación y concienciación del personal

Un fallo inherente y habitual de los sistemas de seguridad es que, simplemente, muchos trabajadores no los toman lo suficientemente en serio. Esto lleva a errores y omisiones y crea inadvertidamente serias brechas en la seguridad.

Por consiguiente, es necesario poner un gran énfasis en la concienciación del personal y, mediante el establecimiento de protocolos rígidos que no den lugar a duda, asegurarnos que las operaciones cumplen adecuadamente y en concordancia con el sistema de seguridad establecido.

Por ejemplo, en la inmensa mayoría de sucursales bancarias está prohibido abrir la caja fuerte si la oficina no está despejada de clientes y la puerta de entrada del local no está cerrada con llave. Si abriéramos la caja fuerte con la puerta de entrada abierta, estaríamos invitando a cualquier individuo armado a irrumpir y llegar hasta el “premio gordo” en cuestión de segundos. En cambio, si la puerta de entrada está cerrada con llave y la sucursal está despejada, nadie podrá irrumpir.

Por esto mismo, es de vital importancia que el protocolo se cumpla el 100% de las ocasiones, sin excepción.

Conclusiones

Gracias a este modelo hemos entendido la ciencia del error como algo abstracto, relevante tanto para “no pisar suelo húmedo” como para evitar un accidente aéreo o un robo en una sucursal bancaria. Hay un sinfín de disciplinas donde aplicar lo que este modelo nos enseña, en pos de la protección y prevención de accidentes, además de guiar a las personas en la toma de decisiones en momentos de tensión.

Un ejemplo de campo en alza es la ciber-seguridad, especialmente enfocada en distintos sectores sensibles con protocolos y complejos procesos de autenticación, como el sector financiero o las aplicaciones militares. Hoy en día, los ciberataques masivos no sólo son la competencia de gobiernos y potencias militares, sino también de instituciones e incluso grupos independientes como Anonymous. Legiones de hackers buscan una vulnerabilidad muy precisa, ya sea una backdoor o ataques de día cero para ejecutar su malware.

Como ves, necesitamos sistemas a la altura de las circunstancias. Es de esperar que este modelo o futuros modelos inspirados en este aparecerán en en el futuro próximo y tendrán cada vez un mayor peso en nuestro día a día.