Sistema de Perfilación de Riesgo en Tiempo Real Basado en Segmentación (Código PBIP + ISO 31000)

Autor: José Humberto Barragán

Resumen Ejecutivo

La segmentación de riesgos en el Código PBIP ha evolucionado desde un modelo estático basado en evaluaciones periódicas hacia un sistema de perfilación dinámica en tiempo real. Este artículo explica cómo transformar la evaluación tradicional en un modelo matemático adaptativo que integra variables conductuales, ambientales y de cumplimiento, alineado con ISO 31000 y soportado por técnicas modernas de análisis de datos.

El resultado: detección proactiva de amenazas, optimización de recursos y decisiones basadas en datos con evidencia auditable.

1. Riesgo: ¿cómo se compone?

En seguridad portuaria (PBIP) es común “mezclar” conceptos como amenaza, vulnerabilidad y riesgo, lo que termina debilitando la evaluación y, sobre todo, la toma de decisiones. En la explicación del autor, la clave es separar cada componente y entender su relación.

Primero lo esencial: el riesgo no es “la amenaza” ni es “la vulnerabilidad”. El riesgo es el resultado de cómo se combinan (y se miden) los componentes: amenaza, vulnerabilidad y nivel de exposición.

1) Amenaza = Intención + Capacidad

La amenaza se entiende como la suma de dos elementos: intención (el deseo/propósito de materializar un evento) + capacidad (los medios reales para ejecutarlo). :contentReference[oaicite:2]{index=2}

• Intención: señales de interés, motivación, curiosidad operativa o patrón de conducta que sugiera una acción deliberada.
• Capacidad: acceso, rol, proximidad, recursos y oportunidad para intervenir sobre el activo o la carga (p. ej., contenedor, camión, conductor, estibador, operadores con acceso a zona de carga). :contentReference[oaicite:3]{index=3}

2) Vulnerabilidad: “el hueco” que permite que la amenaza funcione

La vulnerabilidad es la debilidad (brecha) en controles, procesos, personas o tecnología que facilita que la amenaza se convierta en un evento real. En términos prácticos: identificar “dónde está el hueco” y qué control está fallando o no existe.

3) Nivel de exposición: cuánto está “expuesto” el sistema al evento

El nivel de exposición se refiere a qué tanto un activo/proceso/área está expuesto al riesgo (por ejemplo, el patio de contenedores o una zona operativa en un horario específico). :contentReference[oaicite:4]{index=4} Es la variable que responde: ¿cuánto contacto real existe entre el objetivo y el vector de amenaza?

4) Entonces… ¿cómo “se arma” el riesgo?

Una forma didáctica (consistente con el enfoque explicado) es tratarlo como una combinación:

Componente	Qué significa	Pregunta que responde	Ejemplo PBIP
Amenaza	Intención + capacidad	¿Existe alguien con propósito y medios?	Actor con interés + acceso real a la zona/carga
Vulnerabilidad	Brecha en controles/proceso	¿Qué falla permitiría el evento?	Accesos no segregados, controles aleatorios insuficientes
Nivel de exposición	Grado de contacto del sistema con el riesgo	¿Qué tan expuesto está el activo/proceso?	Patio de contenedores con alto flujo/visitas/turno nocturno
Riesgo	Resultado de la combinación	¿Qué probabilidad/impacto se deriva?	Riesgo de contaminación, hurto o acceso no autorizado

Regla práctica para OPIP: si no puede explicar por separado amenaza, vulnerabilidad y exposición, su “riesgo” queda débil y la respuesta será reactiva o desproporcionada.

5) Control de riesgos vs Gestión de riesgos (enfoque del autor)

El autor propone una distinción operativa muy útil:

• Control de riesgos (antes del evento): actuar sobre amenaza y vulnerabilidad (prevención), fortaleciendo cultura y controles. :contentReference[oaicite:5]{index=5}
• Gestión de riesgos (después del evento): enfocarse en minimizar el impacto cuando el riesgo ya “se materializó” (p. ej., transferencia/seguros, reducción de pérdidas). :contentReference[oaicite:6]{index=6}

Para PBIP, lo más valioso es reforzar el control de riesgos: anticipar y reducir la probabilidad del evento trabajando donde se forma el riesgo (amenaza + vulnerabilidad + exposición), en lugar de solo “administrar las consecuencias”.

---

Mini-FAQ: aclaraciones rápidas

¿Amenaza y riesgo son lo mismo?

No. La amenaza es solo un componente. En esta explicación, la amenaza se compone de intención + capacidad. El riesgo aparece cuando se combina con vulnerabilidad y exposición. :contentReference[oaicite:7]{index=7}

¿Por qué “exposición” importa tanto en puertos?

Porque el puerto es un sistema dinámico: cambian turnos, flujos, accesos, operación nocturna y picos operativos. Si la exposición sube, el riesgo sube aunque la amenaza “no cambie”.

¿Qué debe hacer un OPIP con esta descomposición?

Convertir la explicación en criterios de segmentación: definir segmentos (espacial/humano/proceso/tiempo), y por cada segmento medir amenaza, vulnerabilidad y exposición para ajustar controles proporcionales.

2. ¿Qué es la Segmentación en el Contexto PBIP?

El Código Internacional para la Protección de los Buques e Instalaciones Portuarias (PBIP) establece un marco de gestión de riesgos que exige:

• Evaluación de protección detallada y proporcional
• Identificación de amenazas, vulnerabilidades y consecuencias
• Determinación de niveles de protección (1, 2 y 3)

La segmentación divide un sistema complejo en grupos homogéneos usando variables relevantes de riesgo.

Dimensiones Clave de Segmentación

3. De la Segmentación Estática a la Perfilación Dinámica

PBIP Tradicional (Modelo Estático)

• Variables fijas
• Evaluación periódica
• Niveles de protección definidos

Perfilación en Tiempo Real

• Variables continuas
• Evaluación permanente
• Score adaptativo
• Respuesta automatizada

La transformación implica pasar de una matriz documental a un sistema matemático dinámico.

4. Arquitectura Matemática del Sistema

El modelo de scoring se expresa como:

R(t) = α·S_base + β·B(t) + γ·E(t) + δ·C(t) + ε(t)

Componentes

• S_base: Factores estáticos (tipo de buque, carga, zona, historial)
• B(t): Componente conductual (patrones de acceso, anomalías)
• E(t): Componente ambiental (alertas, clima, nivel de amenaza)
• C(t): Cumplimiento histórico
• ε(t): Incertidumbre

Este enfoque se alinea con la definición de riesgo de ISO 31000: “efecto de la incertidumbre sobre los objetivos”.

5. Técnicas de Perfilación en Tiempo Real

• Promedio móvil ponderado
• Modelos bayesianos dinámicos
• Redes neuronales de detección de anomalías
• LSTM para series temporales

6. Casos de Uso en Instalaciones Portuarias

• Clientes exportadores/importadores
• Tripulación
• Terceros prestadores de servicios
• Acceso a zonas restringidas
• Contaminación de contenedores
• Hurto de carga

7. Implementación Práctica

• Definir reglas de referencia por segmento
• Balancear fórmulas con juicio experto
• Medir tasa de falsas alertas
• Separar modelos por modalidad de riesgo
• Aplicar feedback continuo

8. Beneficios Estratégicos

• Detección proactiva
• Controles proporcionales
• Optimización de recursos
• Evidencia auditable
• Mejora continua

9. Integración con ISO 31000

ISO 31000 establece que la gestión del riesgo debe ser:

• Integrada en la gobernanza
• Basada en información disponible
• Iterativa y adaptativa
• Inclusiva con partes interesadas

La perfilación dinámica cumple estos principios.

Preguntas Frecuentes (FAQ)

¿La perfilación reemplaza la Evaluación PBIP?

No. La fortalece con monitoreo continuo.

¿Es obligatorio bajo el Código PBIP?

No explícitamente, pero mejora cumplimiento proporcional.

¿Puede usarse como evidencia en auditorías?

Sí, genera trazabilidad objetiva.

¿Reduce falsas alarmas?

Sí, mediante ajuste dinámico de umbrales.

Artículos Relacionados

• Gestión de Riesgos en PBIP
• Análisis de Riesgos Portuarios
• Curso OMI 3.21 OPIP

Conclusión

La segmentación evoluciona hacia un sistema inteligente de perfilación en tiempo real. Este enfoque convierte al OPIP en un gestor estratégico del riesgo, con capacidad predictiva y soporte matemático.

Próximo paso:

Inscribirse al Curso OMI 3.21 – OPIP