01 marzo 2007

Valorando con criterio

Uno de los elementos fundamentales a la hora de llevar a cabo un análisis de riesgos es la valoración de los activos. Sin embargo, también suele ser uno de los apartados más difíciles. ¿A qué se debe? Fundamentalmente, la dificultad estriba en dos apartados: Entender el motivo de la valoración y asignar un valor de forma objetiva.

La primera parte es conceptual. En un análisis de riesgos, un activo es “cualquier cosa con valor para la organización”, y esto puede ir desde la imagen o la marca hasta los edificios en los que se ubica, pasando por los servicios o productos que desarrolla, el personal de la organización o los equipos informáticos, entre otros ejemplos. Y cada uno de estos activos debe ser valorado.

¿Qué es el valor? Es la importancia que tiene ese activo para la organización. No debemos pensar directamente en su coste económico, sino en la función que ese activo desarrolla en la organización. Un tornillo en sí mismo no tiene mucho valor, pero si es el que sujeta el ala de un avión, creo que todos entenderemos que el valor de ese tornillo es muy elevado (sobre todo, lo apreciarán los que vayan dentro del avión).

¿Qué hay que valorar? En un análisis de riesgos de seguridad de la información lo que se valora es la seguridad de los activos en relación a la información (y negocio) que sustentan. En este caso, no se trata de entender la importancia de que se caiga el tornillo, sino de que la información pierda su confidencialidad (se divulgue), pierda su integridad (se modifique) o pierda su disponibilidad (no se pueda acceder a ella cuando se necesita). Se puede entender fácilmente a nivel particular con un ejemplo: las nónimas. ¿Cuánto nos importa que alguien se entere de lo que cobramos? ¿O que en la nómina aparezca un 0 de menos? ¿O que no tengamos las nóminas cuando las tenemos que presentar para pedir un crédito?

El ejercicio a nivel empresarial es similar. El problema es que a la hora de asignar valores no es tan sencillo ponerse de acuerdo. ¿Cómo se puede resolver? En primer lugar, pidiendo que la valoración la realice la alta dirección. Buscamos la opinión “de empresa”, no las opiniones particulares. Y guste o no, la opinión de empresa viene dictada por la dirección. Así que deben ser ellos los que deben valorar. Y la valoración no debe ser arbitraria, sino que tiene que ser objetiva (lo más objetiva posible) y repetible.

Para conseguir objetivizar las opiniones tenemos que asignar criterios de valoración. ¿Cuál es la escala de “importancia” de la organización? Pensemos en el avión. ¿Por qué es importante el tornillo? ¿Porque se cae el ala? En realidad no, en realidad es importante por las consecuencias finales que tiene la caída del ala: pérdida de vidas humanas. Ya tenemos un criterio de valoración. Y ese criterio vale para cualquier activo: sea el que sea, e indistintamente del motivo que lo cause, si el resultado final es la pérdida de vidas humanas, ese activo tendrá un valor muy alto.

En nuestras empresas tendremos que hacer lo mismo. La dirección tendrá que hacer el ejercicio de identificar los criterios a tener en cuenta, y posteriormente tendrá que asignar distintos niveles. Si las pérdidas económicas es un criterio de valoración, no será lo mismo perder 10 € que perder 100 ó 1000. El resultado final debe ser una tabla que identifique por filas los criterios de valoración (pérdidas económicas, incumplimientos legales, deterioro de imagen, impactos operativos, …) y por columnas los niveles (por ejemplo, bajo-medio-alto), de modo que cada nivel sea equiparable entre los distintos criterios.

¿Y cuál es la ventaja de todo esto? Que si conseguimos que la dirección valide una tabla de criterios, ya no será necesaria su participación directa a la hora de valorar la enorme cantidad de activos que probablemente habremos identificado. Bastará con indicar que el activo “tornillo” tiene un valor “alto” porque en el criterio “daños personales” encaja en el contenido de la casilla “pérdida de vidas”, que está en la columna de "alto". Seguro que la dirección valida esta valoración, ya que los criterios los han puesto ellos. Y además, cualquiera que conozca lo suficiente el negocio (siempre y cuando sepa que de ese tornillo depende el ala del avión, y que del ala depende que el avión se caiga) podrá repetir el año que viene el mismo análisis y llegar a resultados similares, de modo que habremos conseguido que el análisis sea repetible. Objetivo cumplido!

5 comentarios:

Antonio Valle dijo...

Joseba, solo una pregunta... ¿veo aroma a Magerit en este post, o son ilusiones mias?

:-) Saludos!
Antonio

deincognito dijo...

Joseba,

De nuevo creo que lo que propones suele ser difícil. Lo normal es que cuando se realiza el análisis se hayan de valorar cosas intangibles y, por otra parte, se suele estar algo lejos de la Dirección General, bien por falta de tiempo bien por falta de concienciación. Generalmente es la gente de sistemas y los consultores de seguridad quienes paren los criterios de valoración y no siempre tiene un entendimiento global de los aspectos que afectan a la empresa (gestión de personas, gestión financiera, asuntos jurídicos,...).

Creo que como casi siempre es mejor bajar de la gestión de seguridad de salón (teoría) a la de las trincheras y racionalizar el alcance porque si no las ramas no dejan ver el bosque.

Un saludo

Joseba Enjuto dijo...

Pues aunque parezca mentira, no es un post inspirado en Magerit. Aunque reconozco que hay muchos parecidos (Magerit también introduce una tabla de criterios...)

Reconozco que la propuesta no es sencilla, sobre todo cuando el "compromiso de la dirección" no es tan fuerte como exigiría la ISO 27001. Pero si uno se lo propone, se puede lograr (y lo digo por experiencia propia). El problema suele ser, como bien dices, que con alcances parciales reducidos a IT quizás el entendimiento del negocio no es sencillo. Por eso en todas las consultorías de este tipo, en los que se tocan temas tan delicados, es fundamental la figura del sponsor, para conseguir que el compromiso de la alta dirección no sea de boquilla. Y llegamos a que el problema es en qué punto se ha vendido el proyecto (con quién ha hablado el comercial, digamos). Pero eso ya es otro tema...

Saludos

Matías Silvero dijo...

Joseba:
Ante todo,muy interesantes tus post, felicitaciones.
Actualmente en la consultora en la que trabajo estamos llevando a cabo un proyecto que pretende tomar las buenas prácticas de varios estándares. El proyecto NO tiene como objetivo final la certificación de un SGSI.
Bien hecha la introducción, respecto a este post en particular:
1) Creo que la idea del sponsor si es que te refieres a un representante de cada área o sector involucrado (stakeholder) no está nada mal, de hecho si no estoy confundido es la metodología que sigue la programación extrema (XP) para el desarrollo de SW. Yo creo que problema radica en conseguir ese recurso comprometido.
2) Es cierto que existen situaciones como las que plantea deincognito acerca de estar algo lejos de la Dirección General o la falta de tiempo y de concienciación, pero creo que es también responsabilidad de los consultores,
y el comité establecido (para llevar a buen puerto la implantación del SGSI) la de hacer conocer en (su $ moneda) el valor de su actividad, de hecho no es más que conocer su trabajo.
Aclaro que tengo poca experiencia en el tema y estoy empezando en esto de los SGSI y buenas prácticas de seguridad en general y no sé si por suerte o desgracia me ha tocado una organización sumamente burocrática.
Saludos y espero poder participar asiduamente de este espacio.

Joseba Enjuto dijo...

Gracias por la felicitación. Y ánimo en tu nueva andadura, que lo importante es empezar con ganas, y según se avanza todo va siendo poco a poco más fácil...