Evidentemente, los análisis de riesgos son unas actividades que pueden salir reforzadas cuando toca apretarse el cinturón. Nos permiten analizar, de forma "objetiva" y cuantificada, el riesgo que sufre una organización frente a un determinado catálogo de amenazas. Y sobre todo nos permite jerarquizar estos riesgos en base a los resultados del análisis, y poder priorizar la solución de aquellos que tras el análisis hayan sido identificados como más preocupantes. Está claro que, en épocas de limitación de recursos, un buen análisis de riesgos nos permite aumentar la eficacia de la inversión dedicada al tratamiento de los riesgos, ya que somos capaces de dedicar los recursos allá donde más falta hacen, y por lo tanto donde mejores resultados (en términos de disminución del riesgo global) van a ofrecer.
Sin embargo, aunque los análisis de riesgos puedan parecer unas herramientas útiles en este tipo de situaciones, no hay que perder de vista que son herramientas "defensivas". Son actividades cuyo objetivo último es el de minimizar pérdidas, lo que es propio de una estrategia conservadora. Sin embargo, frente a esta forma de abordar tiempos difíciles, puede haber organizaciones que apuesten por una estrategia "ofensiva", estableciendo un objetivo complementario al anterior, consistente en maximizar ganancias. ¿Es posible encajar un análisis de riesgos en este planteamiento?
La verdad es que no se me ocurre el modo de hacer que un análisis de riesgos encaje de forma natural en una estrategia como la planteada. Supongo que estoy demasiado "intoxicado" después de tantos años justificando el ROI de la seguridad desde un punto de vista de "disminución de pérdidas". Sin embargo, sí que se me ocurre una forma de abordar la situación: al igual que hemos buscado la situación complementaria a la minimización de pérdidas, ¿Por qué no tratamos de encontrar la herramienta complementaria al análisis de riesgos?
La propuesta es muy sencilla. Un análisis de riesgos parte de una serie de activos (factor neutro) para analizar los riesgos (factor "negativo") mediante la cuantificación de dos factores también "negativos", las amenazas y las vulnerabilidades. La propuesta es, sencillamente, rehacer ese mismo análisis de riesgos mediante la cuantificación de los factores complementarios ("positivos") a las amenazas y las vulnerabilidades.
¿Cuáles son esos factores complementarios? A partir de los conceptos no resulta muy complicado identificarlos. Si las amenazas son agentes capaces de provocarnos algún daño, el complementario sería un agente capaz de provocarnos algún beneficio. Y si la vulnerabilidad es lo susceptibles que somos a que ese daño se materialice, lo contrario sería identificar cómo de predispuestos estamos a que ese beneficio se materialice. Si lo queremos llamar de algún modo, podríamos llamar oportunidad al opuesto de la amenaza y fortaleza al opuesto de la vulnerabilidad. ¿A alguien le suenan estos conceptos? Si sustituimos el término vulnerabilidad por un sinónimo como debilidad, quizás sea más fácil reconocerlo. ¿Ahora sí, verdad? Efectivamente, nos encontramos con un cuarteto de conceptos (Debilidades - Amenazas - Fortalezas - Oportunidades) ampliamente utilizado en un determinado tipo de análisis estratégico: los análisis DAFO.
Por lo tanto, ¿Cual es la propuesta? Se trata, sencillamente, de llevar a cabo un análisis de... (anti-riesgos? potencialidades? la verdad es que no he sido capaz de encontrar una palabra que me convenza del todo, así que os animo a que me propongais alguna otra), teniendo en cuenta las oportunidades y las fortalezas asociadas a cada activo de nuestro análisis. O, mejor aún, llevar a cabo un análisis global, en el que analicemos tanto los riesgos como las potencialidades (a falta de otra palabra, me quedo con esta), dentro del mismo análisis. De cara a su cálculo numérico sería tan sencillo como añadir un signo negativo a las amenazas y valorar en positivo las oportunidades... ¿Es esta propuesta, entonces, similar a realizar un análisis DAFO? No, ya que hay varias diferencias sustanciales:
- Los análisis DAFO no se cuantifican, mientras que los análisis de riesgos y potencialidades sí.
- Los análisis DAFO se realizan valorando a la organización de forma global, mientras que los análisis de riesgos y potencialidades se realizan activo por activo.
- Y lo que es más importante, el objetivo de un análisis DAFO es exclusivamente el de estudiar la situación competitiva de una empresa dentro de su mercado, mientras que el objetivo del análisis de riesgos y potencialidades es el estudio de dichos riesgos y potencialidades... en la materia que pongamos de coletilla (en el caso más habitual en este blog, los riesgos y potencialidades de seguridad de la información, pero podría ser cualquier otro).
Pese a todo, estas diferencias no suponen un abismo infranqueable entre ambos análisis. Tanto aquellos que estén acostumbrados a realizar análisis DAFO como aquellos que suelan realizar análisis de riesgos estándar van a ser capaces, sin demasiadas complicaciones, de llevar a cabo un análisis como el propuesto. Sólo es necesario un pequeño esfuerzo mental para ser capaces de ampliar nuestro punto de mira. Y, al fin y al cabo, eso es lo que nos toca a todos en estos tiempos de crisis, verdad?
2 comentarios:
Me parece una propuesta ingeniosa e interesante que puede llevar a gestionar la seguridad en positivo. En el análisis de riesgo no se suele contar con las medidas de seguridad existentes puesto que se trata de establecer el riesgo intrinseco (modelo pesimista) para saber posteriormente cuales son los mínimos de seguridad de los que hemos de dotarnos (contemplando entonces lo ya hecho y que hayamos auditado que funciona).
Con tu planteamiento creo que podríamos analizar también el contexto de la seguridad de esa organización: es decir, poner en su justo lugar los riesgos(analisis negativo) para cualificar a la organización respecto a su situación de mercado (análisis positivo).
Por poner un ejemplo, una organización puede no tener controles frente al phising. Puede sufrir impactos y potencialmente es una amenaza posible. Esto serían debilidades y amenazas. Sin embargo, un proceso interno de verificación de accesos o una cultura de seguridad de sus clientes o pertenecer a un sector no "interesante" para los atacantes podrían ser sus "fortalezas". Y quizás optimizar las medidas solo a aquellos procesos de la cadena de valor más sensibles al impacto podrían ser sus "oportunidades". Ya no sería mejorar a la organización en su conjunto sino a aquellas partes de "la cadena de valor de Porter" que más pudieran sufrir con el incidente(Minimizar riesgo-Maximizar beneficio).
Incluso podría ser un resultado de este tipo de análisis bajo el concepto oportunidad el extender la seguridad a elementos externos a la organización. Quizás sería mucho más beneficioso para la entidad hacer un esfuerzo en formación de sus clientes (por imagen, por responsabilidad corporativa, etc.) que mejorar los mecanismos técnicos internos para evitar este tipo de amenazas.
Yo estoy leyendo este verano para desintoxicarme "El economista camuflado" de Tim Harford y voy a tratar también de trasladar a la gestión de la seguridad algunos conceptos de gestión económica que lleven a construir en positivo (si los mercados se autoregulan, quizás podríamos pensar en una seguridad autogestionada) y no desde el miedo o la incertidumbre.
La verdad es que es difícil dejar de ver la seguridad "en negativo". Supongo que tanto tiempo viendo ROIs como pérdidas evitadas hacen más difícil empezar a ver la seguridad como ganancias logradas gracias a ella. Y en el fondo no debería ser tan difícil, sobre todo si dejamos de pensar tanto en la C (confidentiality) de la seguridad y empezamos a pensar más en la I (integrity) y sobre todo en la A (availability). No decimos que la seguridad tiene que alinearse con el negocio? Pues ya va siendo hora de empezar a dar pasos claros en esa dirección.
Publicar un comentario