12 enero 2009

Funcionan los analisis de riesgos?

Desde hace algún tiempo tenía marcado este link, ya que una lectura rápida lo había catalogado como interesante, aunque todavía no había tenido tiempo de leerlo. Un artículo en cuatro partes (I, II, III y IV) donde se cuestiona la validez real de los análisis de riesgos que tanto defendemos en foros como éste.

Al final, el artículo no es tan "transgresor" como parece. Realmente, bajo la premisa de que un análisis de riesgos "bien hecho" sí que es útil, lleva a cabo una explicación completa y con ejemplos de cómo se realiza uno de esos análisis de riesgos. No obstante, sí que hace algunas puntualizaciones que me han gustado mucho, y que paso a enunciar por si en una primera lectura del artículo pueden pasar algo desapercibidas:
  • El objetivo del análisis de riesgos es conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organización, y el de la gestión de riesgos consiste en conocer los riesgos y las alternativas para poder manejarlos.
  • La alta dirección de cualquier empresa tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo un análisis y evaluación de riesgos (“Due Diligence”).
  • La causa principal por la que fallan los análisis de riesgos es porque su alcance está limitado a las áreas de sistemas y no se extiende a las áreas de negocio o funcionales.
  • Un análisis y evaluación de riesgos debe completarse en semanas, no en meses o años.
  • Un proceso de análisis y evaluación de riesgos efectivo buscará atender las necesidades reales de la organización, e involucrará a los dueños de la información.
  • Después de identificar todos los controles posibles y evaluar su viabilidad y efectividad se debe realizar un análisis coste-beneficio. Este proceso debe ser realizado para cada control, para determinar si el control recomendado es apropiado para la organización.
  • Será necesario crear una lista de definiciones de amenazas, con el fin de que todos los integrantes del equipo estén totalmente homogenizados en la definición de las amenazas.
  • El equipo analizará las amenazas identificadas con un factor de riesgo alto y seleccionará los controles técnicos, administrativos, y operacionales que ofrecerán un nivel rentable y aceptable de protección a los activos.
  • Es importante listar todos los controles considerados y clasificarlos, ya que esto permitirá a la dirección ver lo que fue considerado y lo que el equipo está recomendando como un control adecuado y rentable. También es importante conocer que un control puede reducir la exposición de riesgo de más de una amenaza, aumentando así su costo-beneficio.

Son sólo una serie de pequeños consejos a la hora de realizar un análisis de riesgos, pero si se siguen seguro que es más fácil obtener el éxito en una tarea a veces tan poco agradecida como puede llegar a ser un análisis de riesgos "bien hecho". Eso sí, el resultado merecerá la pena.

7 comentarios:

Javier Cao Avellaneda dijo...

Estoy totalmente de acuerdo con todos los puntos indicados. También me deja más tranquilo saber que casi todos estos aspectos los cumple la metodología que utilizo para hacer el análisis y gestión del riesgo.

Respecto al análisis coste-beneficio, es básico para poder aplicar correctamente el principio de proporcionalidad, pero nos encontramos básicamente con dos problemas:
- Estimación del coste de los proyectos de implantación de salvaguardas
- Estimación cuantitativa del riesgo, que permita evaluar el beneficio de invertir en seguridad.

En general, las metodologías que estamos utilizando son cualitativas y perdemos un poco de visión al respecto.

El otro grave problema es que para que la misión del análisis y gestión del riesgo fuera totalmente efectiva, el cliente o la empresa que lo realiza debería contar con personal formado que se implique desde el momento 0 en el proceso, tanto para entender los criterios con los que se hacen las estimaciones como para realizar luego un adecuado manteniemiento.

Por último, estoy bastante preocupado con la implantación de SGSI que empiezan a entenderse como proyectos de calidad (ISO 9000) extendidos al área de seguridad (ISO 27000). Muchos consultores y empresas ignoran la complejidad de esta actividad y utilizan metodologías que para nada proporcionan un diagnóstico acertado de seguridad. Sin embargo, dado que la norma ISO 27001 no exige nada al respecto de la calidad de la metodología ni obliga a seguir ninguna referencia, pues "ancha es castilla". Solo es requisito que al menos esté documentado. Como auditor interno a veces también me veo impotente para poder desmontar análisis de riesgos que no son tales. No paro de ver documentos en Excel con análisis de riesgos que básicamente son una formalización de "sacar el dedo" y decirle al cliente todo aquello que debe "comprar" por aquello de la seguridad y el sello 27001. Todo lo contrario por lo que lucha un SGSI bien implantado.

Anónimo dijo...

Ah ...

El analisis de riesgo es la mejor herramienta que tenemos para un problema irresoluble.

a) Cada cual valora el riesgo de forma subjetiva. Finalmente, una organizacion no tiene una medida de riesgo, sino tantas como empleados. Un objetivo es conseguir que haya una vision comun ... y tardariamos tanto tiempo que ya estaria viejo cuando acabaramos ...

b) ya he oido hablar de los imprevistos previsibles y de los imprevistos imprevisibles ;-) Ademas, me agarro cada dia mas a la vision de Knight sobre riesgo e incertidumbre, si bien yo cambiaria los terminos que empleaba (el llamaba riesgo a lo medible probabilizado e incertidumbre a lo no medible ...; creo que en analisis de riesgo metemos lo no medible ... para lo medible ya hemos puesto salvaguardas) (¿quien dice que solo se hace analisis de riesgo TIC? Los economistas llevan unos años de delantera ... http://cepa.newschool.edu/het/essays/uncert/intrisk.htm )

c) y lo que mas me fastidia, es que si ocurre un suceso poco probable, la conclusion es que no se habia hecho bien el analisis de riesgo. ¿es que la gente no distinge entre probabilidad cero y probabilidad infima o pequeña o ...?

d) nosce te ipse
Si, para eso si es util si te lo tomas en serio, y lo usas para tratar de fortalecerte -o evitar errores crasos-. Complementado con los "analisis de escenarios" y otras herramientas.

e) si lo haces con el nivel de resolucion (detalle) realmente necesario, empleas el esfuerzo de un tercio de la organizacion y ademas se vuelve inmantenible. Si lo haces a bulto, pues claro, quedan huecos ... Es como lo de la macroseguridad y la microseguridad ^_^


f) tampoco debe venderse como una silver bullet ... (a parte de hombres lobo americanos en paris tambien hay lobohombres parisinos en america a los que no les afecta la plata ;-)

g) no se piense que no estoy a favor, todo lo contrario, pero con prudencia!

Bueno Joseba, gracias por aceptar recientemente mi Link Ed In

Joseba Enjuto dijo...

Uff! A ver si soy capaz de ir por partes...

La "madre del cordero", como se suele decir, está en cuantificar lo incuantificable. Estadísticas, simulaciones, experiencia... no son más que aproximaciones, intentos por realizar esa cuantificación. Y es igual si hablamos de ROI, de valoración de riesgos, o de cualquier otra cosa dentro de este ámbito: al final, sencillamente tratamos de cuantificar lo que a priori sabemos que no vamos a poder afirmar con certeza. Y es precisamente en este esfuerzo de aproximación al valor real, desconocido, donde tenemos que decidir. ¿Cuál es el valor del número PI? ¿Nos vale con decir que es "3 y poco", o necesitamos los 20 primeros decimales? Porque el esfuerzo necesario en calcular una aproximación u otra no se parece en nada. Y en el fondo, esa es la clave: saber cómo de exacta tiene que ser nuestra aproximación. De ese nivel de perfección depende el esfuerzo necesario, y por tanto el éxito final del proyecto.

Como dice Javier, para hacer bien una consultoría de SGSI no basta con saber de SG, también hay que saber de SI. Y no sólo eso, sino que hay que ser capaz de equilibrar ambas partes adecuadamente. Y eso no es posible si tus objetivos o tus capacidades de partida están muy sesgadas hacia una de las dos partes.

Como dice Carlos, los análisis de riesgos tampoco se deben entender como una "bala de plata". Sencillamente son una herramienta más para ayudarnos a tomar decisiones acertadas respecto (en este caso) a la gestión de riesgos de seguridad de la información. Pero no tenemos que olvidar que al fin y al cabo las decisiones se toman no por la seguridad en sí misma, sino por aquello que llamamos "negocio" y que tratamos de proteger y potenciar. Y ese planteamiento nunca se debe perder de vista si no queremos caer en la tentación de convertir la seguridad en un fin en sí mismo. ¿Estais de acuerdo?

Anónimo dijo...

Joseba, yo estoy de acuerdo contigo.

E insisto, el análisis de riesgo es una herramienta insustituible, pero no como predicción sino como exploración.

Por cierto, ¿Habéis leido sobre el Cisne Negro?

http://en.wikipedia.org/wiki/Black_swan_theory

Anónimo dijo...

Hola,

He empezado hace poco en este mundo del análisis de riesgos y me ha parecido muy bueno este post.

Muchas de las cosas que se demandan para que no fracase el AARR, son cosas que ya se tienen en cuenta en el trabajo que realizamos. Todo ello gracias a una herramienta que utilizamos y que a mi modo de ver es mucho más completa e intuitiva que otras más extendidas (EAR/PILAR, CRAMM, etc.), es Proteus Enterprise, desarrollada por el gobierno británico, donde nos llevan mucho de ventaja en AARR. En esta herramienta para el análisis de riesgo se tienen en cuenta los procesos de negocio que soportan los activos, se permiten crear listas de amenazas y contramedidas, se tiene en cuenta la herencia de riesgos de los activos relacionados, de las ubicaciones donde se encuentran los activos y del tipo de activo al que pertenece el activo analizado. En fin, que si tenéis posibilidad de echarle un vistazo, os recomiendo que la echéis un vistazo.

Un saludo.

Anónimo dijo...

Hola,

Los enlaces a los artículos originales no funcionan. No tendréis enlaces alternativos ¿verdad?

Joseba Enjuto dijo...

Pues me temo que no...