24 marzo 2011

Se puede decidir basándose en el riesgo?

Hace unos días estuve inmerso en una interesante discusión en torno a las causas y consecuencias del incidente de la central nuclear de Fukushima. El estupendo artículo escrito por Javier Cao sobre el posible fallo en la seguridad de la central nos sirvió para aportar algo de luz a la discusión, pero la verdad es que la discusión acabó cuestionando el propio núcleo de la seguridad, la gestión de riesgos, hasta acabar preguntándonos si realmente tiene sentido hacer los análisis de riesgos como los hacemos.

El problema es fácil de explicar en términos de un simple análisis de riesgos: un activo (la central) de bastante valor, una amenaza (la catástrofe nuclear) de muy baja probabilidad de ocurrencia (tres casos a nivel mundial en la historia de la energía nuclear) y un impacto altísimo (la muerte, inmediata o aplazada, de las personas que estén a varios kilómetros a la redonda) si llega a ocurrir. Unido al análisis de ese riesgo, el beneficio asociado: la producción eficiente y barata de energía eléctrica. ¿Qué hacer?

Para simplificar el análisis, voy a hacer una rápida aproximación (trivial, lo sé): Riesgo (1-125) = Activo (1-5) x Amenaza (1-5) x Impacto (1-5). En este caso, R1 = 4 x 1 x 5 = 20/125 = 16%.

Viendo este cálculo, cualquiera podría decir que un riesgo del 16% se puede considerar bajo, y en consecuencia asumible, a priori.

Ahora, comparémoslo con otro caso, como puede ser un accidente de aviación: un avión (de no mucho valor comparado con la central), la amenaza de que se estrelle (cuya frecuencia de ocurrencia, viendo los datos estadísticos mundiales, es significativamente más alta que la anterior) y un impacto también asociado a la pérdida de vidas humanas, pero de menor incidencia que el anterior. El beneficio, en este caso, es el transporte rápido y relativamente eficiente de personas.

De nuevo voy a hacer un ejercicio de libro para simplificar este otro caso: R2 = 2 x 3 x 4 = 24/125 = 19%.

También tenemos un riesgo bajo, de un orden de magnitud comparable con el caso anterior, aunque su resultado es mayor (lo sé, ambos cálculos pueden ser discutibles, y es evidente que los números están elegidos a propósito, pero me parece un ejemplo ilustrativo).

Por último, un tercer ejemplo: un atentado terrorista con pre-aviso en la sede de una bolsa. En este caso, el valor del activo (la bolsa) probablemente será más alto que el del avión, la probabilidad de ocurrencia a nivel mundial puede ser comparable, y el impacto, aunque no provoque muertes, puede tener consecuencias económicas muy importantes para el país. En este caso, el cálculo podría ser R3 = 4 x 3 x 3 = 36/125 = 29%.

Y ahora empiezan los cuestionamientos a este planteamiento. Para empezar, uno sencillo, matemático: ¿Si hablamos de vidas humanas comparadas con pérdidas económicas, realmente deberíamos valorar el impacto con la misma escala? ¿La escala de impactos debería ser lineal o exponencial? ¿No estaremos simplificando mucho la fórmula de cálculo del riesgo? Porque una excesiva simplificación nos podría llevar a trivializar ciertos riesgos...

En segundo lugar, un cuestionamiento más filosófico, de fondo. En los casos en los que el impacto es tan brutal... ¿Es conveniente tener en cuenta la probabilidad de ocurrencia de las amenazas? ¿O quizás no se debería valorar el riesgo, sino sólo el impacto ponderado? De esa forma nos estaríamos cubriendo frente a cisnes negros, cuya probabilidad de ocurrencia, por definición, es incalculable. ¿Deberíamos hacer sustituir los análisis de riesgos por los análisis de impactos, como se hace al valorar la continuidad? En ese caso, el resultado cambiaría mucho:

I1(desastre nuclear) = 20/25 = 80%  >>  I3(atentado bolsa) = 12/25 = 48%  >>  I2(accidente aéreo) = 12/25 = 32%

Ahora otra duda filosófica. ¿Cómo entra en la ecuación el beneficio (en este caso, beneficio obtenido de la asunción del riesgo)? En el ejemplo no me he atrevido a cuantificar el beneficio de cada uno de los tres casos, pero... ¿Es la ecuación coste/beneficio (riesgo/beneficio en nuestro caso) una ecuación válida? Y lo que es más importante (sin entrar en el cuestionamiento matemático): ¿Podrían existir casos en los que un riesgo (o un impacto) fuese tan alto que no se debiera considerar la posibilidad de aceptarlo, independientemente del beneficio asociado? (y ojo, que esta duda filosófica no es una cuestión trivial, ya que subyace tanto en el debate nuclear como en la crisis de las sub-prime).

Por último, otro cuestionamiento más clásico. ¿Debe cambiar nuestra decisión, o nuestra valoración, en función de la cercanía temporal con un incidente en el que se haya materializado la amenaza cuyo riesgo estamos evaluando? ¿Y si el incidente es un cisne negro?

En definitiva, con este post (ya siento que me haya quedado un poco largo) quería poner de manifiesto un problema del que, de una forma u otra, se está hablando mucho últimamente: es posible que los gobiernos tomen decisiones sin haber hecho un análisis excesivamente profundo sobre los riesgos asociados a esas decisiones, y probablemente un análisis más detallado les permitiría tomar decisiones más razonadas. Pero tampoco caigamos en la tentación de pensar que un análisis correcto va a llevar automáticamente a una decisión acertada, porque... realmente la herramienta de análisis y decisión es correcta? ¿Es realmente el análisis de riesgos una herramienta válida para la toma de este tipo de decisiones? Si has leído hasta aquí seguro que tienes tu propia opinión al respecto... ¿La compartes?

15 marzo 2011

Límites legales a la seguridad

Como todos sabréis, no soy abogado. Muchas veces me cuesta bastante entender la forma de pensar de los licenciados en derecho, tan enrevesada para un ingeniero. Y más cuando se ponen a hablar de cosas tan "simples" como la tecnología o la gestión. Sin embargo, no puedo evitar que la legislación tecnológica me parezca un tema apasionante, y más cuando se entremezclan aspectos "importantes de verdad" como los derechos y deberes de las personas o de las empresas. Así que muchas veces caigo en la tentación de abordar temas en los que realmente no soy experto, pero sobre los que no puedo evitar mojarme. Sólo espero que nadie considere que mis posturas están más autorizadas que otras por el mero hecho de decidirme a plasmarlas en un blog...

Dicho esto, algo que me satisface enormemente suele ser encontrarme con textos en los que personas realmente autorizadas, como creo que son los juristas especializados en nuevas tecnologías, escriben sobre estos temas en lenguaje apto para el común de los mortales. Y hoy quiero referenciar dos de ellos que han caído recientemente en mis manos:
Si a vosotros también os interesan estos temas, seguro que los encontráis muy apetecibles.

08 marzo 2011

ISO 20000, servicios y subcontrataciones

Poco a poco vamos descubriendo los cambios que se han introducido en la nueva versión de la ISO 20000, cuya publicación se espera para Mayo de este año. De acuerdo a las explicaciones de la editora de la nueva parte 1 de la norma, parece que algunos son más bien "cosméticos" (actualizaciones y aclaraciones, principalmente, pero sin modificar el núcleo del contenido), pero hay dos cambios que creo que son especialmente destacables: los relativos a los servicios y a las subcontrataciones.

El primero de ellos es un cambio que puede parecer simple pero que a mí me parece fundamental: se introduce la definición de servicio. Ahora ya no habrá que elucubrar sobre qué es un servicio (¿TI?) desde el punto de vista del estándar, puesto que ya se define. Además, el nuevo enunciado del estándar introduce varias referencias en torno al establecimiento del alcance, incluyendo el requisito de identificar en él los servicios cubiertos por el Sistema de Gestión de Servicios (SGS). Con todo ello, es probable que la acotación de los servicios susceptibles de ser certificables bajo ISO 20000 sea más sencilla, aunque parece ser que en este punto no ha habido cambios respecto a la filosofía vigente en la versión actual.

El segundo de los cambios, que me parece MUY importante conociendo la casuística del sector TIC actual, pasa por aclarar una situación cada vez más demandada: qué ocurre en los casos en los que la prestación de servicios TI está subcontratada. Y la moraleja es muy sencilla: es posible certificar un SGS siempre que TODOS los requisitos propios del Sistema de Gestión los cumpla directamente la propia organización que se certifica, mientras que el resto de las exigencias (tanto la planificación de los servicios como los 13 procesos "clásicos") pueden estar subcontratadas y gobernadas mediante el ejercicio del "control de gestión".  Este cambio, desde mi punto de vista fundamental, facilita la certificación de grandes organizaciones que habitualmente tienen los servicios TIC subcontratados, ya que este "nuevo" modelo de alcance certificable encaja a la perfección con su filosofía habitual... ¿Servirá este cambio para provocar un incremento en la tasa de nuevas certificaciones en ISO 20000? Yo apostaría a que sí...