24 marzo 2011

Se puede decidir basándose en el riesgo?

Hace unos días estuve inmerso en una interesante discusión en torno a las causas y consecuencias del incidente de la central nuclear de Fukushima. El estupendo artículo escrito por Javier Cao sobre el posible fallo en la seguridad de la central nos sirvió para aportar algo de luz a la discusión, pero la verdad es que la discusión acabó cuestionando el propio núcleo de la seguridad, la gestión de riesgos, hasta acabar preguntándonos si realmente tiene sentido hacer los análisis de riesgos como los hacemos.

El problema es fácil de explicar en términos de un simple análisis de riesgos: un activo (la central) de bastante valor, una amenaza (la catástrofe nuclear) de muy baja probabilidad de ocurrencia (tres casos a nivel mundial en la historia de la energía nuclear) y un impacto altísimo (la muerte, inmediata o aplazada, de las personas que estén a varios kilómetros a la redonda) si llega a ocurrir. Unido al análisis de ese riesgo, el beneficio asociado: la producción eficiente y barata de energía eléctrica. ¿Qué hacer?

Para simplificar el análisis, voy a hacer una rápida aproximación (trivial, lo sé): Riesgo (1-125) = Activo (1-5) x Amenaza (1-5) x Impacto (1-5). En este caso, R1 = 4 x 1 x 5 = 20/125 = 16%.

Viendo este cálculo, cualquiera podría decir que un riesgo del 16% se puede considerar bajo, y en consecuencia asumible, a priori.

Ahora, comparémoslo con otro caso, como puede ser un accidente de aviación: un avión (de no mucho valor comparado con la central), la amenaza de que se estrelle (cuya frecuencia de ocurrencia, viendo los datos estadísticos mundiales, es significativamente más alta que la anterior) y un impacto también asociado a la pérdida de vidas humanas, pero de menor incidencia que el anterior. El beneficio, en este caso, es el transporte rápido y relativamente eficiente de personas.

De nuevo voy a hacer un ejercicio de libro para simplificar este otro caso: R2 = 2 x 3 x 4 = 24/125 = 19%.

También tenemos un riesgo bajo, de un orden de magnitud comparable con el caso anterior, aunque su resultado es mayor (lo sé, ambos cálculos pueden ser discutibles, y es evidente que los números están elegidos a propósito, pero me parece un ejemplo ilustrativo).

Por último, un tercer ejemplo: un atentado terrorista con pre-aviso en la sede de una bolsa. En este caso, el valor del activo (la bolsa) probablemente será más alto que el del avión, la probabilidad de ocurrencia a nivel mundial puede ser comparable, y el impacto, aunque no provoque muertes, puede tener consecuencias económicas muy importantes para el país. En este caso, el cálculo podría ser R3 = 4 x 3 x 3 = 36/125 = 29%.

Y ahora empiezan los cuestionamientos a este planteamiento. Para empezar, uno sencillo, matemático: ¿Si hablamos de vidas humanas comparadas con pérdidas económicas, realmente deberíamos valorar el impacto con la misma escala? ¿La escala de impactos debería ser lineal o exponencial? ¿No estaremos simplificando mucho la fórmula de cálculo del riesgo? Porque una excesiva simplificación nos podría llevar a trivializar ciertos riesgos...

En segundo lugar, un cuestionamiento más filosófico, de fondo. En los casos en los que el impacto es tan brutal... ¿Es conveniente tener en cuenta la probabilidad de ocurrencia de las amenazas? ¿O quizás no se debería valorar el riesgo, sino sólo el impacto ponderado? De esa forma nos estaríamos cubriendo frente a cisnes negros, cuya probabilidad de ocurrencia, por definición, es incalculable. ¿Deberíamos hacer sustituir los análisis de riesgos por los análisis de impactos, como se hace al valorar la continuidad? En ese caso, el resultado cambiaría mucho:

I1(desastre nuclear) = 20/25 = 80%  >>  I3(atentado bolsa) = 12/25 = 48%  >>  I2(accidente aéreo) = 12/25 = 32%

Ahora otra duda filosófica. ¿Cómo entra en la ecuación el beneficio (en este caso, beneficio obtenido de la asunción del riesgo)? En el ejemplo no me he atrevido a cuantificar el beneficio de cada uno de los tres casos, pero... ¿Es la ecuación coste/beneficio (riesgo/beneficio en nuestro caso) una ecuación válida? Y lo que es más importante (sin entrar en el cuestionamiento matemático): ¿Podrían existir casos en los que un riesgo (o un impacto) fuese tan alto que no se debiera considerar la posibilidad de aceptarlo, independientemente del beneficio asociado? (y ojo, que esta duda filosófica no es una cuestión trivial, ya que subyace tanto en el debate nuclear como en la crisis de las sub-prime).

Por último, otro cuestionamiento más clásico. ¿Debe cambiar nuestra decisión, o nuestra valoración, en función de la cercanía temporal con un incidente en el que se haya materializado la amenaza cuyo riesgo estamos evaluando? ¿Y si el incidente es un cisne negro?

En definitiva, con este post (ya siento que me haya quedado un poco largo) quería poner de manifiesto un problema del que, de una forma u otra, se está hablando mucho últimamente: es posible que los gobiernos tomen decisiones sin haber hecho un análisis excesivamente profundo sobre los riesgos asociados a esas decisiones, y probablemente un análisis más detallado les permitiría tomar decisiones más razonadas. Pero tampoco caigamos en la tentación de pensar que un análisis correcto va a llevar automáticamente a una decisión acertada, porque... realmente la herramienta de análisis y decisión es correcta? ¿Es realmente el análisis de riesgos una herramienta válida para la toma de este tipo de decisiones? Si has leído hasta aquí seguro que tienes tu propia opinión al respecto... ¿La compartes?

7 comentarios:

Florencio Cano dijo...

En mi opinión, el análisis de riesgos debe servir como una herramienta iterativa cuando no existe una probabilidad estadística basada en una muestra histórica significativa. Y creo que este caso es el que más frecuentemente se da en seguridad de la información, a diferencia del mundo de los seguros.

Con una herramienta iterativa quiero decir que no debe realizarse el análisis de riesgos y actuar en función de los resultados directamente sino que tras su realización debería modificarse adhoc para ajustarse a nuestra aversión al riesgo y a nuestros criterios de aceptación del riesgo. Esto puede parecer hacer "trampa" pero creo que proporciona valor al mismo y ayuda a hacerlo real.

Para un cálculo tal vez más acertado y repetible del "riesgo" que no incluya "probabilidades" que no conocemos, tal vez debería utilizarse el concepto de OSSTMM "superficie de ataque".

ahernandez dijo...

Totalmente de acuerdo con lo que comentas Joseba: gestionar la incertidumbre, difícil tarea la nuestra intentando evitar, en la medida de lo posible, la subjetividad sesgada introducida por el propio analista, como has mostrado a través de los ejemplos.

Los análisis de riesgos no bastan en situaciones "tan delicadas" como las planteadas. Una cosa son los que ejecutamos en el contexto de seguridad de la información. Otra bien distinta los empleados en otros sectores o con implicaciones más serias.

En mi caso particular, los suelo combinar con otras fuentes de información cotejada que no tienen en cuenta la probabilidad: análisis de escenarios, análisis de impactos y análisis DAFO, dando un barniz de confidencia en los resultados mayor, reduciendo la subjetividad.

Saludos,

Miguel Ángel Hernández Ruiz dijo...

Yo creo que una vez realizado el análisis de riesgos, hay que volver la vista atrás, hacia el análisis de impacto. Si tengo algún impacto que bajo ninguna circunstancia me puedo permitir, puedo evitar los riesgos derivados de las amenazas y vulnerabilidades que aplican contra ese activo (no construir la central nuclear), o escoger tratarlo, sobredimensionar las medidas de seguridad, pero en este segundo caso, la experiencia nos demuestra una y otra vez que la seguridad 100% nunca existe y que por mucho que sobredimensiones las medidas de seguridad, el riesgo residual resultante puede materializarse en un incidente, que a la postre se traduzca en el impacto que nunca quisimos. Sea del color que sea el cisne, lo que importa es lo que NO se que NO se y esto es aquello que no evalué en el análisis de riesgos (el conjunto de circunstancia que haga que tus contramedidas no funcionen) pero podría producir el impacto no deseado. ¿Merece la pena correr el "riesgo residual"? It's your choice.

Anónimo dijo...

lo malo que tiene un Análisis de Riesgos es que, sea bueno o malo, es una herramienta que trata de predecir, así que en el mismo momento que tomas una decisión basado en él, estás cambiando el futuro que tratabas de predecir.

Y claro, así resulta dificil acertar.

Joseba Enjuto dijo...

Para mi, la clave es que necesitamos un criterio objetivable en el que basar nuestras decisiones. ¿Debe ser el riesgo o debe ser el impacto? Depende de nuestra "cultura de empresa" (o de país). Las decisiones basadas en impacto son mucho más "conservadoras", más garantistas. Se me ocurre que se podría utilizar la valoración de impacto para la decisión inicial (lo hago o no lo hago, adopto o no el "activo" en cuestión) y la adopción inicial de salvaguardas, dejando la valoración de riesgo para la "modulación" de las mismas y su análisis coste-beneficio. ¿Qué os parece la idea? Y para alimentar el debate... No utiliza el ENS una valoración basada en impacto y no en riesgo?

ahernandez dijo...

[...] No utiliza el ENS una valoración basada en impacto y no en riesgo?[...]

Exacto. Al igual que con la LOPD, nos dan el análisis de riesgos "hecho", valorando únicamente el impacto.

Tras ejecutar algunas implantaciones de ENS, no acabo de ver la utilidad real de ejecutar el AR en el contexto de estudio, dado que "no refrenda" de forma real la toma de decisiones sobre los controles a implantar. Parece una traslación tosca de la 27k...

Joseba Enjuto dijo...

En la práctica creo que tiene dos aplicaciones:
- Reforzar la aplicación de medidas de seguridad, intensificándolas allí donde el riesgo resultante es elevado (aunque he de reconocer que para esto no se usa demasiado, ya que las medidas ya son de por sí bastante exigentes).
- Modular el nivel de complejidad técnica (y coste, en muchos casos) de las medidas de seguridad previstas, relajando al mínimo imprescindible aquellas cuyo riesgo asociado es bajo.
Y básicamente, eso es todo...