Análisis de Riesgos para directivos

Muchos responsables de seguridad se quejan de que les resulta difícil conseguir que la dirección revise con detalle (y no hablemos ya de participar en su realización) los análisis de riesgos. ¿Hay alguna forma de conseguir que el ejercicio sea más "natural" para ellos? Creo que sí.

La propuesta que hago a continuación no es excesivamente ortodoxa, pero creo que puede servir para aproximar los análisis de riesgos a un colectivo como es el directivo que puede estar familiarizado con los conceptos que se tratan, pero que les cuesta usar la metodología "clásica". No obstante, los primeros que tendremos que hacer un esfuerzo seremos nosotros, que tendremos que dejar de pensar en riesgos de TI (o de cualquier otro ámbito) y empezar a pensar en riesgos de negocio.

Si hemos superado el primer obstáculo, el resto es sencillo. Sólo hay que seguir unos pequeños pasos que indico a continuación:

1. Identificar el "negocio" del ámbito que estemos analizando, listando los servicios que presta, o los procesos de negocio que desarrolla, o como queramos llamar a la actividad de negocio que desarrolla ese ámbito. 
2. Clasificar esos servicios en 3 niveles, en función de su importancia para la organización (llamémosle importancia alta, normal y baja). 
3. Realizar un análisis DAFO de cada uno de esos servicios, identificando sus Debilidades, Amenazas, Fortalezas y Oportunidades.
4. Valorar cada una de esas debilidades, amenazas, fortalezas y oportunidades en función de su importancia (llamémosle importancia alta, media o baja).  
5. Ahora sólo queda que alguien, a nivel más técnico, interrelacione debilidades (aka vulnerabilidades) y amenazas por un lado, y fortalezas y oportunidades por otro, multiplique el valor de cada tripleta (servicio-debilidad-amenaza y servicio-fortaleza-oportunidad)... et voila! Ya tenemos el análisis de riesgos.

Con este sencillo ejercicio, que para un directivo puede ser bastante más fácil de llevar a cabo que un análisis de riesgos "de libro", hemos conseguido tener un análisis de riesgos de negocio cuantitativo por un lado y un análisis de potencialidades (no he querido usar oportunidades, que ya se usa, y no se me ocurre un término mejor como antónimo de riesgo) por otro. De este modo no sólo reducimos la complejidad técnica que puede tener un análisis de riesgos, sino que lo aproximamos a la visión de negocio, tanto por utilizar metodologías más propias de este nivel como por desarrollar una visión "en positivo" del análisis de riesgos, al identificar no sólo riesgos a mitigar sino también potencialidades a favorecer, dentro del mismo análisis (de hecho, esta propuesta de análisis de riesgos en positivo ya la planteé en este mismo blog hace algún tiempo).

Obviamente, si lo que estamos buscando es un análisis de riesgos TI probablemente no encontremos bajo este planteamiento una solución válida, aunque... realmente el análisis de riesgos TI es un análisis de riesgos para directivos?