La gestión de riesgos es difícil, pero hacerlo mal puede ser peor que no hacer nada en absoluto. Aquí algunos defectuosos métodos estadísticos y otros errores comunes que pueden hacer que su programa tropiece.
Los ejecutivos saben que se enfrentan a riesgos, pero a menudo no saben cuáles son reales, o lo que significa para su negocio estar expuestos.
El objetivo de la gestión de riesgos de seguridad es eliminar las conjeturas y ayudar a la empresa a tomar decisiones más inteligentes.
Como dice Jay Jacobs, vicepresidente de la Sociedad de Analistas de Riesgo de la Información (SIRA): “La gestión de riesgos de seguridad es simplemente un sistema de soporte de decisiones para el negocio. Debería existir para informar las decisiones de la empresa.”
Por desgracia, muchos expertos creen que la mayoría de las empresas no han llegado todavía a ese punto y que sus esfuerzos, aunque bien intencionados, se quedan cortos e incluso pueden incorporar malos hábitos que pueden aumentar el riesgo de una organización.
Jeff Lowder, presidente de SIRA, dice: “Hay una percepción errónea de que la experiencia en materia de seguridad es igual a la experiencia en la gestión de riesgos. De hecho, vemos muchos expertos en seguridad, que también afirman ser expertos en gestión de riesgos. Pero a menudo no lo son. Se trata de dos disciplinas separadas e, idealmente, alguien tendrá conocimiento de ambas si está realizando gestión de riesgos de seguridad”.
Para obtener una mejor comprensión acerca de dónde es que muchas empresas van mal, CSO preguntó a un puñado de expertos sobre lo que ellos comúnmente ven que hacen mal las empresas en cuanto a gestión de riesgos de seguridad. “En muchas organizaciones, con base en lo que hemos visto, en realidad podría ser mejor si la organización eligiera tomar decisiones basadas en ‘volados’ (tirar monedas al aire) en vez de hacerlo conforme a los marcos de gestión de riesgos de seguridad interna. Al menos en un volado se tiene un 50 por ciento de posibilidades de hacerlo bien”, dice Lowder.
Estos son los errores más comunes y los conceptos erróneos que surgen en esfuerzos bien intencionados de gestión de riesgos:
1. Empezar de cero.
Muchos profesionales de seguridad intentarán reinventar la disciplina de la gestión de riesgos de seguridad.
Afortunadamente, existen métodos bien establecidos para las tareas de análisis de riesgo, tales como la forma de solicitar la opinión de un experto y la forma de representar la incertidumbre en los modelos de riesgos. Sin embargo, como explican Jacobs y Lowder, la mayoría de las personas no conocen las investigaciones acerca de cómo hacerlo correctamente, y terminan volviendo a crear no sólo los mismos modelos, sino también las mismas deficiencias que sufren los enfoques básicos.
“El modelo más destacado es escoger algunos factores de ‘riesgo’ que parecen importantes, asignarles una prioridad numérica, y luego realizar operaciones aritméticas básicas sobre éstos o colocarlos en una matriz, lo cual ha demostrado resultados pobres”, dice Jacobs. La única redención para las organizaciones que dependen de estos marcos ‘hechos en casa’ es que los experimentados tomadores de decisiones a menudo desconfían de los resultados de estos enfoques básicos producen, añade Jacobs.
2. Replicar el departamento de auditoría.
Una forma en que los programas de gestión de riesgos de seguridad se condenaron al fracaso, dice Alex Hutton, director de operaciones de riesgo y gobernabilidad en una gran empresa de servicios financieros y miembro en funciones de la IANS, es copiar las funciones del departamento de auditoría.
“Si bien existen similitudes entre los dos, los papeles son muy diferentes”, dice Hutton. El equipo de auditoría debe preocuparse por las fallas que pueden presentarse debido a deficiencias en los controles de seguridad, mientras que la gestión de riesgos debería preocuparse por la frecuencia y el impacto potencial de los riesgos de TI. Y mientras que el papel de la auditoría es ayudar a la compañía a comprender cómo poner en práctica los controles, el papel de la gestión del riesgo es determinar cómo sacar el máximo provecho de las inversiones en los controles de seguridad y procesos relacionados.
“En la mayoría de las organizaciones cuyos programas de gestión de riesgo terminan fracasando, sucede porque terminan simplemente reforzando las políticas en lugar de consultar a la organización sobre qué controles tienen o no sentido”, dijo Hutton.
“Auditoría no tiene por qué ocuparse de la amenaza y a auditoría no necesariamente se preocupa por informar de un panorama global del riesgo, basado en la perspectiva entera de las amenazas, los activos, los controles y el impacto”, dijo Hutton. “Pero la gestión de riesgos de seguridad, sí lo hace.”
3. Confundir precisión con exactitud.
Muchos profesionales de seguridad de TI se sienten incómodos al reducir los riesgos de seguridad y vulnerabilidades a números simples. “Escuchará a la gente decir que no hay tablas actuariales pertinentes, o no hay suficientes datos sobre hechos para crear un número que proporcione valor”, dice Lowder. “Han confundido la posibilidad de dar una estimación numérica precisa frente a la posibilidad de dar un rango numérico de alta precisión”.
Para proporcionar información procesable, los profesionales de gestión de riesgos de seguridad no tienen que dar números que predicen exactamente una probabilidad buena o mala.
“Los números sólo tienen que ser tan precisos como sea necesario para tomar una decisión”, dice Lowder. “Se puede crear un argumento sólido cuando se muestra que la probabilidad de que algo ocurra es de entre el 60 y el 90 por ciento”, comenta.
4. Énfasis excesivo en el registro de riesgos.
Hutton expresa que muchas organizaciones, al evaluar los riesgos que enfrentan, se centran demasiado en la lista y la clasificación de todas las cosas que podrían salir mal, a lo que se denomina un registro de riesgos.
“El problema con la creación de un registro de riesgos es que la gente no sabe muy bien cuándo parar. Ellos siguen acumulando riesgos, incluso los más oscuros, desde atacantes cibernéticos con toda motivación concebible hasta la posibilidad de que una aeronave atraviese el techo del centro de datos”, dice.
“Riesgos muy esotéricos se abren camino dentro de los registros de riesgo. Pero a menudo son eventos muy poco probables que podrían costar muy poco dinero para mitigar”, opina. Hutton aconseja a las organizaciones a crear un registro de exposición, lo que es más probable que refleje los riesgos del mundo real y ayude a las organizaciones a mitigar primero los riesgos más probables y de mayor amenaza.
5. Uso de conceptos de riesgo no definidos.
Una de las formas más comunes en que los profesionales clasifican las amenazas y vulnerabilidades es en una escala simple –bajo, medio o alto. Desafortunadamente, eso puede traer problemas.
Después de todo, ¿qué significan realmente bajo, medio y alto? “En realidad son términos cuantitativos, sin la apariencia de ser cuantitativos”, dijo Lowder.
“Cuando se le pregunta a la gente que defina alto, medio y bajo, aplicado a la probabilidad o la frecuencia de los acontecimientos, nadie parece ser capaz de ponerse de acuerdo sobre lo que realmente significan los términos. El resultado es una ilusión de comunicación. Eso es más peligroso que tratar de añadir un poco de precisión a un argumento”, considera Lowder.
Por ejemplo, si se dice que la probabilidad de un evento es baja, algunos ejecutivos creerán que significa que hay una probabilidad del 10 por ciento de que ocurra, mientras que otros piensan que es un 33 por ciento. “Usted no desea utilizar números por el bien de los números, pero siempre que sea posible, deseará definir numéricamente las cosas para saber que se está comunicando claramente”, dice Lowder.
6. No contar con un programa de inteligencia de riesgos.
“Este error es uno grande”, dice Hutton. “Si los riesgos de seguridad pueden dividirse en cuatro grupos de información –amenazas, controles, activos e impactos– entonces cualquier cambio a cualquiera de esas condiciones tendría un impacto en la postura de los riesgos de una organización”, dice. Lamentablemente, las actuales normas de gestión de riesgos pasan poco tiempo describiendo cómo poner en marcha un programa de inteligencia de riesgo o la importancia de dicha función. Tampoco explican qué la convierte en una fuente válida de inteligencia o cómo hacer frente a la nueva información que cambia la postura de riesgos de la organización.
La implementación de una función de inteligencia es mucho más sencilla de lo que las empresas podrían pensar, dice Hutton. Sólo tienen que supervisar los cambios que podrían afectar su riesgo.
“Por ejemplo, es posible que desee supervisar los cambios de la organización, como por ejemplo, si el experto en detección y prevención de intrusos deja la empresa y no hay nadie para llenar el vacío de conocimientos. Eso aumentaría el riesgo, al igual que lo haría el descubrimiento de nuevos programas maliciosos para OSX en una organización que tenga una población decente de sistemas que ejecuten ese sistema operativo”, dijo Hutton. Y si usted no está buscando este tipo de cambios, no está gestionando el riesgo adecuadamente, según muchos expertos.
7. Multiplicación de ordinales.
“Este es un error fundamental para evitar”, dice Lowder. Por ejemplo, imagine una regata en la que el barco A llegó en primer lugar, el bote B llegó en segundo, y el bote C en tercero. Con sólo esta información, es imposible calcular el tiempo promedio en que los tres barcos terminaron la carrera: todo lo que sabemos es que el bote A fue más rápido que los dos barcos, B y C. “Ahora se puede ver el defecto fatal en la multiplicación de los valores ordinales o en tratar de calcular la media de un conjunto de valores ordinales en una escala ordinal, como primera, segunda, tercera, o alto, medio, bajo”, aclara Lowder.
Las escalas ordinales simplemente definen el rango u orden de los valores; no dicen nada acerca de las cantidades representadas por dichos valores. “Esta es la razón por la que no se define el significado de un conjunto de valores ordinales. Por la misma razón, no tiene sentido calcular la media de los factores de gestión de riesgo definidos como alta, media y baja”, dice Lowder.
La gestión de riesgos es difícil, pero hacerlo mal puede ser peor que no hacer nada en absoluto. “Se tomarán decisiones sobre datos erróneos, procesos malos o malos cálculos. Esa es una fórmula para hacer que una mala situación sea peor”, concluye Jacobs.
– Por George V. Hulme, CSO
