Una gobernanza de riesgos adecuada es fundamental en muchos ámbitos de nuestra sociedad. Además de la seguridad cibernética,
que es nuestro tema de interés en este texto, la gestión de riesgos es
crucial para la administración de proyectos en diversas áreas como
finanzas, medio ambiente y salud. Poniendo en términos simples, el mundo
es mejor con ella que sin ella.
Pero seamos honestos: la
gestión de riesgos es un sistema que busca hacer frente a una realidad
compleja, un blanco móvil en constante transformación. De eso resultan
algunas limitaciones, y el modelo puede inducirnos a error al darnos una
falsa sensación de comodidad y seguridad. Los numerosos ataques
cibernéticos exitosos reportados a menudo son una prueba de que algo no
está funcionando, a pesar de los continuos esfuerzos en gestión de
riesgos y aplicación de controles.
Una de las limitaciones
históricas que se destacan es la subjetividad de los muchos factores
considerados en los análisis. El corazón del análisis está en el
entendimiento de que el riesgo surge de la probabilidad de ocurrencia de
un incidente de seguridad (que a su vez, depende de que una amenaza
explote una vulnerabilidad) y del impacto o consecuencia del incidente.
Es decir, para cada amenaza potencial, además de entender el nivel de
exposición (vulnerabilidad), se requiere estimar la probabilidad de que
la amenaza va a concretizarse y crear un incidente. Después de eso, es
necesario estimar el impacto del evento. En este sistema, un pequeño
cambio en las premisas de la probabilidad y del impacto ya es motivo
para reaccionar rápidamente hacia arriba o abajo, afectando la
credibilidad de todo el modelo.
Así, utilizar datos
cuantitativos, como la probabilidad porcentual de que un incidente
ocurra y métricas económicas de impacto de ataques exitosos, se ha
convertido en complicada e imprecisa. Para mitigar este problema, la
mayoría absoluta de los análisis de riesgos empleados actualmente
utiliza un modelo cualitativo, en que las probabilidades y los impactos
son graduados en niveles "muy alto", "alto", "medio" y "bajo" o "verde",
"amarillo" y " rojo ", por ejemplo. Lo que pasa es que el uso de
parámetros cualitativos, además de agregar la imprecisión resultante de
la propia subjetividad utilizada, hace impracticable la comunicación
entre el administrador de seguridad y la empresa.
Imagínese justificando una
solicitud de aumento de presupuesto para seguridad de $ 4 millones este
año, argumentando que ello va a permitir la ejecución de proyectos que
reducirán el nivel de riesgo de "rojo" a "amarillo". Después de todo,
¿qué significa eso para un director financiero o director ejecutivo?
Este escenario indefinido nos lleva a pensar: ¿hay un camino para un análisis inteligente y eficaz?
Afortunadamente, hoy en
día, con el avance de las tecnologías de análisis de datos masivos (Big
Data Analytics), hay una luz al final del túnel. Un enfoque innovador ya
está disponible con metodología de análisis y gestión de riesgos
cuantitativa que pretende medir precisamente e informar el nivel de
riesgo con la experiencia de bases de datos de incidentes de seguridad
ocurridos en los últimos años. Estas bases de datos orientan de manera
muy precisa la identificación de las probabilidades y de los impactos,
eliminando la subjetividad de la ecuación.
Así, surgen mediciones
operacionales objetivas, como: "si el proyecto es implementado,
representará una reducción de $ 8,3 millones en pérdidas esperadas de
incidentes de esa naturaleza" o "el retorno de la inversión en el
proyecto será del 32% después de 18 meses" o "la contribución de este
proyecto para aumentar el EBITDA será del 3%". De esta manera, el
gestor de seguridad puede contar con una herramienta que habla el
lenguaje del liderazgo de la organización, y todos se beneficiarán de la
mayor visibilidad sobre los riesgos como apoyo a la mejor toma de
decisiones.
Recursos escasos son
constantes en todas las actividades humanas, por lo tanto, gestionarlos
adecuadamente puede ser un diferenciador competitivo importante, incluso
– o especialmente – en el mundo de la seguridad cibernética. En él, las
decisiones acerca de inversiones pueden representar, de hecho, la
supervivencia en situaciones extremas, manteniendo la confianza de los
clientes y la continuidad de las operaciones del negocio. Son temas
demasiado importantes para decidir en términos de semáforo (verde,
amarillo o rojo) – ellos requieren un mayor nivel de madurez para poder
traducir cada decisión a tomarse en impactos financieros.
*Por Leonardo Carissimi, director de soluciones de seguridad de Unisys en América Latina.
|
jueves, 14 de junio de 2018
Olvide la gestión del riesgo, siga el dinero
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario