Por destacar algunos párrafos de una respuesta de Tim Mullen, al que cita, en una respuesta a un firme creyente en los métodos numéricos (c¿abalísticos?):

“when I see that you are actually contributing to ANY level of Critical Infrastructure Protection, it makes me fear for anyone who might be counting on your presumed skillset to actually make intelligent decisions about risk where human safety is at stake.”

“People like you are dangerous and need to be exposed before someone in a position of power actually believes that you know what you are talking about.”

Cuando leo esto no puedo dejar de acordarme del Sr. Mañas, su relación con el CCN y con el Esquema Nacional de Seguridad y su herramienta de análisis de riesgos ofuscados con caritas sonrientes.

Además, en el caso que conozco, hay una penalización a los optimistas. Quiero decir que cuando se estima el riesgo operacional, se evaluan las medidas preventivas y si se indica que existe control y luego se recogen pérdidas, eso penaliza al evaluador por valorar mejor la realidad de lo que luego realmente se evidencia… y va a la cuenta de los objetivos del área y del responsable. Así se evitan las tentaciones de pintar las cosas distintas de la realidad y se ajusta mejor el modelo.

Yo estoy leyendo actualmente un par de libros de Psicología sobre la anatomía del miedo y estoy encontrando hechos sorprendentes sobre la manera de procesar la información que tiene nuestro cerebro cuando se trata de afrontar peligros. Vestigios de nuestra evolución que justifican algunas de las cosas que vemos en los procesos de recogidas de datos.

Espero pronto poder explicarlo en un extenso post aunque Schneier ya adelantó algo hace tiempo en uno suyo que podéis leer en castellano en http://www.seguridaddigital.info/index.php?option=com_content&task=view&id=162&Itemid=26

Una de las primeras afirmaciones es que el miedo ( y extrapolable al riesgo) es como un par de vasos comunicados donde uno es la evaluación del sujeto y el otro la situación real que se produce. En la parte subjetiva entran unos factores de percepción como son:
- si es un peligro controlable o no.
- si es previsible o imprevisible.
- si estamos ya protegidos o nos sentimos inseguros.

Estos son los hechos que producen a veces ciertas paradojas como que al tener más seguridad asumimos más riesgos y podemos correr más peligro.

Además, frente al miedo (como frente al riesgo) hay dos estrategias de enfrentamiento: la que va contra el problema y la que va contra la percepción del problema.

Toni

Este capítulo, llamado ‘Zen and the art of risk management’ estudia desde un punto de vista bastante realista la útilidad del análisis de riesgos para la gestión de la seguridad.

Yo siempre he pensando que el análisis de riesgos tenía poca utilidad real porque no te podías fiar de números ‘estimados’ para generar nada creíble. De hecho siempre que el resultado no está acorde a lo que uno espera… pues se toca aquí y allí hasta que dá un resultado coherete.

Para mí, eso significaba que, realmente, no necesitaba el análisis de riesgos para tener que hacer artificialmente que diera el resultado que yo quería.

Me entran ganas de gritar “el análisis de riesgos está desnudo”. Y mira por donde me encontré un alma gemela en este pasaje:

Amongst many high-profile speakers at the conference was a professor of risk management, with extensive experience in applying risk management techniques in many high-risk sectors, such as the nuclear industry. The professor outlined a range of well-established techniques that might be adapted to the new field of computer security. Some of these involved complex calculations based on scores, weights and averages. At the end of his presentation, he proceeded to answer questions from the audience. I was particularly struck by one question and answer.

The question from the floor was a simple one: How do you stop a manager from manipulating these figures to get the decision he wants to get?’

The answer was a real eye-opener:

But that’s exactly how this process works. You wouldn’t make a decision on these figures alone. That would be madness. You make your decisions on a much richer set of information and then use these techniques to support your judgment.’

Risk assessment is a decision support tool, not a decision-making device. The techniques employed operate on a vast oversimplification of the richness of the problem space. We reduce complex uncertain problems to simple one-line descriptions. We adopt crude categories, such as high, medium and low to compare the likelihood or impact of a risk. We filter out important detail such as the knowledge and skills of the person who assessed the risk and the level of uncertainty or volatility of a measure. No sane person would make important decisions on such a narrow set of data. The results need to be chewed over and consumed in moderation, as a nutritionist might suggest.

Al menos ahora, desde la publicación de la norma ISO 27005, ya tenemos una referencia sobre la que poder elaborar una metodología propia. Por mucho que queramos inventar, las fases de cómo analizar y gestionar los riesgos son siempre comunes en todas las metodologías. Lo que suele variar es la manera de estimar valores que es donde está el quid de la cuestión.

Gracias también Antonio, recordaré tu consejo sobre lo que puede ser útil al cliente, miraré Mosler que no conocía y me quedaré con las ganas de saber cuales son las metodologías que no te parecen tan buenas.

Como dices, al hablar de “riesgos” hay que analizar otros campos, y a mí ahí la vista se me vuelve sin remedio hacia la banca (¿cómo se calcula el riesgo de darte o no un préstamo? ¿y el de hacerte un seguro de vida?). De banca/bancaseguros siempre se aprende algo, pero cuando he tratado de ver metodologías de análisis orientadas puramente a seguridad, por ejemplo a seguridad física, me he topado con Mosler, cuantitativo mixto… métodos que, por decirlo finamente, no son los que más me han gustado en mi vida :)

Saludos
Toni

Soy un nuevo y reciente seguidor de este sitio.

Saludos.