Los seres vivos somos expertos en gestionar riesgos. Es algo que hemos hecho a lo largo de millones de años. Se llama, entre otras cosas, instinto de supervivencia. No estaríamos aquí si se nos diera mal.

Los evitamos, los mitigamos, los externalizamos, los asumimos.

Por ejemplo, ¿va a llover hoy? Si llueve, ¿cuánto va a llover? ¿Me llevo el paraguas? ¿Me quedo en casa? ¿Me encontraré con un atasco de camino al trabajo? ¿Llegaré tarde a la reunión? ¿Llamo para avisar? ¿Intento posponer la reunión? ¿Pincharé una rueda de camino a casa? ¿Cuándo fue la última vez que revisé la rueda de repuesto? ¿He pagado la prima del seguro? ¿Cuál es la cobertura de asistencia en carretera?

Todos esos procesos cotidianos de identificación y valoración de riesgos los realizamos de manera inconsciente a diario, y aplicamos medidas de gestión del riesgo sin apenas darnos cuenta. Cogemos un paraguas, llamamos a la oficina para avisar del retraso, asistimos a la reunión por teléfono, salimos antes de casa o decidimos coger el transporte público. Evidentemente, no siempre es tan sencillo.

Sin embargo, cuando nos trasladamos al entorno corporativo, empezamos con la tolerancia al riesgo, los criterios de probabilidad, impacto y vulnerabilidad, los catálogos de amenazas (estándar), las estrategias, los registros de riesgo, el riesgo inherente, residual y proyectado, los ratios de mitigación. Y nos perdemos durante meses en conceptos, documentos y metodologías, alejándonos cada vez más de la realidad que tenemos que analizar y proteger.

La ortodoxia en la gestión de riesgos (de ciberseguridad)

A raíz de esto, hace ya unos meses, en plena pandemia, fui a topar con un interesante artículo que contraponía dos visiones muy diferentes de la gestión de riesgos, que venía a llamar RM1 vs RM2.

Básicamente, y citando directamente del artículo, RM1 estaría enfocado a la “gestión de riesgos para las partes interesadas externas (Consejo, auditores, reguladores, gobierno, agencias de calificación crediticia, compañías de seguros y bancos)“, mientras que RM2 sería la “gestión de riesgos para los responsables de la toma de decisiones dentro de la empresa“.

Algunas semanas o meses después, Román Ramírez publicaba una entrada en una línea similar, criticando la ortodoxia reinante en la gestión de riesgos de ciberseguridad y los problemas que esta generaba.