Español | English
rss facebook linkedin Twitter

El Análisis de Riesgos es... ¿dinámico o estático?

Antes del verano, participé de un debate muy interesante con algunos compañeros sobre la naturaleza del Análisis de Riesgos. Básicamente, de lo que estuvimos hablando fue de si el análisis de riesgos era algo estático o dinámico.

Todo ello, porque un cliente estaba interesado en la forma en la que funciona UMSS (ya sabéis, Unified Management Security System, nuestra plataforma de gestión integral de seguridad). El debate surgió porque la filosofía del análisis de riesgos en UMSS es estática y eso parecía que no servía para realizar una adecuada gestión de la seguridad. Y como estuvimos bastante tiempo con ese debate, pensé que era bueno compartirlo con todos nuestros lectores y ver que opinaban ellos (vosotros).

Así que voy a tratar de explicar los argumentos a favor de este planteamiento estático del análisis de riesgos y voy a tratar de hacerlo con un símil de gestión empresarial: El concepto que vamos a utilizar para el análisis sería el equivalente a un presupuesto. Sería como la previsión comercial que hacemos a principio de año:
  • Tenemos unos clientes a los que podríamos realizar ventas (serían nuestros activos).
  • Tenemos productos y servicios que podríamos venderles (que equivaldrían al concepto de amenaza - curioso, verdad).
  • Evidentemente, existen condiciones en esos clientes que los hacen susceptibles de necesitar los productos y servicios (esa es su "vulnerabilidad").
  • Y finalmente, tendríamos una probabilidad estimada de que se produjera la venta de un determinado producto / servicio por un determinado importe (conceptos equivalentes a probabilidad de ocurrencia de la amenaza e impacto).
Alrededor de esta previsión, se articula toda la actividad de la organización: dimensionamiento de equipos, capacidad productiva, etc... Pues exactamente lo mismo ocurre con el análisis de riesgos. Después de realizar el ejercicio de estimar, de la forma más "exacta" posible, se utiliza para la toma de decisiones: inversión en controles de seguridad, subcontratación de actividades, etc... Es decir, es una herramienta para la toma de decisiones.

Y al igual que en el caso de las previsiones de ventas, lo que es más importante y a lo que ne se presta suficiente atención es al seguimiento de las desviaciones respecto a las estimaciones iniciales. Por tanto, aunque el análisis de riesgos es algo estático no lo es así la gestión de riesgos que, evidentemente, es una actividad continua.

Evidentemente, esto no sifgnifica tampoco que no se considere el riesgo salvo de manera discrecional, en absoluto. De hecho, cada vez que se produce cualquier tipo de incidentes que hay que gestionar, el primer factor que se ha de considerar es su impacto en la actividad de la organización; es decir, UMSS prioriza las incidencias en función del nivel de riesgo. Pero respecto al análisis de riesgos, lo que hacemos es una estimación inicial y, a posteriori, comprobar cuánto hemos fallado / acertado en esa estimación.

Aunque pudiera parecer algo diferente, en realidad no es así, si estáis familiarizados con el Nuevo Acuerdo de Capital de Basilea, es el mismo modelo que se utiliza para la gestión del riesgo operativo; con la diferencia de que los bancos centrales serán (están siendo) muy rigurosos a la hora de validar cómo se han realizado esas estimaciones (qué modelos estadísticos de predicción se han utilizado y qué datos se han utilizado para realizar los cálculos; puesto que de estos factores depende la bondad de la estimación).

Lo ideal sería que llegara un momento en que no hubiera estimaciones, sino cálculos deterministas que eliminaran la subjetividad del análisis (con los márgenes de error que corresponda según el modelo utilizado). Pero eso es ya otra historia... y este post se ha alargado demasiado.

Antonio Ramos
Director de Unified Management Security Services

5 comentarios:

Sebastian dijo...

Plantear que el análisis de riesgos es estático, y la gestión de riesgos dinámica; es bastante similar a decir que de una u otra forma, el análisis de riesgos es dinámico.

Siendo el análisis estático, hay que pensar en la periodicidad del análisis de riesgos, ya que estos pueden cambiar.

Si se me permite, hace un tiempo escribí un pequeño artículo de reflexión sobre la gestión de cambios en seguridad:

Gracias. Muy bueno el blog!
Saludos.

Sebastian dijo...

Je, si no pongo el link es complicado compartir, ¿no?

http://unmundobinario.wordpress.com/2008/07/07/actualizarse-o-sufrir-esa-es-la-cuestion/

¡Saludos!

S21sec dijo...

Tienes razón sebastian, en lugar de ser una duda entre dinámico o estático, es una disquisición entre continuo o discreto.

En realidad, hay un proceso que es la Gestión del riesgo que es, evidentemente, continua. Y dentro de ella, existen pasos que tienen distinta naturaleza y, en el caso, del análisis de riesgo, es discreto.

Lo que quería resaltar es que, es difícil, utilizar el análisis de riesgos como una métrica de seguridad que podamos monitorizar de forma continúa porque, tanto el coste de obtener los datos, como los componentes subjetivos que incorporan lo desaconsejan.

Muchas gracias por tu comentario, muy acertado.

Antonio.

Eduardo dijo...

En los años 70 Knuth acuño el termino matematica concreta, y saco un libro en los 80 sobre el tema. Era (es) sobre resolucion de problemas matematicos discretos tratados de forma continua. Es posible que el termino tmabien pueda usarse aqui.

Javier Cao Avellaneda dijo...

Comparto la matización, es más una discusión entre discreto o continuo. Considerar que es algo estático sería hacer una vez las estimaciones y que estas fueran constantes en el tiempo.

El análisis de riesgos, junto con la auditoría son las herramientas de retroalimentación o "feedback". Proporcionan información para ajustar el modelo de control. Quien tiene implantado un SGSI debe pasar por el ciclo PDCA y yo recomiendo que la segunda pasada por el análisis de riesgo no se base en estimaciones sino en el registro de incidencias.
¿Problema? Pues que no apuntamos todo lo que pasa.

Lo teoricamente ideal sería realizar un analisis de riesgos continuo pero es bastante inviable dado que las estimaciones se suelen hacer atendiendo a periodos de tiempo (Frecuencia en un mes, un año,etc.).

La tendencia es que se realice a intervalos discretos pero más continuos, con cada vez más frecuencia. A mayor retroalimentación, mejor ajuste del modelo de control. De hecho, en el área de auditoría de sistemas de información ya se habla del concepto de "auditoría continua".


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login