Dentro de la serie GOTO, comenzada recientemente en este blog,
quería dedicar hoy un post a las metodologías de análisis de riesgos;
personalmente he trabajado con algunas de ellas -con demasiadas- y, si
les digo la verdad, ninguna me convence realmente. Las hay sencillas,
las hay complejas (sí, estoy pensando en MAGERIT 
, las hay mejores y
las hay peores, pero en todas hay aspectos, bajo mi punto de vista,
manifiestamente mejorables. Para empezar, y aunque quizás sea lo menos
importante… ¿por qué no se ponen de acuerdo en la terminología? ¿Por
qué Mosler habla de “bienes” y MAGERIT de “activos”, por poner un
ejemplo? ¿Por qué a lo que en unas metodologías se le llama “amenazas”
en otras se le llama “riesgos”? Sinceramente, este es un tema
únicamente produce confusión… ¿tan difícil es ponernos de acuerdo?
Hablando ya de cosas más serias, una cosa que me toca las narices es
que en ninguna metodología (ni fuera de las mismas) me he encontrado un
catálogo de amenazas decente. A día de hoy, que a todos se nos llena la
boca hablando de seguridad integral, holística, global o como le
queramos llamar, aún no he visto un catálogo de amenazas integral de
verdad, que cubra todos los posibles problemas de una organización, sin
focalizarse en aspectos físicos o lógicos en exclusiva… Creo que hasta
que esto no exista, mal vamos a la hora de analizar riesgos desde el
punto de vista de la protección del negocio: únicamente haremos
análisis parciales, y deberemos realizar tres o cuatro visiones
diferentes para hacernos una idea del mapa de riesgos de nuestra
organización… Ojo, sé que es fácil criticar sin aportar alternativas y
que cerrar un catálogo de este tipo es complejo, pero algún día habrá
que hacerlo, ¿no? (yo estoy intentándolo, cuando consiga algo decente
lo colgaré aquí… o no .
Tampoco estoy muy de acuerdo con las medidas del impacto (o como le
quieran llamar) que todas las metodologías incorporan; ¿por qué el
método cuantitativo mixto, por poner un ejemplo, determina que algo es
un desastre si nos causa un daño entre 150.000 y 1.500.000 euros,
mientras que las consecuencias valoradas entre 75.000 y 150.000 euros
son simplemente “muy serias”? Conozco más de una y de dos empresas para
las que un daño de 149.999 euros significaría ya no un desastre, sino
una catástrofe. ¿Quién es el señor cuantitativo mixto para decidir qué
es para mí un impacto alto, muy alto o un épsilon alto? Bajo mi punto
de vista, sería mucho más coherente ponderar estos valores en función
del tipo de organización sobre la que se esté realizando el análisis, y
no hablar -y calcular- en términos absolutos que, a la hora de la
verdad, no representan más que una tabulación estándar del impacto: lo
que para Telefónica puede ser una multita insignificante por
incumplimiento de la LOPD, a cualquier autónomo le arruinaría la vida.
Los niveles de probabilidad, impacto o riesgo también son un tema
discutible de las metodologías de análisis; ahora parece que lo más
habitual es ubicar tres niveles (alto, medio y bajo, o 1, 2 y 3, por
decir algo) frente a las metodologías que usan cinco. Este tema es muy
discutible (¿cuál es la diferencia entre “alto” y “muy alto”?), pero
cuando se trata de establecer una cuantificación, siempre he preferido
-y esto es opinión personal, por supuesto- utilizar una escala con un
número par de estados, para así evitar la tentación de “tirar” todo al
punto medio. En cualquier caso, como siempre: ¿por qué no todos
hablamos el mismo idioma? Ya sé que cada metodología es de su padre y
de su madre, pero si los niveles son siempre iguales, podremos
reaprovechar más el trabajo, y no empezar casi de cero si tenemos que
cambiar de metodología.
Finalmente, las metodologías que tratan de cuantificar hasta el más
mínimo detalle no son, para mí, muy acertadas -en especial cuando
hablamos de protección de bienes intangibles-. Un análisis
cuantitativo, donde se valore hasta el céntimo cada activo, cada décima
de probabilidad, y cada euro de impacto, constituye un modelo
matemático muy útil para explicar en la universidad, pero muy poco
aplicable en el mundo real. ¿Qué impacto (en euros) tiene para una
organización no tener la web levantada durante dos días? Probablemente,
sabremos decir si es alto o muy alto, pero al que me diga que tiene un
impacto de X euros (siendo X algo coherente), le invito a una cerveza Si nos tenemos que inventar -parcialmente- los datos de entrada,
cualquier fórmula de cálculo del riesgo quedará muy bien en un
Powerpoint, pero tendrá tanta validez como un billete de tres euros.
En resumen, ¿por qué no acordamos una metodología de análisis de
riesgos global, que contemple todos los riesgos del negocio -y por
tanto que nos sirva más eficaz y eficientemente para protegerlo- y que
usemos todos de una forma más o menos igual? ¿Por qué no la
flexibilizamos para hacerla operativa en cualquier tipo de organización
-como a priori son las normas ISO-? Y si además la hiciéramos sencilla,
ya sería la leche.
Autor: Antonio Villalón
Fuente: Security Art Work
View post:
GOTO III: Análisis de riesgos |