Llegamos a ustedes gracias a:



Reportajes y análisis

Siete errores comunes en la gestión de riesgos

Métodos estadísticos defectuosos y otros errores comunes que pueden hacer tropezar su programa

[15/10/2012] Los ejecutivos saben que se enfrentan a riesgos, pero a menudo no saben qué riesgos son reales, o lo que significa esa exposición para su negocio.
El objetivo de la gestión de riesgos de seguridad es eliminar las conjeturas, y ayudar a que la empresa tome decisiones más inteligentes.
Como dice Jay Jacobs, vicepresidente de Society of Information Risk Analysts (SIRA): "La gestión de riesgos de seguridad es simplemente un sistema de soporte de decisiones para el negocio. Debería existir para informar las decisiones de la empresa".
Por desgracia, muchos expertos creen que la mayoría de las empresas todavía no están en ese nivel; y que sus esfuerzos, aunque bien intencionados, no están a la altura e incluso pueden incorporar malos hábitos que pueden aumentar el riesgo de una organización.
Jeff Lowder, presidente de SIRA, señala: "Hay una percepción errónea de que la experiencia en materia de seguridad es igual a experiencia en la gestión de riesgos. De hecho, vemos muchos expertos en seguridad que también afirman ser expertos en gestión de riesgos. Pero a menudo no lo es. Se trata de dos disciplinas separadas e, idealmente, alguien puede aprender acerca de ambas si está realizando la gestión de riesgos de seguridad".
Para obtener una mejor comprensión de en dónde se equivocan muchas empresas, CSO le preguntó a un puñado de expertos sobre los errores que comúnmente ven en las empresas cuando se trata de la gestión de riesgos de seguridad. "En muchas organizaciones, sobre la base de lo que hemos visto, podría ser mejor si la organización eligiera tomar decisiones basadas en tirar una moneda, en vez de sus marcos internos de riesgos de seguridad. Por lo menos, cuando se lanza una moneda, tiene 50% de posibilidades de hacerlo bien", indica Jacobs.
Estos son los errores y conceptos erróneos más comunes en los bien intencionados esfuerzos de la gestión de riesgos:
1. Empezar desde cero
Muchos profesionales de seguridad intentarán volver a inventar la disciplina de la gestión de riesgos de seguridad.
Afortunadamente, existen métodos bien establecidos para las tareas de análisis de riesgo, tales como la forma de solicitar un dictamen pericial y la forma de representar la incertidumbre en los modelos de riesgos. Sin embargo, como explican Jacobs y Lowder, la mayoría de las personas no se preocupan de investigar acerca de cómo hacer esto correctamente; y terminan volviendo a crear no solo los mismos modelos, sino también las mismas deficiencias que se ven en los enfoques básicos.
"El modelo más destacado es escoger algunos factores de riesgo que parezcan importantes, asignar un puntaje ordinal; a continuación, realizar operaciones aritméticas básicas o colocarlos en una matriz que haya demostrado una producción deficiente", señala Jacobs. Lo único que redime a las organizaciones que dependen de estos marcos de cosecha propia es que los fabricantes experimentados que toman las decisiones, a menudo desconfían de los resultados que producen estos enfoques básicos, añade Jacobs.
2. Replicar el departamento de auditoría
Una de las formas en que los programas de gestión de riesgos de seguridad fracasan, señala Alex Hutton, director de operaciones de riesgo en una gran empresa de servicios financieros y miembro de la facultad en IANS, es cuando copian las funciones del departamento de auditoría.
"Si bien existen similitudes entre los dos, los papeles son muy diferentes", añade Hutton. El equipo de auditoría debe preocuparse por si las deficiencias pueden deberse a fallas en los controles de seguridad, mientras que la gestión de riesgos debería estar preocupada por la frecuencia y el impacto potencial de los riesgos de TI. Y si el papel de la auditoría es ayudar a que la empresa comprenda cómo poner en práctica los controles, el papel de la gestión del riesgo es determinar cómo sacar el máximo provecho de las inversiones en los controles de seguridad y en los procesos relacionados.
"La mayoría de las organizaciones cuyos programas de gestión de riesgo fracasan, es porque terminan haciendo cumplir la política en lugar de consultarle a la organización sobre qué controles tienen sentido y cuáles no", señala Hutton.
"La auditoría no tiene por qué ocuparse de la amenaza y no necesariamente se preocupa por informar de un panorama global del riesgo, basada en la perspectiva de las amenazas, los activos, los controles y el impacto", indica Hutton. "De eso se encarga la gestión de riesgos de seguridad".
3. Confundir precisión con exactitud
Muchos profesionales de seguridad de TI se sienten incómodos con reducir los riesgos y vulnerabilidades de seguridad a números simples.
"Va a escuchar a la gente decir que no hay tablas actuariales pertinentes, o que no hay suficientes datos sobre los eventos para crear un número que proporcione valor", señala Lowder. "Han confundido la posibilidad de dar una estimación numérica precisa, frente a la posibilidad de dar un rango numérico de alta precisión".
"Los números solo tienen que ser tan precisos como sea necesario para tomar una decisión", agrega Lowder. "Se puede crear un argumento sólido cuando muestran que la probabilidad de que algo ocurra está de entre el 60 y el 90%", añade.
4. Un énfasis excesivo en el registro de riesgos
Hutton añade que muchas organizaciones, al evaluar los riesgos que enfrentan, se centran demasiado en la lista y la clasificación de todas las cosas que podrían salir mal, lo cual se llama un registro de riesgos.
"El problema con la creación de un registro de riesgos es que la gente no sabe muy bien cuándo parar. Ellos siguen acumulando los riesgos, incluso los más oscuros, desde los atacantes cibernéticos con toda motivación concebible a la posibilidad de que el motor de un avión caiga por el techo del centro de datos", señala.
"Los riesgos muy esotéricos son cosas que están en los registros de riesgo. Pero a menudo son eventos muy poco probables que podrían costar cantidades exorbitantes de dinero para ser mitigados", agrega. Hutton le aconseja a las organizaciones que creen un registro de exposición, el cual probablemente refleje mejor los riesgos del mundo real, y ayuda a que las organizaciones mitiguen primero los riesgos y amenazas más probables.
5. El uso de conceptos de riesgo no definidos
Una de las formas más comunes en que los profesionales clasifican las amenazas y vulnerabilidades es una escala simple -baja, media o alta. Desafortunadamente, eso puede traer problemas.
Después de todo, ¿qué significa baja, media y alta? "Ellos realmente son cuantitativos, sin parecer ser cuantitativos", señala Lowder.
"Cuando se le pide a la gente que defina alta, media y baja, aplicada a la probabilidad o la frecuencia de los acontecimientos, nadie parece ser capaz de ponerse de acuerdo sobre qué significan realmente estos términos. El resultado es que se tiene esta ilusión de comunicación. Eso es más peligroso que tratar de añadir un poco de precisión a un argumento", añade Lowder.
Por ejemplo, cuando se dijo que la probabilidad de un evento era baja, algunos ejecutivos creían que significa que hay una probabilidad del 10% de que ocurra, mientras que otros piensan que es un 33%. "Usted no desea utilizar números por el bien de los números, pero siempre que sea posible, querrá definir numéricamente las cosas para que sepa que las está comunicando con claridad", indica Lowder.
6. No tener un programa de inteligencia de riesgos
"Este es un error grande", señala Hutton. "Si los riesgos de seguridad pueden dividirse en cuatro grupos de información -amenazas, controles, activos e impacto- entonces cualquier cambio a cualquiera de esas condiciones tendría un impacto en la posición de riesgo de una organización", añade. Lamentablemente, las actuales normas de gestión de riesgos se toman muy poco tiempo en describir cómo poner en marcha un programa de inteligencia de riesgo o la importancia de esa función. Tampoco explican qué hace que una fuente de inteligencia sea válida, o cómo hacer frente a la nueva información que cambia la postura de riesgo en la organización.
La implementación de una función de inteligencia es más sencilla de lo que las empresas piensan, señala Hutton. Solo tienen que supervisar los cambios que podrían afectar su riesgo.
"Por ejemplo, es posible que desee monitorear la organización en busca de cambios, digamos, si los expertos de la detección/prevención de intrusos dejan la empresa y no hay nadie para llenar el vacío del conocimiento. Eso aumentaría el riesgo, al igual que lo haría el descubrimiento de nuevos programas maliciosos OSX, si se trata de una organización que tiene una población decente de los sistemas que ejecutan ese sistema operativo", agrega Hutton. Y si no está buscando este tipo de cambios, no está manejando el riesgo adecuadamente, según muchos expertos.
7. Multiplicar los ordinales
"Este es un error fundamental a evitar", señala Lowder. Por ejemplo, imagine una regata en la que el barco A llega primero, el B en segundo y el C en tercero. Con solo esta información, es imposible calcular el tiempo promedio para los tres barcos para terminar la carrera: todo lo que sabemos es que el barco A fue más rápido que los barcos B y C. "Ahora puede ver el defecto fatal en la multiplicación de los valores ordinales, o en tratar de calcular la media de un conjunto de valores ordinales en una escala ordinal, como primero, segundo, tercero, o alto, medio, bajo", señala Lowder.
Las escalas ordinales simplemente definen el rango u orden de los valores, no dicen nada acerca de las cantidades representadas por dichos valores. "Esta es la razón por la que la media de un conjunto de valores ordinales no está definida. Por la misma razón, no tiene sentido calcular la media de los factores del manejo de riesgos definidos como alto, medio y bajo", agrega Lowder.
La gestión de riesgos es difícil, pero hacerlo mal puede ser peor que no hacer nada en absoluto. "Se tomarán decisiones sobre los insumos, malos procesos y malos cálculos. Esa es la fórmula que una mala situación empeore", finaliza Jacobs.
George V. Hulme, CSO (EE.UU.)