Riesgos o no riesgos. El dilema de OSSTMM v.3

Hace algunos meses Pete Herzog, creador del estándar OSSTMM, sorprendió afirmando que la nueva versión del estándar no incluirá más un proceso de análisis de riesgos (Ending the Security Business of Guessing).

La visión de Pete tiene sentido en cuanto a que los análisis de riesgos actuales no sirven de mucho, pero en lo personal creo que su enfoque de solución es incorrecto. A diferencia de Pete, Bruce Schneier (Does Risk Management Make Sense?) y otros creemos firmemente en que la seguridad se debe implementar a través de una gestión de riesgos adecuada, mientras reconocemos como Pete y otros que la manera en que solemos analizar riesgos hoy en día es inefectiva.

Pete propone nuevas métricas en OSSTMM v3 para medir afectaciones (que en el fondo siguen siendo un tipo particular de riesgos): un modelo de evaluación de confianza.

Si bien es interesante y tiene sus méritos, creo que padece del mismo mal que trata de atacar: pretender analizar un entorno altamente complejo que está lejos de la entidad a la que le interesan los resultados para tomar decisiones, y donde la cantidad de variables provoca que uno se pierda en el detalle. Lo mismo pasa con el típico análisis de riesgo táctico que, citando a Pete (ver primer enlace), define su objetivo como un proceso para "determinar vulnerabilidades, activos y amenazas". Éstos no son los tipos de riesgos que un ejecutivo busca mitigar; mas bien suena a riesgos con los que el personal técnico suele lidiar.

 

Contenido completo en Candado Digital