El Análisis de Riesgos es ¿dinámico o estático?
Antes del verano, participé de un debate muy interesante con algunos compañeros sobre la naturaleza del Análisis de Riesgos. Básicamente, de lo que estuvimos hablando fue de si el análisis de riesgos era algo estático o dinámico.
Todo ello, porque un cliente estaba interesado en la forma en la que funciona UMSS (ya sabéis, Unified Management Security System, nuestra plataforma de gestión integral de seguridad). El debate surgió porque la filosofía del análisis de riesgos en UMSS es estática y eso parecía que no servía para realizar una adecuada gestión de la seguridad. Y como estuvimos bastante tiempo con ese debate, pensé que era bueno compartirlo con todos nuestros lectores y ver que opinaban ellos (vosotros).
Así que voy a tratar de explicar los argumentos a favor de este planteamiento estático del análisis de riesgos y voy a tratar de hacerlo con un símil de gestión empresarial: El concepto que vamos a utilizar para el análisis sería el equivalente a un presupuesto. Sería como la previsión comercial que hacemos a principio de año:
Y al igual que en el caso de las previsiones de ventas, lo que es más importante y a lo que ne se presta suficiente atención es al seguimiento de las desviaciones respecto a las estimaciones iniciales. Por tanto, aunque el análisis de riesgos es algo estático no lo es así la gestión de riesgos que, evidentemente, es una actividad continua.
Evidentemente, esto no sifgnifica tampoco que no se considere el riesgo salvo de manera discrecional, en absoluto. De hecho, cada vez que se produce cualquier tipo de incidentes que hay que gestionar, el primer factor que se ha de considerar es su impacto en la actividad de la organización; es decir, UMSS prioriza las incidencias en función del nivel de riesgo. Pero respecto al análisis de riesgos, lo que hacemos es una estimación inicial y, a posteriori, comprobar cuánto hemos fallado / acertado en esa estimación.
Aunque pudiera parecer algo diferente, en realidad no es así, si estáis familiarizados con el Nuevo Acuerdo de Capital de Basilea, es el mismo modelo que se utiliza para la gestión del riesgo operativo; con la diferencia de que los bancos centrales serán (están siendo) muy rigurosos a la hora de validar cómo se han realizado esas estimaciones (qué modelos estadísticos de predicción se han utilizado y qué datos se han utilizado para realizar los cálculos; puesto que de estos factores depende la bondad de la estimación).
Lo ideal sería que llegara un momento en que no hubiera estimaciones, sino cálculos deterministas que eliminaran la subjetividad del análisis (con los márgenes de error que corresponda según el modelo utilizado). Pero eso es ya otra historia... y este post se ha alargado demasiado.
Antonio Ramos
Director de Unified Management Security Services
Fuente: http://blog.s21sec.com/2008/08/el-anlisis-de-riesgos-es-dinmico-o.html
Todo ello, porque un cliente estaba interesado en la forma en la que funciona UMSS (ya sabéis, Unified Management Security System, nuestra plataforma de gestión integral de seguridad). El debate surgió porque la filosofía del análisis de riesgos en UMSS es estática y eso parecía que no servía para realizar una adecuada gestión de la seguridad. Y como estuvimos bastante tiempo con ese debate, pensé que era bueno compartirlo con todos nuestros lectores y ver que opinaban ellos (vosotros).
Así que voy a tratar de explicar los argumentos a favor de este planteamiento estático del análisis de riesgos y voy a tratar de hacerlo con un símil de gestión empresarial: El concepto que vamos a utilizar para el análisis sería el equivalente a un presupuesto. Sería como la previsión comercial que hacemos a principio de año:
- Tenemos unos clientes a los que podríamos realizar ventas (serían nuestros activos).
- Tenemos productos y servicios que podríamos venderles (que equivaldrían al concepto de amenaza - curioso, verdad).
- Evidentemente, existen condiciones en esos clientes que los hacen susceptibles de necesitar los productos y servicios (esa es su "vulnerabilidad").
- Y finalmente, tendríamos una probabilidad estimada de que se produjera la venta de un determinado producto / servicio por un determinado importe (conceptos equivalentes a probabilidad de ocurrencia de la amenaza e impacto).
Y al igual que en el caso de las previsiones de ventas, lo que es más importante y a lo que ne se presta suficiente atención es al seguimiento de las desviaciones respecto a las estimaciones iniciales. Por tanto, aunque el análisis de riesgos es algo estático no lo es así la gestión de riesgos que, evidentemente, es una actividad continua.
Evidentemente, esto no sifgnifica tampoco que no se considere el riesgo salvo de manera discrecional, en absoluto. De hecho, cada vez que se produce cualquier tipo de incidentes que hay que gestionar, el primer factor que se ha de considerar es su impacto en la actividad de la organización; es decir, UMSS prioriza las incidencias en función del nivel de riesgo. Pero respecto al análisis de riesgos, lo que hacemos es una estimación inicial y, a posteriori, comprobar cuánto hemos fallado / acertado en esa estimación.
Aunque pudiera parecer algo diferente, en realidad no es así, si estáis familiarizados con el Nuevo Acuerdo de Capital de Basilea, es el mismo modelo que se utiliza para la gestión del riesgo operativo; con la diferencia de que los bancos centrales serán (están siendo) muy rigurosos a la hora de validar cómo se han realizado esas estimaciones (qué modelos estadísticos de predicción se han utilizado y qué datos se han utilizado para realizar los cálculos; puesto que de estos factores depende la bondad de la estimación).
Lo ideal sería que llegara un momento en que no hubiera estimaciones, sino cálculos deterministas que eliminaran la subjetividad del análisis (con los márgenes de error que corresponda según el modelo utilizado). Pero eso es ya otra historia... y este post se ha alargado demasiado.
Antonio Ramos
Director de Unified Management Security Services
Fuente: http://blog.s21sec.com/2008/08/el-anlisis-de-riesgos-es-dinmico-o.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!