Algunas Reflexiones sobre Conceptos Básicos

(algunas de estas ideas fueron presentadas en las Jornadas Técnicas 2013 del Capítulo de Madrid de ISACA, como se describe aquí

Objetivos

  • Revisar los desafíos existentes, analizando las diversas alternativas
  • Concretar los conceptos empleados
  • Cual es el propósito de gestionar el riesgo
  • Utilidad real de la gestión del riesgo

Presentación

No hay un acuerdo generalizado sobre la definición de riesgo y la terminología aneja, en parte debido a ausencia de acuerdo sobre el propio concepto básico; lo mismo puede decirse de la metodología empleada y n-mil métodos para su gestión existentes.

Sorprendentemente, luego todos cerramos los ojos, hacemos de tripas corazón y tiramos para adelante. Concepto y definiciones no parecen influenciar en el desarrollo posterior … sin embargo si lo hacen …

El debate no es ni mucho menos nuevo, pero, con la multitud de fiascos recientes, parece arreciar de nuevo (ver por ejemplo,
esta comunicación sobre si es arte, ciencia o filosofía o esta presentación de Mortman y Hutton.

Y no hay más que repasar la visión del profesor Hatamura, Presidente de la extinta comisión de investigación del suceso de Fukushima. En su presentación en la Fundación Ramón Areces -sorpresa, en Fukushima no había plan de emergencias- incidió sobre temas muy conocidos … "lo que puede suceder, sucede, pero lo que se supone que no puede ocurrir, o incluso aquello que está más allá de nuestra imaginación, también ocurre”. Vaya, otra variante del optimista Murphy.

Proceso de Gestión de Riesgo

Los marcos, estándares y la profesión en general emplean de forma "entreverada" los términos análisis de riesgo, gestión de riesgo, tratamiento del riesgo … ISO 27000 (Panorámica y Vocabulario) es muy clara; tanto la versión de 2009 (ISO la facilita gratuitamente) basada en la Guía 73 de 2002, como en la versión de 2012 (también ISO la facilita gratuitamente) basada en la Guía 73 de 2009, indican:

  • gestión de riesgo = proceso completo = apreciación1 + tratamiento + comunicación + …
  • apreciación = análisis2 + evaluación3

Concepto de Riesgo

Hay tantas definiciones de riesgo como páginas sobre la materia indexa un buscador4… Las principales variantes incorporan los siguientes aspectos:

  • Incertidumbre
  • Evento
  • Posibilidad
  • Consecuencia negativa
  • Consecuencias (negativas y positivas)
  • Desviación sobre objetivos
  • Desviación sobre estimaciones

Y muchas veces en pleno mecasmo metonímico se confunden con el concepto de riesgo, por un extremo, los agentes dañinos, y por el otro la medida del mismo, el nivel, la exposición al riesgo.

Antes de analizar los diversos aspectos, compilaré algunas de las definciones de riesgo:

COSO (el marco integrado) identifica riesgos con posibilidades: riesgo es la posiblidad de que un evento ocurra y que afecte adversamente la consecución de objetivos.

Diversos organismos australianos van por el mismo camino: riesgo es la posibilidad de que suceda un evento que podría causar cambios que provocaran que haya divergencia respecto a los beneficios y costes proyectados.

El ICS de la UE (de 2006, que se basa en COSO) identifica riesgo con eventos: riesgo es un evento que puede dar lugar a un resultado no deseable o negativo.

OGC/ITIL (Sección 1.2, Gestión de Riesgo -con "Crown copyright") define riesgo como "un evento incierto, o conjunto ellos, que, en caso de ocurrir, tendrái un efecto sobre la consecución de objetivos. Consiste en la combinación de una probabilidad de una amenaza percibida o ocurrencia de oportunidad y la magnitud de su impactos sobre los objetivos".

El estándar ISO 31000 y la Guía 73 de 2009 definen riesgo como "the effect of uncertainty on objectives", y que yo creo que debe traducirse como "el efecto en los resultados de la incertidumbre" (y no como el efecto que causa la incertidumbre de los resultados …; o sea, camas de madera para niños y no camas para niños de madera …). Irónicamente, tras dicha definición incluye una nota que dice TBD, y la definición no impacta más sobre el contenido del estándar.

Dicha definición se traslada a la ISO 27000 de 2013, referenciando a la Guía 73 de 2009: "risk = effect of uncertainty on objectives".

No tengo acceso a la versión de 2002 de la Guía 73, pero la ISO 27000 de 2009, indica, referenciándola, que "2.34 risk = combination of the probability of an event (2.15) and its consequence".

Incertidumbre

Todas las visiones que conozco coinciden en que si no hay incertidumbre, no hay riesgo. Pero no todas ellas igualan el riesgo a la incertidumbre … Frank Knight, ya en su libro de 1921, formalizó su distinción entre incertidumbre y riesgo. Según Knight, solamente se puede hablar de riesgo cuando, sin saber cual será el resultado, conocemos las alternativas y las probabilidades asociadas, mientras que se debe hablar de incertidumbre si no conocemos ni alternativas ni probabilidades. Muchos igualan desconocido a incertidumbre knightsiana.

Para Knight, jugar a los dados se puede estudiar como riesgo. El si la compañía XYZ cotizada en bolsa quebrará antes de 50 años, no, es pura incertidumbre.

ISO 31000 identifica riesgo con el efecto de la incertidumbre … que no debe emplearse en sentido knightsiano.

Por otra parte, ¿qué efecto puede causar la incertidumbre?

Supongamos un ejemplo; Tengamos un valle de inclinadas laderas rodeado de grandes mantos de nieve inestable (la amenaza). Existe un potencial evento (desprendimiento) que genera una situación indeseada, y decimos que hay riesgo de avalancha para los esquiadores (la posibilidad de que se produzca el desprendimiento, con, por ejemplo, daños una persona -sea nuestro activo- esquiando por el valle; los objetivos de los esquiadores son mantener intacta su vida y disfrutar de una jornada de esquí -tal vez ese es el beneficio de arriesgarse …).

Avancemos en las dificultades. Conforme a Knight, ¿podemos hablar de riesgo? Estrictamente no; conocemos que es posible que haya una avalancha; incluso disponer de una tabla de frecuencias de avalanchas de los últimos 100 años, y de una tabla de decesos de avalanchas de los mismos años, clasificadas día a día y por coordenadas en el valle. ¿podremos estimar que nivel de riesgo hay mañana de avalancha? ¿y de que dicha avalancha de lugar a un daño a un esquiador? ¿podemos extrapolar el pasado al futuro?

Sobre esa base, es posible analizar el riesgo, pero no es apreciarlo. O sea, somos capaces de identificar tripletes amenaza-vulnerabilidad-activo, pero no podemos valorarlas.

A SER COMPLETADO

**Evento y Posibilidad **

  • Posibilidad
  • Consecuencia negativa
  • Consecuencias (negativas y positivas)
  • Desviación sobre objetivos
  • Desviación sobre estimaciones

[[footnoteblock title = "Notas"]]

Las dificultades de la predicción y de la inducción

Sobre los límites de la inducción

Si antaño se identificaba inducción a concluir verdades generales a partir de datos particulares, modernamente se considera más bien como "el estudio de las pruebas que permiten medir la probabilidad de los argumentos", dicho de otra forma, ya que en el razonamiento inductivo no exite acuerdo sobre cuando considerar un argumento como válido, se inducen los resultados con un cierto nivel de verosimilitud (grado de probabilidad de que una conclusión sea verdadera cuando sus premisas son verdaderas). Por tanto, de observar que un evento se produce muchas veces podemos concluir que es probable e incluso de esperar que la siguiente vez vuelva a pasar. Por ejemplo, tras ver muchos amaneceres tras las noches, concluiremos que tras las noches amanece (con casi seguridad). Para mayor detalle, bien la wikipedia bien algo de lógica y filosofía. Todo ello sin dejar de contemplar los contraejemplos:

Alternativas

El "Internet Security Forum" dispone de diversos marcos y herramientas. Una de sus propuestas es, en términos generales, centrarse en protegernos de las amenazas (sin focalizarnos en cuantificar probabilidades) que ISF, a través de algo equivalente a un método Delphi, ha compilado. Muy interesante la presentación de Threat Horizont 2015.

El Centro de Investigación para la Gestion Tecnológica del Riesgo (CIGTR) aquí su blog y aquí su g+, o sea, el impulso de Santiago Moral, propugna modelos alternativos. Del método Casandra ya sabemos desde hace unos años, se puede ver una presentación aquí. Tambien aporta el modelo de gestión de riesgo basado en teoría de juegos. Pero no queda ahí, impresionante el démarrage de su SEGURIDAD ESTADÍSTICA (fantásticas, pero eso sí, son dos horitas de video).


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 19 Nov 2013 16:41


Mis actividades y novedades: visita mi blog

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License