16 jun. 2013

Análisis de riesgos orientado a procesos

 Publicado hace por

http://candadodigital.blogspot.com/2008/09/anlisis-de-riesgos-orientado-procesos.html 

Todos los involucrados en seguridad nos topamos con algún tipo de análisis de riesgos tarde o temprano, y a pesar de que hay muchas metodologías disponibles sigue siendo una de las tareas más difíciles de realizar.

La
principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos y producir resultados razonablemente precisos, que puedan ser utilizados por el negocio para la toma de decisiones.

Tipos de análisis
Tradicionalmente se habla de 2 tipos de análisis de riesgos: cuantitativos y cualitativos. En un principio las metodologías que surgieron trataron de ser cuantitativas (es decir, calificaban el impacto de los riesgos con un número, típicamente dinero). Sin embargo, pronto las empresas y los profesionales de seguridad se dieron cuenta que no todo es cuantificable y la asignación de valores era asignada en muchos casos de forma totalmente arbitraria.

Surge entonces el análisis cualitativo, que básicamente califica dentro de una escala el riesgo (ej. alto, medio, bajo). Este enfoque acepta la naturaleza subjetiva de algunas amenazas y logra establecer prioridades con base en la opinión de un especialista y la aplicación de algunos criterios generales. Sin embargo, el problema de la falta de información de costo/beneficio en inversiones de seguridad para la toma de decisiones aún persiste; una calificación cualitativa no es suficiente en estos casos. ¿Cuánto es aceptable invertir para mitigar un riesgo medio o uno alto? ¿Todos los riesgos calificados de la misma manera cuestan lo mismo a la empresa?

Por esta razón existe en la actualidad una tendencia en buscar algún tipo de análisis de riesgos que cuantitativo que de alguna manera cubra estas necesidades. Para lograr este objetivo podemos aprovechar un recurso que hoy en día es más fácil de obtener: la información histórica de eventos en el negocio y/o el aprendizaje que ha resultado de dichos eventos.

Historia del análisis cuantitativo (v.1.0)
Lo que aplican las empresas actualmente es lo que ha quedado documentado en libros y mejores prácticas de seguridad, pero con mayor información de apoyo. Pero, ¿es realmente esto suficiente o debemos de cambiar la manera en como "calculamos" el resultado para tener un análisis de riesgos efectivo?

Antes de contestar esta pregunta empecemos por las definiciones. ¿Qué es el riesgo? Es el potencial de daños o pérdidas que puede sufrir una empresa (que se suele expresar en dinero). Para estimar el riesgo hay diversos factores que también se suelen considerar, como son:
  • Amenaza, que se suele definir como un evento en particular que puede tener un efecto adverso en un activo.
  • Factor de Exposición (comúnmente mencionado en inglés como EF o Exposure Factor), que suele definir como el porcentaje estimado de pérdida del activo o recurso para una amenaza en particular.
  • La probabilidad de ocurrencia (ARO, o Annualized Rate of Occurrence en inglés), que se suele expresar en algunas fórmulas como el número de veces al año que se espera que se materialice un incidente.
  • La expectativa ($) de pérdida (SLE - Single Loss Expectancy; ALE - Annualized Loss Expectancy), que se suele calcular de manera individual para cada evento como el costo del activo por el valor de exposición (SLE=Valor del Activo * EF) y después se estiman las pérdidas en el año (ALE=SLE * ARO).
Calcular esto (incluso en empresas pequeñas con procesos simples) es una pesadilla, veamos qué tendría que hacer alguien para generar un reporte con el resultado:
  1. Identificar todos y cada uno de los activos relevantes
  2. Identificar todas y cada una de las amenazas para cada activo (o al menos las más representativas) y estimar el factor de exposición del activo en cada caso
  3. Identificar las probabilidades de materialización para cada una de las amenazas de cada activo
  4. Calcular y sumar todas todas las expectativas de pérdida para cada combinación de activos y amenazas identificadas; obtener el riesgo a partir de esta suma.
Y ahí le paramos, porque todavía podemos hacerlo más complejo incluyendo lestimaciones de la eficacia de controles. El punto aquí es sólo mostrar lo complejo e inviable que resulta este modelo de cálculo tradicional del Riesgo, que podríamos expresar con algo como R = suma(ALE de cada evento).

Realizar un análisis de riesgos cuantitativo con este esquema tradicional podría llevar años en una empresa multinacional, pero eso no es nada comparado con tener que explicarle a la alta dirección el resultado del reporte. Noten también que no hay una forma práctica de darle alguna prioridad a los diferentes tipos de expectativas de pérdida como en un análisis cualitativo.

Además, les garantizo que si 10 personas seguimos este modelo todas vamos a llegar a resultados diferentes, por lo siguiente:
  • Es muy difícil si no es que imposible enumerar todas las posibles amenazas que existen; lo mismo para los activos o recursos.
  • Tenemos más información histórica sobre amenazas pero no para todas (además, hay amenazas que se comportan de diferente manera dependiendo de la situación de la empresa, por ejemplo, no es lo mismo la amenaza de terrorismo para un organización gubernamental que para una florería).
  • No hay una manera consistente de estimar el factor de exposición, ¿Qué porcentaje se perdería de un edificio en un terremoto por ejemplo? Esto provoca que muchos tiendan a estimar con el peor escenario, generando cifras estratosféricas que pronostican el apocalipsis de la empresa a menos que se invierta en seguridad una gran cantidad de dinero.
No me mal interpreten, el enfoque tradicional de análisis de riesgo cuantitativo sigue siendo útil para algunas áreas como seguridad ambiental y salud; hay muchas estadísticas sobre fenómenos naturales como terremotos e inundaciones, así como de incidentes provocados por el ser humano como los incendios, a partir de la geografía y materiales usados en la empresa. Lo que no comparto es la idea de querer aplicar esta herramienta para analizar todos los tipos de eventos de seguridad.

Aún así, algunas organizaciones trataron de generar guías y categorizar algunas variables para simplificar este enfoque tradicional de análisis cuantitativo (ver por ejemplo: este documento del SANS y este otro del NIST). Así que tenemos que cambiar la manera de estimar el riesgo o simplemente entraremos en un ciclo alternando entre enfoques de análisis cuantitativo y cualitativo por los siguientes años.

El regreso del análisis cuantitativo orientado a procesos (v2.0)
Hay que tomar en cuenta las ventajas que dieron los enfoques cualitativos pero también tenemos que considerar que hay cosas que se deben cuantificar para dar mejor información a la toma de decisiones. Para esto no debemos olvidar aquellos objetivos que importan al negocio y las características del análisis cuantitativo tradicional que hacían difícil alcanzar dichos objetivos:
  • No es práctico tratar de enumerar todas las amenazas ni todos los activos (uno podía terminar tratando de armar matrices de varias decenas de activos y amenazas).
  • No es razonable considerar todas las amenazas posibles para todos los escenarios. ¿Se imaginan considerar una amenaza de bomba para un local que vende flores o un Tsunami en el desierto de Arizona? (algunas veces la relevancia o falta de la misma no es tan obvia como en estos ejemplos).
  • El valor de un activo para el negocio no necesariamente es igual al de su valor comercial, ni tampoco es necesariamente el mismo para todas las empresas. En otras palabras, no podemos usar siempre un dato generalizado de una tabla o el costo comercial de un activo.
  • Los activos no son lo único relevante, también están los procesos centrales del negocio (capacidad operativa), y las leyes (cumplimiento). Estos 2 últimos también pueden generar pérdidas al negocio sin necesidad de que un activo en particular se vea afectado.
  • Lo que al final espera el negocio es una medida del nivel de riesgo en términos de pérdida económica, para así poder tomar una decisión respecto a inversión en controles de seguridad.
  • El negocio quiere un proceso sencillo y claro, que le de la confianza suficiente de que el resultado refleja un nivel de riesgo real.
  • Es deseable tener separados los componentes del riesgo y contar con métricas que permitan compararlos. De esta manera que se pueden establecer prioridades. Comparar los diferentes SLE del enfoque tradicional no es claro: ¿Qué es más importante, un valor de activo alto con un factor de exposición bajo o un activo de bajo valor con un factor de exposición para un mismo SLE?
  • No es fácil estimar la expectativa de pérdida individual (SLE) para algunas combinaciones específicas de activos y amenazas.
  • En un enfoque tradicional, el SLE y el ALE tienden a sugerir controles que no necesariamente son los más adecuados. Ejemplo clásico: programas maliciosos en sistemas de información (impacto y frecuencia relativamente altos); el control obvio es antimalware. Para una empresa donde su activo más preciado es la información uno de los controles que debería ser obvio es un esquema de respaldo efectivo (otro podría ser la criptografía, para proteger la confidencialidad de dicha información). Esto es porque el activo más importante para el negocio es la información, no la infraestructura que soporta su almacenamiento, procesamiento y transmisión, como son las computadoras. Noten también que cuanto más cercano está el control al activo que protege, más efectivo es.
  • Siempre hay un cierto grado de subjetividad en la estimación. El problema es que con el enfoque tradicional la estimación se suele hacer con base en criterios que la gente de negocio no entiende. Es por esto que muchas veces obtenemos resultados que no corresponden con la realidad.
  • No todo se puede cuantificar. Este creo que ha sido el mayor error de las metodologías cuantitativas: el querer cuantificarlo todo. Hay que cuantificar sólo aquello que se pueda y haga sentido cuantificar. De lo contrario nos enfrentamos a situaciones irracionales como querer cuantificar la pérdida de la vida de una persona.
De lo anterior podemos concluir que el esquema tradicional no cumplía adecuadamente una tarea que es fundamental: involucrar al negocio en el análisis de riesgos para obtener información sobre lo que es más importante para su situación particular. De esta manera, en lugar de alucinarnos con cientos de combinaciones de amenazas y activos de algún checklist, podemos enfocarnos en aquello que es más importante para la empresa.


Criterios del análisis y evaluación del cumplimiento (paso 0)
Hay algo que debemos hacer antes de estimar el riesgo propio de la actividad de negocio: establecer claramente niveles de importancia del riesgo y revisar el cumplimiento normativo.

Los niveles de importancia forman la base para establecer prioridades más allá de un valor monetario desde el punto de vista del negocio; en mi opinión deben de colocarse en el siguiente orden:
  1. Cumplir con Principios universales (ej. proteger la vida del ser humano)
  2. Cumplir con la ley
  3. Cumplir con normas internas
  4. Proteger los procesos y activos más importantes del negocio
  5. Aplicar el sentido común
Noten que no asigné la prioridad más alta a los activos y procesos más importantes del negocio, y esto tiene una razón. Una empresa o negocio es un entidad que por sí sola no tiene capacidad de manifestar ni experimentar sentimientos propios del ser humano; mucho menos comportarse como sociedad. Como tal, es fácil que las organizaciones se pierdan en su afán de cumplir con su propósito principal para el cual fueron creadas (generación de riqueza en muchos casos), ignorando fines más importantes que están por encima de las ellas mismas (ej. generar un beneficio social).

Justo antes de los procesos y activos del negocio están también las normas internas, que deben ser una forma de autorregulación para salvaguardar los intereses de los dueños o accionistas del negocio y establecer las bases de la cultura organizacional (en la práctica no siempre es así; cuando los procesos y activos se vuelven más importantes que el cumplimiento de las propias normas internas las organizaciones suelen enfrentar problemas en su control interno e incluso crisis de identidad)

Sin afán de entrar en un debate filosófico, debemos estar conscientes de, que por su naturaleza, es común y normal que las organizaciones tiendan a minimizar riesgos que no les afectan a ellas directamente. Principios universales como los derechos humanos, así como leyes internacionales, nacionales y locales pretenden entre otras cosas asegurarse de que todo lo que está por encima de los intereses de las empresas no sea olvidado, y por eso es que debemos ponerlo como prioridad. Dos ejemplos pueden ayudar a ilustrar la importancia de los criterios que mencionamos:
  • Un control para apertura automática de puertas con cerraduras magnéticas para la salida del personal en caso de un siniestro.
  • Un control normativo que prohíbe la revisión indiscriminada de comunicaciones personales de empleados que se llevan a cabo por medios electrónicos.
Es posible que haya controles que puedan salvaguardar mejor los intereses del negocio mitigando otros riesgos que tengan mayor relevancia para el mismo. Sin embargo, en muchos países existen normas que obligan a las empresas a aplicar controles como los que se mencionan, para proteger la integridad física de sus empleados y de su privacidad (es decir, riesgos que afectan directamente a las personas).

Siendo que estos riesgos y los controles asociados no tienen el mismo peso desde el punto de vista del negocio, no es viable considerarlos dentro del análisis cuantitativo. Claro que podrían estimarse pérdidas potenciales para el negocio, como por ejemplo el impacto económico de una demanda por incumplimiento a regulaciones, pero el objetivo de dichas normas no es proteger a la empresa sino al empleado, y la afectación al negocio es sólo una consecuencia indirecta; ninguna multa va a poder reemplazar la pérdida de una vida humana por falta de cumplimiento en normas de protección para el personal, o un fraude por robo de identidad causado por filtraciones de información privada.

Para que una metodología de análisis de riesgos cuantitativa sea efectiva se debe de cuantificar sólo aquello que hace sentido cuantificar, y aquí es obvio que no es dentro del ámbito del negocio que se deben de ponderar los riesgos derivados del incumplimiento de estas regulaciones y principios, ya que éstos están por encima de la empresa misma. Por lo tanto, mi sugerencia es muy simple: no hay que cuantificar el incumplimiento normativo, simplemente debe ser una obligación y prioridad de la empresa cumplir con las leyes normas internas y principios universales antes que mitigar los riesgos inherentes al negocio.


Recolección de información relevante del negocio (paso 1)

A continuación debemos identificar los procesos centrales del negocio y los activos críticos relacionados con estos procesos. En el caso de los activos, podemos clasificarlos en 3 categorías:
  1. Todo aquello que es un insumo del proceso (entradas)
  2. Los productos del proceso (salidas)
  3. Todo aquello necesario para llevar a cabo el proceso en sí (infraestructura de soporte)
Algunos ejemplos de procesos con sus entradas, salidas e infraestructura de soporte son:
  • Pruebas de penetración perimetrales de redes de telecomunicación - Entradas: RFP/especificaciones, alcance, plan de trabajo. Infraestructura: herramientas de seguridad, equipo de cómputo, equipo de telecomunicaciones, Internet. Salidas: reporte de hallazgos (vulnerabilidades), evidencia de hallazgos, lista de recomendaciones.
  • Consignación de delincuentes ante un juez (ej. por parte de la policía) - Entradas: denuncia/testimonio, evidencia del ilícito. Infraestructura: equipamiento (uniforme, armas, patrullas, etc.), sistemas de información policial (revisión de antecedentes, boletinaje, delitos relacionados). Salidas: información sobre diligencias, evidencia, órdenes de aprehensión, sospechosos detenidos.
Para cada proceso central hay que generar una ficha con la información más importante. A continuación un ejemplo más completo de una tienda de música por Internet (que es el ejemplo que seguiremos en pasos siguientes):


Descripción del proceso:
  • Para el proceso de venta los clientes se registran en un portal de Internet, seleccionan las canciones que desean por el aplicativo e ingresa los datos de su tarjeta de crédito para pagar. El sistema valida las tarjetas y realiza el proceso de cargo con el emisor a través de Internet con depósito a la cuenta de la empresa. Si el cargo es exitoso, se autoriza la compra y se permite al usuario descargar su canción. Asimismo, cada compra exitosa se registra y se paga la licencia de venta correspondiente a la disquera, por medio de una transferencia electrónica. Al final del día se genera un reporte de ingresos.
  • Por comodidad el cliente puede crear una cuenta donde registra previamente su información personal y datos de tarjeta, lo que le permite al sistema darle recomendaciones de canciones acordes con sus gustos y pagar rápidamente. Para entrar a la cuenta se le pide al usuario un nombre y una contraseña que selecciona al crear la cuenta.
Entradas / insumos del proceso:
  • Canciones
  • Lista de precios
  • Lista de ofertas
  • Solicitudes de compra de clientes
  • Datos de instrumentos de pago (tarjeta de crédito)
  • Información de clientes
  • Información para transferencias a disqueras
  • Costo de licencias de venta por canción
  • Credenciales de entrada al sistema
Activos / Infraestructura del proceso:
  • infraestructura de telecomunicaciones (Internet)
  • Portal de ventas en línea (aplicativo)
  • Sistema de transferencia de dinero (aplicativo)
  • Sistema de recepción de pagos con tarjeta (aplicativo)
  • Equipo de cómputo para aplicativos
  • Información del proceso de ventas y de clientes (bases de datos)
Salidas / productos del proceso:
  • Ingresos por ventas
  • Reporte de ventas
  • Pagos a disqueras por licencias de canciones vendidas
  • Canciones compradas por clientes
  • Cuentas en el sistema de ventas

Clasificación del tipo de afectación (paso 2)

Recordemos que necesitamos un proceso sencillo que no involucre el estar deambulando por cientos de datos que posiblemente no sean del interés del negocio. En mi opinión es más fácil partir de lo general/estratégico e ir bajando hacia lo particular/técnico.Como debemos involucrar al negocio, necesitamos que sean los mandos medios y altos (quienes conocen mejor el negocio) se involucren y sean ellos quienes estimen las pérdidas potenciales; por lo tanto, debemos formular preguntas que nos ayuden a obtener esta información. Para cada proceso crítico de negocio, yo recomiendo preguntar lo siguiente:
  • Confidencialidad * - ¿Qué afectación sufriría el negocio si información sensible del proceso se filtra por un error o de manera intencional? (ej. qué pasa si dentro del proceso de ventas se llega a filtrar información personal de clientes).
  • Integridad - ¿Qué afectación sufriría el negocio si el proceso se realiza de forma incorrecta, sea por un error o por un cambio intencional? (ej. qué pasa si hay un error en la forma en que se lleva a cabo la venta del producto).
  • Disponibilidad - ¿Qué afectación sufriría el negocio si el proceso se detiene por un error o por una acción deliberada? (ej. qué pasa si fallan los medios por los cuales se lleva a cabo el proceso de venta del producto).
  • Autenticidad - ¿Qué afectación sufriría el negocio si en el proceso interviene alguien que no está autorizado para hacerlo? (ej. qué pasa si alguien no autorizado modifica precios de productos, o si la información de pago para es falsa).
Noten que siempre hacemos énfasis en la afectación para el negocio y no para un área en particular. Es común que la gente vea con mucha importancia su trabajo y la actividad que desempeña en su área pero (y sin menospreciar esto), el impacto de un incidente o el valor neto para el negocio de dicha tarea puede ser muy distinto (por eso es importante que esto lo evalúen mandos medios y altos de la empresa).

También noten que tenemos conjuntos muy generales y completos de las posibles amenazas. No hay necesidad de tratar de ubicar de entrada todas las posibles amenazas que pueden generar un problema de integridad (ej. sabotaje, falla de software, virus informático, intrusión de un sistema, error de comunicación en el proceso, error operativo, etc.) ya que tenemos muy claro el tipo de impacto que generan; esto nos ayudará también a identificar soluciones genéricas que sean más efectivas para el negocio.

Dependiendo de la naturaleza del proceso, algunas de las categorías de eventos de pérdida que estamos manejando serán descartadas por el negocio, lo que simplificará nuestra tarea de cuantificar el riesgo (de la forma tradicional, hubiéramos cuantificado un montón de eventos de forma genérica aún cuando éstos no fueran relevantes para el negocio específico que se estuviera analizando). El caso típico son las afectaciones por pérdida de confidencialidad (muchas de éstas están en niveles de cumplimiento que están por encima de la empresa, como leyes o estándares nacionales o internacionales).



Métricas de impacto por evento (paso 3)

Necesitamos ahora métricas para poder cuantificar. Mi sugerencia es que tratemos de medir primero la afectación al proceso en términos de las salidas del proceso para que el análisis sea más sencillo.

Por ejemplo, si se trata de un proceso de ventas, el impacto económico pareciera ser obvio (disminución de las ventas), pero en otros casos como un proceso de atención al cliente no es tan directo llegar a un monto. En ambos casos podemos simplificar el análisis si usamos la salida con una métrica de eficiencia, esto es conveniente porque por lo general el negocio ya tendrá definida alguna métrica de eficiencia del proceso.
Para el primer caso la métrica podría ser el número de productos por unidad de tiempo (ej. productos vendidos diariamente) o directamente el total de ventas diarias (si se manejan varios productos). En el segundo caso podría ser el número de llamadas atendidas por unidad de tiempo (ej. por hora, por día o por semana).

Esta forma de definir la unidad de impacto es útil para riesgos de integridad, disponibilidad y autenticidad porque permite al negocio hacer posteriormente un análisis detallado del impacto a nivel del proceso, lo que también facilita la selección y justificación de nuevos controles.


Siguiendo con el segundo ejemplo, podríamos haber determinado que en el proceso se utilizan activos como un sistema de telefonía para recibir las llamadas, así como un aplicativo y computadoras personales para obtener los datos. Una mala calidad del audio en la llamada y los errores de captura son ejemplos de amenazas de integridad, mientras que las fallas en las telecomunicaciones y suministro de energía así como problemas de estabilidad en el aplicativo son ejemplos de amenazas de disponibilidad. Sin embargo, no tuvimos que enumerar todas las amenazas para determinar el tipo de afectación; incluso la selección de controles mitigantes se puede hacer conociendo únicamente el tipo de afectación, el proceso y los activos más importantes (ej. Capacitación, redundancia eléctrica, redundancia en telecomunicaciones, filtros de entrada en el aplicativo para disminuir errores de captura, controles de calidad de software).

El caso más difícil es el de confidencialidad. Si lo analizan con detenimiento, prácticamente no hay casos de confidencialidad que podamos considerar que afectan directamente a un proceso específico (el robo de información es un ejemplo clásico). No quiere decir que no haya afectación al negocio, sino que el impacto probablemente se observe únicamente a nivel organizacional. (si es que llega a ser observado).

Los controles de muchos eventos de pérdida asociados con confidencialidad están regulados en leyes nacionales y normas internacionales; esta situación aunado a que además son sumamente difíciles de cuantificar (ej. impacto en la reputación del negocio) es una razón más por la cual debemos dar prioridad a controlar este tipo de incidentes.


Aquellos incidentes que se asocian con los puntos de impacto que se listan a continuación (aquellos en la categoría de confidencialidad suelen incluirse en este grupo) no se pueden cuantificar para fines prácticos, por lo que su control debe estar regulado por leyes nacionales o internacionales, o en su defecto por políticas y normas internas; de esta forma se puede garantizar su manejo adecuado en un proceso de administración de riesgos:
  • Impacto en la imagen de la organización (ej. robo de información de clientes difundido en medios de comunicación)
  • Impacto legal (ej. clausura temporal o permanente de la empresa por incumplimiento con normas de salubridad)
¿Por qué insistimos en dar prioridad a estos eventos de pérdida que no podemos cuantificar? Porque si bien el nivel de impacto es variable, diversos casos reales nos han enseñado que un sólo caso de alto impacto puede resultar desastroso para la empresa (ojo, el evento sigue actuando sobre el proceso y/o sus activos, y tenemos que aplicar controles a este nivel, aún cuando el impacto sea visible en otra dimensión). Basta recordar algunos casos como Cardsystems, Enron y TJX para dejar claro que con este tipo de eventos no podemos jugar al adivino.

Regresando a la parte cuantificable del riesgo, tenemos ya los tipos de afectación y las unidades de medición (ej. productos que se dejan de vender al día). Con esta información podemos obtener del negocio un estimado de pérdida por categoría de evento: 3 números y una opinión (el apartado de confidencialidad no lo cuantificamos), para cada proceso. En el apartado de confidencialidad podemos simplemente calificar si hay posibilidad de eventos de confidencialidad de relevancia o no.

Sigamos con el ejemplo del proceso de ventas de música por Internet. Al evaluar con el negocio el proceso obtenemos lo siguiente:
  • Disponibilidad - Se determinó que el negocio vende en promedio 100 canciones por hora, a 1 USD cada canción (en promedio). El impacto por hora en caso de un evento de pérdida por problemas de disponibilidad se estima en 100 USD/h (2400 USD por todo el día), o bien, el 4.16% de los ingresos del proceso por cada hora que dure el evento.
  • Integridad - Se determinó que un error en la captura o cálculo de precios puede costar un monto igual al de las canciones vendidas hasta que se detecte el error (control procedural). Típicamente se hacen revisiones diarias de las ventas al final del día que es cuando podría detectarse; arreglar el error podría llevar aprox. 4 horas (estadística de acuerdo a la experiencia de la empresa; siempre hay un tiempo mínimo para arreglar un problema de integridad), por lo que la pérdida podría estimarse en 100 canciones por hora * 24 horas/día * 1 USD por canción (afectación) + 100 canciones por 4 horas por 1USD (tiempo que tendría que estar fuera el sistema de venta mientras de arregla el problema) = 2800 USD por evento, o bien, más de lo que genera de ingresos en un día el proceso (116%) por cada evento.
  • Autenticidad - En el proceso los usuarios pueden crear una cuenta para registrar sus datos. Un defraudador (interno o externo) podría hacer compras hasta por 50 canciones en un solo evento, asumiendo que la línea de crédito promedio de las tarjetas de los clientes es de 5,000 USD. Además, cada evento requiere de un proceso de aclaración que le cuesta a la empresa 50 USD por evento. Total estimado = 5,050 USD por evento, o bien, poco más del doble de los ingresos que genera el proceso en un día (210%) por cada evento.
  • Confidencialidad - La empresa no cumple con todas las normas internacionales y nacionales para el tipo de actividad que desarrolla (ej. PCI y leyes de privacidad de la información nacionales), por lo que se anota que sí hay un alto impacto potencial en este rubro.
Después del ejemplo quedan por supuesto varias preguntas:
  • ¿Conviene incluir controles en la estimación? Sugiero incluir controles sólo si el control es parte integral del proceso por dos razones: a) son controles que la gente de negocio conoce y entiende bien y b) son controles de alto impacto, porque actúan por lo general sobre toda una categoría de eventos. Por eso es que en el ejemplo incluí un control procedural en la categoría de integridad. Es difícil estimar el impacto de controles técnicos individuales en toda una categoría (ej. el respaldo de información del sistema de ventas), porque nos vienen a la mente varios ejemplos de eventos de la misma categoría sobre los cuales el control no actúa (ej. error de captura). Más adelante veremos cómo analizar el impacto de controles y haremos el ajuste correspondiente.
  • ¿Conviene ajustar de acuerdo a información estadística de la empresa? Sí. cuando la empresa posee estadísticas de varios meses (recomiendo al menos 15 eventos registrados), que se obtienen a través de un proceso bien establecido, donde se documenta la información constantemente, siempre y cuando no haya una alta variabilidad de los datos. Estrictamente, si la distribución de esta estadística tiene un comportamiento normal y una desviación estándar pequeña no hay problema en usarla; pero no hay necesidad de ser tan formales, el sentido común nos puede decir si el dato se puede usar o no: en el ejemplo, en el rubro de integridad se considera que en promedio la empresa se tarda 4 horas en arreglar problemas de integridad; si la empresa sólo contara con 3 casos donde en uno se tardó 1 hora, en otro 2 horas y en otro 9 horas, nunca hubiera considerado esta estadística (hay demasiada variación). Asimismo, las únicas estadísticas que yo recomendaría considerar aquí tienen que ver con controles procedurales e impacto en costo por detectar, arreglar, investigar o prevenir un incidente (en el caso de integridad se muestran impactos estimados por detectar y arreglar).
  • ¿Es conveniente incluir costos operativos y demás costos indirectos derivados del incidente? Aquí recomiendo usar el criterio de las estadísticas (de hecho muchos estarán asociados a estadísticas invariablemente), y sólo cuando tienen un impacto material en el resultado y podemos estimar un promedio que refleje realmente un impacto que haga sentido. Por ejemplo, si las sociedades de tarjeta de crédito cobraran una multa de 10,000 USD por cada evento confirmado de fraude en comercios donde no se cumpla con la norma PCI, éste sería un concepto que definitivamente agregaríamos a nuestro estimado (en nuestro ejemplo, el costo podría ser de 15,050 USD por evento en vez de 5,050 USD de ser el caso).
  • ¿No son algunos estimados un tanto subjetivos? Claro, y es una de las características ineludibles que tenemos para cualquier análisis cuantitativo donde intervienen variables complejas. La ventaja que tenemos aquí es que el negocio es quien pone una cifra con base en sus procesos centrales. Aquí la empresa pudo considerar que un error de integridad no necesariamente implica la pérdida del 100% de una venta, pero en este caso decidió usar una cifra conservadora. En otras palabras, incluimos un estimado que sea más acorde con la realidad del negocio. Si el negocio se quiere engañar a si mismo y poner valores inferiores que no corresponden al riesgo real que están corriendo, entonces tienen un problema mucho mayor que un análisis de riesgos poco confiable (ej. negocios que realizan actividades negligentes, ilegales o incongruentes con sus propias normas, principios y objetivos de negocio). La gran ventaja es que varios especialistas llevando a cabo este análisis con el negocio deberían llegar a resultados muy similares (porque el negocio pone los números con base en criterios que le son claros).
  • ¿De qué nos sirve manejar porcentajes con relación a los beneficios del proceso? Ciertamente es más fácil decir "cada evento costó $X", pero ¿qué pasa si a mitad del año suben el precio de cada canción (digamos a 1.50)? ¿qué pasa si bajan las ventas? Hay que volver a hacer todos los cálculos. La gran ventaja de los porcentajes es que podemos seguir manejándolos mientras no haya cambios importantes en el proceso mismo o en controles. Calculando los nuevos beneficios que da el proceso por cada día y conociendo el porcentaje de impacto por evento podemos reconstruir el costo por evento fácilmente.
  • ¿Cómo podemos manejar procesos que no generan beneficios económicos directos? Hay que tener cuidado cuando se presentan estos casos. Por ejemplo, para nuestra empresa de ventas de canciones por Internet podría existir un proceso de mercadotecnia. Éstos no suelen ser procesos centrales del negocio, sino procesos de apoyo. Por supuesto que impactan al negocio, pero en sí no recomiendo entrar a este nivel de detalle en la identificación de eventos de pérdida. Sin embargo, no todos los casos son así, en el ejemplo que mencionamos anteriormente de un proceso central de la policía, la detención de delincuentes, es uno de estos casos. Esto es típico de organismos gubernamentales y organizaciones sin fines de lucro. En estos casos difícilmente hablaremos de costo económico (aunque a final de cuentas una afectación de los procesos afecta también el presupuesto asignado a dichas instituciones), pero sí de métricas que se relacionan directamente con los objetivos de la organización (en el ejemplo de la policía, podríamos usar algo como porcentaje de delitos donde se consignó al responsable, y los eventos de pérdida afectarían adversamente este porcentaje).
Ajuste de métricas de impacto individual por controles (paso 4)
Para poder analizar el impacto en controles necesitamos comprender su relación con el proceso y los activos que estamos analizando. En el paso 1 recolectamos esta información (revisen nuevamente a ficha del proceso de ventas de canciones por Internet).

Bien, ahora veamos si los controles pueden mejorar alguno de los siguientes rubros con respecto a lo que ya tenemos en el proceso:
  • Controles detectivos - Reducen el tiempo de detección/investigación del incidente
  • Controles correctivos - Reducen el tiempo de recuperación/solución del incidente
  • Controles preventivos - Evitan que el incidente se materialice
Si algún control en particular no logra ninguno de los objetivos anteriores para los tipos de eventos que identificamos anteriormente, entonces el control no da un beneficio al negocio. Además, los controles deben estar asociados a una actividad del proceso y/o a un activo listado en el mismo para que puedan considerarse.

Es muy importante verificar que tenemos cobertura completa por cada tipo de evento si queremos hacer ajustes; un ejemplo ayudará a aclarar por qué:

Imaginemos 2 situaciones:
  1. Se tienen respaldos, un plan de recuperación de desastres (DRP), un seguimiento manual cada hora del proceso y un plan de continuidad del negocio (BCP).
  2. Solamente se tienen un antivirus en el servidor del portal, un firewall en el perímetro con Internet y un sistema de monitoreo del estado del servidor del portal.
Todos estos controles tienen un impacto positivo en mayor o menor grado en alguno de los tipos de eventos que tenemos identificado, pero sobre todo en el de disponibilidad. ¿Cuál de las dos situaciones es mejor desde el punto de vista de mitigación en eventos de disponibilidad?

En la primera, el conjunto de controles cubren de forma razonablemente completa toda la categoría de eventos en los rubros de recuperación y detección (si bien no con la misma efectividad para algunos eventos específicos), mientras que en el segundo caso la cobertura es sólo parcial para el tipo de evento de disponibilidad, en los rubros de prevención y detección. Podemos detectar problemas de disponibilidad en el servidor (sistema de monitoreo), detectar y eliminar afectaciones por virus y prevenir que cierto tipo conexiones a nuestro servidor lo afecten, pero qué hay de todos los demás eventos (ej. si se cae Internet, si la base de datos se corrompe, si el proveedor no nos da más canciones, si el sistema de pagos con tarjeta deja de funcionar, etc.).

Por lo tanto, en la primera situación podemos hacer un ajuste a los estimados de pérdida individuales de disponibilidad, dado que tenemos una cobertura razonable de toda la categoría de eventos de este tipo, en los rubros de corrección y detección. Podemos basarnos en las pruebas de BCP/DRP que podrían ayudarnos a poner un límite en el impacto. Por ejemplo, podría ser que las pruebas indiquen que en cualquier caso se puede recuperar la operación en menos de 3 horas, con lo cual podemos limitar el estimado en el ejemplo a un máximo de 400 USD por evento si consideramos una hora más que nos puede llevar el detectarlo (en vez de quedarnos solamente con la métrica por tiempo; donde no sería difícil contemplar eventos que pudieran durar uno o varios días).

¿Cómo medir un beneficio similar para el otro caso, donde tenemos incluso algunos controles preventivos que suelen ser más apreciados que controles detectivos o correctivos (como es el caso del DRP/BCP)? No hay una forma simple de hacerlo en mi opinión. Mi sugerencia es que en este caso se mantenga el estimado como está.

La alternativa (que yo no considero viable por la complejidad y el tiempo) es tratar de estimar el porcentaje de los eventos que se previenen con esta solución, pero eso requiere de probabilidades y las probabilidades es algo que sugiero no meter en la fórmula, en virtud de las complicaciones que generaron en el enfoque tradicional que conocemos. ¿Cómo estar seguros por ejemplo que un ataque de virus es más frecuente que una falla en el sistema de pagos?¿Cómo compensar el impacto de los eventos que no cubrimos con aquellos que sí mitigamos?


En cualquiera de las 2 situaciones es importante señalar que no estamos considerando eficacia, sólo cobertura. En mi opinión, la mejor manera de medir eficacia de controles es mediante un registro de eventos de pérdida y la correlación con la cobertura de cada control, pero ese será tema de otro artículo.

Terminemos el ejemplo. Éstos son los controles que tiene nuestra empresa de ventas de canciones al momento del análisis:
  1. BCP y DRP que cubren todo el proceso. No hay conexión redundante pero se contemplan esquemas para redireccionar el acceso a un servidor en una empresa vecina con la que hay un convenio y que tiene un proveedor de Internet distinto; se puede montar todo (bases de datos, aplicativo, cambio de direccionamiento y configuración) en menos de 3 horas, de acuerdo con las pruebas.
  2. Proceso manual de seguimiento de ventas (se revisan indicadores de ventas y de los sistemas cada hora)
  3. Respaldos diarios de toda la información que está en aplicativos y bases de datos
  4. Respaldos de los aplicativos, que permiten la restauración del sistema desde cero.
  5. Antivirus y antispyware. Se tienen instalados en todos los sistemas de cómputo del proceso.
  6. Huellas de auditoría en el aplicativo (registro completo de cambios de configuración y transacciones)
  7. Redundancia en procesamiento de pagos (2 proveedores; quizás sea exagerado en la vida real pero así está en este ejemplo)
  8. Claves de acceso individuales al portal de ventas (tanto para empleados como para clientes)
  9. Claves de acceso para administradores de los equipos de cómputo (portal, base de datos)
  10. Servicio de detección y filtrado de potenciales fraudes, contratado con los proveedores de procesamiento de pagos con tarjeta (después de gastar 5000 USD en canciones en un mismo día el sistema bloquea la cuenta automáticamente y se confirma con el dueño de la tarjeta si éste realizó las compras).
  11. Acceso físico restringido (tarjeta de proximidad) al centro de cómputo.

Así que:
  • Disponibilidad - Por controles 1,2,3, 4 y 7, podemos limitar el impacto por evento a 400 USD como habíamos quedado, considerando que tenemos una cobertura completa en detección y recuperación para esta categoría.
  • Integridad - Si bien tenemos huellas de auditoría (control detectivo), noten que no hay ningún control correctivo ligado al mismo (ej. cancelación/bloqueo de cuentas por patrones de compra fraudulentos), de hecho, las huellas de auditoría en sí no son ni siquiera un control detectivo completo; son sólo datos. Se requiere un sistema de monitoreo y de alertas o al menos un proceso manual de revisión para tener un control detectivo completo. También hay seguridad física de los datos (11), pero tenemos de todas maneras una cobertura incompleta. Por tanto no podemos hacer un ajuste en el rubro de integridad. impacto por evento = 2800 USD.
  • Autenticidad - Tenemos los controles 8 al 11, tres específicos de los sistemas que están dentro del proceso, uno más para la autenticidad del medio de pago (Nota: eventos como el robo de las credenciales de la cuenta al cliente quedan fuera del alcance del análisis). Aquí deberíamos poder hacer un ajuste pero tenemos un problema: los controles que tenemos actúan sobre la frecuencia de los eventos, no sobre el impacto de un evento individual en sí (un seguro contra fraudes por ejemplo sí podría actuar directamente sobre el impacto del evento individual ). Así que por lo pronto no podemos hacer ningún ajuste; impacto por evento = 5,050 USD.
  • Confidencialidad - No hay ningún control enfocado a confidencialidad; además ya dictaminamos que hay regulaciones que no cumplimos (PCI de hecho requiere algunos controles técnicos en la parte de confidencialidad). Por lo tanto la opinión en esta categoría se mantiene: sí hay un impacto potencial alto.
Observen que los controles correctivos van de la mano con los detectivos. Si no hay cobertura completa de ambos rubros no nos sirven para efecto de ajustar los resultados en el análisis de riesgos. Antes de corregir debemos de poder detectar, siempre, y detectar por sí mismo no sirve si no tomamos una acción (ej. un sensor de humo + un sistema contra incendios). Con los controles preventivos evitamos una situación de forma directa, aún cuando se nos alerte o no del hecho a través de un control detectivo (ej. una barda, alambre de púas, señalización de advertencia de un peligro, etc.).

Pareciera que lo ideal sería llenarnos de controles preventivos, pero cada tipo de control tiene su lugar. Por ejemplo, los controles detectivos son necesarios para medir adecuadamente la efectividad de los controles proventivos y correctivos (ej., para saber cuántos intrusos detuvo una barda tiene que quedar algún indicio que se pueda revisar, como por ejemplo videos de CCTV). Hay eventos que no se pueden prevenir, como algunos errores humanos; aquí es importante tener controles correctivos (ej. los respaldos de información sensible con su correspondiente esquema de recuperación).


Hay controles que actúan en más de un rubro de protección. Por ejemplo, un sistema de prevención de intrusos (IPS por sus siglas en inglés) detiene cierta actividad y también nos puede alertar de la misma. Un antivirus puede detectar la presencia de un virus y eliminarlo. Un guardia puede avisarnos de un intento de acceso no autorizado, evitar físicamente que alguien no autorizado entre, o simplemente prevenir el hecho al estar en su puesto (a través de un efecto disuasivo). Una cámara de video vigilancia bien colocada, además de detectar un evento, puede actuar también como un factor disuasivo, previniendo alguna acción no deseada.

También noten que con respecto al evento, un control puede mitigar su nivel de impacto (como en la categoría de disponibilidad en el ejemplo) o en su frecuencia o probabilidad de ocurrencia (categoría de autenticidad en el ejemplo). Para efecto de las métricas de eventos individuales sólo podemos hacer ajustes cuando hay mitigación de impacto. Los ajustes por mitigación de frecuencia se verán más adelante.

Pueden ayudarse de una tabla como esta para identificar la cobertura de cada control. Ejemplos:




Pueden también documentar la cobertura que brindan conjuntos de controles a ciertos rubros:



Ojo en este ejemplo, BCP y DRP son por su propia naturaleza controles completos (al menos en teoría) así que no necesitan combinarse con otros para generar una cobertura completa en algún rubro, pero incluyen procesos de detección también, no sólo de corrección (un BCP o DRP que no define disparadores para los procesos de contención y solución de problemas no está completo). Para categorizar y evaluar cobertura de controles sí necesitamos a un especialista en seguridad; en este punto el negocio no puede valerse por sí solo.

Por último, pueden documentar los controles del proceso, listándolos en cada rubro y categoría de evento donde son relevantes:




Métricas de impacto anualizado (paso 5)
Llegamos al punto más delicado del análisis. Éste es uno de los datos más solicitados por la alta dirección pero también el más difícil de estimar correctamente.

En este punto, la fuente principal de errores está en lla estimación de as probabilidades de ocurrencia de eventos específicos. Hay eventos como los fenómenos naturales (terremotos, huracanes, etc.) donde existe información histórica suficiente y donde el análisis estadístico nos ayuda a predecir de forma razonable la probabilidad de ocurrencia. Pero esto no aplica a muchos otros eventos de seguridad (ej. robo de información, asaltos, accesos no autorizados, caídas del sistema, etc.).

Podemos caer en el error de pensar que si tomamos nota de las veces que ocurren los diversos eventos de seguridad en un año podemos estimar siempre la probabilidad de ocurrencia para el siguiente. En primer lugar, la cantidad de variables que influyen en la frecuencia anual de estos eventos es enorme, sobre todo porque en muchos de ellos hay intención del ser humano (que además sueles estar influenciada por el medio ambiente). En segundo lugar, no podemos estimar con una precisión razonable la ocurrencia de un evento tomando en cuenta sólo los datos del año anterior (para un análisis de tendencia requeriríamos al menos una docena de observaciones). Por último, los cambios en diversas áreas de seguridad (sobre todo en seguridad de la información) son tan rápidos, que no podemos comparar lo que sucede de un año a otro en muchos eventos. Por esto es que muchos análisis de riesgos que se basan principalmente en probabilidades de eventos específicos dan resultados que no nos sirven.

Es un hecho que no habrá estimación precisa, eso es simplemente imposible, pero sí podemos tener un mejor estimado si en vez de enfocarnos en las probabilidades de ocurrencia de eventos de seguridad específicos manejamos probabilidades de ocurrencia de tipos de evento por cada proceso de negocio. Debemos enfocarnos en datos históricos, lo que implica que debemos llevar un registro de ahora en adelante de los eventos de integridad, disponibilidad y autenticidad que afectan a cada proceso crítico. Podemos llevar registros de eventos de confidencialidad también; no servirán para el análisis de riesgo pues como lo comentamos anteriormente no es factible cuantificar el impacto de estos eventos de forma confiable, pero sí nos puede ser útil esta información para analizar el tipo de controles que debemos aplicar y su efectividad técnica.

Además de llevar el registro de eventos, recomiendo que se maneje una escala mensual en vez de anual; esto facilitará la identificación oportuna de cambios importantes en el entorno que ameriten una nueva evaluación del riesgo. Al final haremos una proyección a 12 meses para tener el estimado anual. Si se preguntan por qué es tan importante tener la cifra anual, es porque la mayoría de las empresas hace presupuestos anuales, y muchos elementos del costo de un control (por ejemplo el mantenimiento) también se manejan anualmente. Estimar el costo-beneficio del conjunto de controles resulta más fácil de esta manera.

Muchas empresas no llevan un registro de eventos de seguridad ¿qué hacer en estos casos? Viéndolos desde el punto de vista de tipos de evento, descubrirán que en realidad muchos de estos eventos si se registran, no como eventos de seguridad sino como incidentes operativos, sobre todo los eventos de disponibilidad e integridad. Pero aún si no tuviéramos estos registros, será más fácil para los mandos medios y altos del negocio estimar inicialmente cuántos eventos de cada tipo se llegan a presentar de acuerdo a su experiencia. Esto es importante porque cada negocio es diferente. No es lo mismo que un especialista en seguridad encuentre la diferencia en probabilidades de eventos específicos (robos, intrusiones, fugas de información), tratando de incorporar la experiencia del negocio, a dejar que el negocio por sí mismo estime la probabilidad de ocurrencia de los diferentes tipos de eventos en cada proceso crítico (el segundo escenario es, en mi experiencia, considerablemente más fácil y las estimaciones son más confiables).

Regresando al ejemplo, entrevistando a los mandos medios y altos de la empresa se encontró que para el proceso analizado se tienen estas probabilidades:
  • Disponibilidad - 3 eventos al mes en promedio. Principalmente fallas de la infraestructura (servidores/aplicativos que se bloquean). Impacto anual estimado = 400USD * 36 = 14,400 USD.
  • Integridad - 2 eventos al mes. Los registros que se tienen de auditorías muestran que en promedio se cometen 2 errores de captura en el mes, no hay otro evento documentado y los directivos no consideraron que hubiera otro evento relevante de este tipo de acuerdo a su experiencia. Impacto anual estimado = 2800USD x 24 =67,200 USD.
  • Autenticidad - 1 evento al mes en promedio. Todos intentos de pago con tarjetas rechazadas; no se han detectado intentos de uso no autorizado de cuentas por parte de internos (todos se bloquearon). Y no hay reclamaciones de clientes por uso indebido de sus cuentas. Impacto anual estimado = 5,050USD x 12 = 60,600 USD.
  • Confidencialidad - No se conoce ningún caso. Sin embargo el impacto sigue siendo "potencialmente alto" y debe atenderse con prioridad.
Hasta el momento llevamos un impacto anual total estimado de 142,200 USD, más un impacto potencial alto no cuantificable (eventos de confidencialidad) que debe mitigarse cuanto antes.

Recuerden, estos siguen siendo estimados, pero el proceso es más sencillo, rápido y preciso que si quisiéramos involucrar información ajena al negocio o genérica, tal como tablas de probabilidades de eventos de seguridad.

Ajuste de métricas de impacto anualizado por controles (paso 6)
Como lo mencionamos anteriormente, hay ajustes que sólo se pueden hacer en el impacto anualizado, como en el caso de los controles que no actúan sobre eventos individuales sino sobre la frecuencia con la que ocurren (esto es típico de controles preventivos).

En nuestro ejemplo teníamos pendiente un ajuste en el rubro de autenticidad. Tenemos un conjunto de controles con una cobertura razonablemente completa por lo que estimamos pertinente un ajuste; ya tenemos la estimación de ocurrencia de los eventos (1 por mes, o 12 al año) y sabemos también de la entrevista con los directivos que todos los eventos que se registraron en los últimos 12 meses se bloquearon, así que estamos midiendo indirectamente la eficacia del control. En este caso fue de 100%. En la realidad no hay controles infalibles. Dado que tenemos una cobertura razonablemente completa, pongamos un 99% de efectividad (ojo, es para todo el conjunto de controles, no para cada control. No importa si son 5 o 20 o 40 los controles que se requieran para lograr esta cobertura).

En nuestro ejemplo estimamos una efectividad del 99% (es decir 1% de eventos permitidos), nuestro impacto estimado anual en autenticidad es de 60,600 UDS * 0.01 = 606 USD. Recuerden que estamos estimando impactos potenciales, no midiendo lo que ya ocurrió. Por eso es muy importante dejar claro que no podemos esperar un 100% de efectividad. Además, cuando el impacto es realmente grande, este ajuste en la efectividad de los controles deja ver que el impacto remanente después de los controles pude ser aún considerable, lo que da lugar a cambios en controles a nivel mismo del proceso, que sería la única forma de mitigar aún más el impacto.

Ya con el ajuste en el ejemplo tenemos un impacto anual total estimado de 82,206 USD, más un impacto potencial alto no cuantificable por eventos de confidencialidad.

Si nuestra empresa gana al año 100 x 24 x 365 = 876,000 USD aprox. (sin contar costos operativos), tenemos que el impacto económico estimado derivado de los riesgos de seguridad es poco menos del 10%, aunque insisto: el rubro de confidencialidad se debe de atender de inmediato.

Análisis de resultados (paso 7)

Los resultados del análisis nos dicen lo siguiente:
  • Cuál categoría de riesgo tiene mayor impacto potencial en el año (integridad, en nuestro ejemplo). Con esta información podemos dar prioridad en la implementación de controles.
  • Cuál tipo de evento es el más costoso en cada instancia (autenticidad, en nuestro ejemplo). Esto es importante porque puede haber eventos cuyo impacto individual sea tal que nos convenga asegurarnos de mitigarlos bien (aún cuando nunca antes hayan sucedido).
  • Cuánto debemos invertir en controles. Evidentemente, el conjunto de controles debe costar menos que el impacto potencial de no tenerlos (en mi experiencia, al menos 3/4 menos).
  • Qué tipos de controles nos conviene implementar.
Es importante que la presentación de resultados muestre la información correcta en cada nivel. Por ejemplo, un director general querrá ver el total estimado y qué tipos de eventos no se cubren adecuadamente en el proceso. Mandos medios querrán ver costo de eventos individuales y recomendaciones de tipos de controles que por su naturaleza den un mejor balance de costo beneficio para la empresa.

Respecto a la selección de nuevos controles, podemos ver ahora que debemos de buscar aquellos que nos permitan tener una cobertura razonablemente completa complementando los conjuntos de controles de cada categoría. Una vez completos, el tema es medición de la eficacia de controles y el reemplazo de aquellos que no están rindiendo lo suficiente (tema que veremos en otro artículo). Los controles como dijimos tienen que actuar sobre algún tipo de afectación al proceso.

En nuestro ejemplo, podríamos complementar los controles de integridad con un esquema de revisión diaria de las diversas entradas y salidas (no sólo revisando los ingresos diarios por ventas como se tiene hasta el momento). Podríamos invertir más dinero y mitigar aún más (reduciendo tiempos de detección y corrección) al automatizar estas revisiones con un sistema y que sea administrado por un área independiente de la operación. Al realizar el análisis con la nueva información y teniendo en cuenta el costo de la solución automatizada, el negocio puede ver fácilmente si vale la pena automatizar o implementar un control manual.

La búsqueda de nuevos controles también puede facilitarse si logramos ver las dependencias entre los diferentes elementos que forman parte del proceso. Cuando estemos considerando dos controles que a priori tienen un costo y beneficios similares, nos gustaría elegir a aquel que cubre de mejor manera el proceso.

Pueden utilizar una herramienta como Graphical Risk Analysis para esto. Con el análisis de riesgos ya tienen identificados los elementos claves del proceso y los tipos de afectación relevantes; pueden usar esta información para diagramar el proceso e identificar las dependencias entre los elementos. GRA les permitirá ir más allá, permitiéndoles identificar dentro del proceso cuales activos son más importantes en cuestión de impacto al proceso.


Conclusión

El análisis de riesgos es una actividad necesaria en cualquier empresa. Las metodologías que se han desarrollado si bien no han sido perfectas poco a poco se han aproximado a dar resultados relevantes para el negocio.

A través de los últimos años hemos identificado errores que cometían las metodologías tradicionales, como el centrar el análisis en criterios ajenos al negocio, el ignorar que hay elementos de riesgo que deben atenderse por sobre los intereses del negocio, y el pensar que todo lo podemos cuantificar.

Mediante un enfoque híbrido (cuantitativo-cualitativo) y tomando en cuenta los errores que cometimos con metodologías tradicionales, hoy es posible realizar un análisis de riesgos rápido, intuitivo, confiable, y que proporcione información relevante para la toma de decisiones sobre la administración de controles en la empresa.

No hay comentarios:

Publicar un comentario