¿Existe el ciber-riesgo ?

El ciber-riesgo no existe

CiberataquesEstamos hartos de escuchar los múltiples ataques que sufren los sistemas informáticos alrededor del mundo, los numerosos virus que asolan las empresas y a los usuarios finales, los millones de euros que son robados de cuentas bancarias de forma constante, etc. Pero la verdadera pregunta que me surge es, si la culpa de todo esto se la tenemos que echar al ciber-riesgo . Tenemos que entender que el verdadero problema no hay que achacarlo al riesgo ciber, sino a cualquier otro riesgo que ya tuviéramos identificado con anterioridad.

Afrontamos mal el problema

Echar la culpa al ciber-riesgo  de todo lo que pasa, es la mejor manera de no conseguir hacer nada. El tema es muy sencillo, si llamamos ciber-riesgo  a todo, y ese todo es imposible de solucionar, porque es “TODO”, es la mejor manera de asumir que no puedo controlar el ciber riesgo, y por lo tanto, asumo que es imposible trabajarlo.

No hay nada nuevo en los riesgos

Riesgos antiguosSi voy por la calle y me roban el dinero, o si me atracan en la empresa, o si se derrumba el edificio, o si la mercancía no llega a su destino porque se pierde, ¿podemos llamar a todo eso un riesgo físico?

Lo mismo ocurre con el ciber-riesgo . Es absurdo generar un nombre para aglutinar todo aquello que tenga que ver con el mundo ciber, de igual forma que sería hacerlo para el mundo físico.

¿Qué es el riesgo?

Siempre es bueno definir los términos, con objeto de poder entender lo mismo cada una de las personas que lo tratemos. De esta forma, la RAE define riesgo como: “Del ant. riesco ‘risco’, por el peligro que suponen. 1. m. Contingencia o proximidad de un daño. 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro”. Pero realmente la mejor definición es la de correr riesgo algo. “1. loc. verb. Estar expuesto a perderse o a no verificarse”.

Esta última definición es la que más se adapta a la sensación de, como no puedo evitar el ciber riesgo, lo asumo, es decir, estoy dispuesto a perder y a no verificarlo.

Si pensamos verdaderamente dónde estamos trabajando, y evitamos hacer agrupaciones deficientes de conceptos, veremos que los mismos riesgos que ya existían anteriormente, tienen su traslación, al mundo ciber. Una organización que construya de manera deficiente sus cadenas de montaje, no tendrá un riesgo físico, sino un riesgo de producción, derivado del mal diseño de los componentes.

Múltiples dimensiones, un solo problema

Estamos acostumbrados a trabajar en una única dimensión, la física, por ello, en el momento en que apareció la dimensión lógica, el cerebro humano intentó solucionar el problema desde un punto de vista lógico, nueva dimensión, nuevos riesgos. Por ello, en vez de integrar ambas dimensiones en un proceso lógico y conjunto de producción, empezamos a separar ambos mundos. Ese ha sido uno de los principales problemas en la actualidad.

La seguridad no se construye en base a anillos de protección que cubren los activos, sino en base a anillos separados, en tres capas diferentes: la física, la lógica y la humana. Por ello no se ha construido una seguridad integral, sino tres seguridades diferentes. Este hecho permite a un atacante, ir pasando de una capa a otra cuando más le convenga. El problema es que las capas son más o menos seguras si las vemos de forma aislada, pero totalmente vulnerables si las vemos de forma conjunta.

¿Por qué lo llamamos ciber-riesgo  cuando queremos decir riesgo?

La acción de crear un ciber-riesgo , es parte de ese error de concepto que aglutina los problemas del negocio en base a la capa en la que se trabaje. Una buena gestión de riesgos tendría en cuenta que el riesgo de la producción de un mal diseño de los componentes, se tiene independientemente de que una empresa diseñe mal el engranaje, el software, o elija mal al ingeniero que filtrará el diseño a la competencia. Por ello, la única forma de generar una estructura de seguridad férrea, es dar la vuelta a los tradicionales análisis de riesgos por capas. Es necesario trabajar en el verdadero riesgo de una organización, independientemente de la capa en la que se materialice la vulnerabilidad.

Un claro ejemplo de este proceso de diferenciación por capas, es que lo lógico hubiera sido crear las mismas categorías a los riesgos, del ámbito físico al lógico, pero se han establecido un sinfín de categorías para ir cubriendo todo aquello que va fallando.

Gestionando los riesgos en una seguridad integral

En mi opinión, deberíamos entender la seguridad más allá de la capa donde se deba implantar el control. Tan sólo cuando seamos capaces de conseguir un análisis de riesgo que no haga distinciones entre las capas física, lógica o humana, podremos implantar una gestión de riesgos que mejore los procesos de la compañía.

La forma de comenzar a trabajar en esta nueva gestión de riesgos es pensar en el verdadero negocio de la compañía para identificar qué riesgos tiene que la puedan hacer desviarse de su objetivo económico.

Asumir un riesgo no es gratis

Nadie debería poder asumir una responsabilidad que no es capaz de afrontar, por lo que si una compañía tiene un ciber-riesgo  catalogado dentro de estructura de riesgos, es muy probable que el responsable del mismo acabe frustrado y desmoralizado ante la absurda idea de poder hacer algo para contener lo incontenible. Asumir el riesgo es un cheque en blanco que deberás de pagar antes o después.

No podemos hablar de una seguridad integral si no somos capaces de entender los riesgos de una forma integral.

Si quieres puedes valorar la entrada: 1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5,00 out of 5)

Cargando…

Deja un comentario