Siempre que leo en un artículo sobre las pérdidas de una empresa valoradas en miles de euros, o cientos de miles, me pregunto ¿cómo lo harán?. Y lo pregunto desde el punto de vista de una persona, que estando en decenas de grandes organizaciones, poder obtener un dato básico para realizar el cálculo, como es simplemente saber cuánto vale un determinado activo, se vuelve imposible al intentar evaluar aspectos tan abstractos y subjetivos como: el lucro cesante, la posible pérdida de clientes, la innovación perdida, o la ventana temporal de éxito no aprovechada. la pérdida de confianza de los trabajadores y clientes en la empresa, etc. El problema de las evaluaciones cuantitativas suele residir, en la mayor parte de los casos, en que se suelen centrar en aspectos prácticos que consideran pueden medir: coste de reposición de un activo, multas que pueden incurrir, % de facturación perdida en base a períodos temporales pasados parecidos, etc.
Realmente es muy complicado poder definir un método para poder evaluar cuantitativamente el riesgo de pérdida, y desde luego ninguno es correcto ni incorrecto (otra vez volvemos a la física cuántica ;-). Lo que quiero decir es que, lo realmente importante, es ser capaz de poder encontrar un método que nos permita priorizar, ordenar, elegir, etc., sobre qué activos debo de trabajar antes que otros. En nuestra empresa hemos desarrollado grandes, ingentes más bien, proyectos de análisis de riesgos que buscaban, utilizando las más variopintas metodologías de análisis matemáticos, encontrar el número mágico final del riesgo, pero realmente el objetivo de un análisis de riesgo no es otro que poder obtener un resultado, que con diferentes personas (factor subjetivo del evaluador) puedan, con un mismo método matemático, llegar a un resultado semejante. Y este es el gran cambio en el que las empresas actuales están trabajando. Disponer de sistemas ágiles que permitan virar el rumbo de los trabajos que se realizan rápidamente, o simplemente medir si los proyectos emprendidos están consiguiendo reducir el riesgo, esta es la principal demanda de las organizaciones hoy en día.
Por no desviarme mucho del tema inicial sobre el que quería hablar, y dejando para otra entrada posterior, un post más detallado de cómo estamos realizando los análisis de riesgo, me gustaría comentar el dato más importante del informe mencionado, según el cual:
“…las brechas de seguridad más caras son: el fraude de empleados, el ciberespionaje, las intrusiones en la red y los fallos de terceros”.
Independientemente del importe que supongan de media cada una de estas brechas, es fundamental poder analizar las causas probables que las provocan y dicho análisis debe de ser claro y transparente para que todos los implicados (personas que de una u otra forma van a participar en la mitigación del riesgo) en el proceso confíen en él. Si un proceso no se entiende, no se confía en las conclusiones que da, si no confías en las conclusiones que da no tendrás el factor más importante de impulso de un proyecto, la motivación de las personas.
Cada uno de los factores mencionados en este estudio, da para una disertación completa de por qué se produce, cómo se gestiona, cómo lo trato de evitar, y cómo lo mido, pero me voy a aventurar a apuntar una causa común en todos ellos: la concienciación y formación del empleado, pero este tema lo dejaremos también para otro momento.