28 noviembre 2011

Risk and Agility (II)


[Esta entrada ha sido redactada conjuntamente con Mario López de ÁvilanodosCTC aka @nodosenlared]

En la entrada anterior vimos que los enfoques 'Priorizar - Reducir' basados en nuestras capacidades predictivas presentaban algunos problemas a la hora de manejarnos en entornos que no fueran simples y conocidos.
Por si eso fuera poco, aunque lográramos identificar las amenazas que nos deben preocupar, el enfoque ‘Priorizar – Reducir’ depende de estimaciones precisas de probabilidades e impactos. Pero hay una montaña de evidencias, experimentales y empíricas, que refuerzan la hipótesis de que los seres humanos somos notablemente incompetentes a la hora de realizar este tipo de estimaciones, especialmente en situaciones complejas e inciertas. El hecho de que podamos asignar un número a una probabilidad no significa que la tengamos bien determinada. De hecho, esta forma de actuar tiende a engendrar en las personas una confianza excesiva, infundamentada, en sus propios cálculos. Nuestra mente, fruto de la evolución natural, es literalmente una chapuza. Hay multitud de ‘atajos’ que utilizamos constantemente a la hora de evaluar nuestro entorno y tomar decisiones que nos llevan a equivocarnos una y otra vez al estimar una probabilidad o tratar de determinar la magnitud de las consecuencias de un evento. Sesgos cognitivos como el sesgo de disponibilidad o de anclaje nos inducen a error de manera sistemática y difícil de evitar.
Por último y de forma paradójica, en entornos impredecibles, los planes que formulamos, los mismos que deberían protegernos reduciendo los principales riesgos y/o minimizando el daño que nos pueden causar, pueden llegar a ser parte del problema. Algunos autores, como Mintzberg[1] o Klein[2], han señalado que la planificación de riesgos reduce el compromiso de las personas en una organización con un estado de alerta imprescindible en situaciones de gran incertidumbre. Una vez que el plan se ha aprobado e implantado, los gestores en la organización se “relajan”, porque se sienten protegidos. Los planes centran tu atención en lo que eres capaz de predecir, haciendo más fácil pasar por alto lo desconocido e imprevisible. Los planes resisten el paso del tiempo mejor que las capacidades reales de la organización, por lo que quedan obsoletos mucho antes de lo que se suele creer. Además, las medidas adoptadas reducen. por lo general. la flexibilidad organizativa. Una organización menos flexible es menos capaz de adaptarse a un suceso imprevisto, reacciona más tarde y a menudo de manera menos eficaz. Es menos robusta.
En resumen, los enfoques tradicionales de riesgos nos hacen confiarnos en exceso en situaciones complejas e inciertas y en la mayor parte de los casos reducen la capacidad del equipo o de la organización para manejar los riesgos. En ámbitos complejos, no podemos hablar de mejores prácticas o siquiera de buenas prácticas. Cuando no hay relación evidente entre causas y efectos y sólo podemos avanzar prestando atención a los patrones emergentes, mediante ensayo y error, el enfoque acertado para la gestión de riesgos es el que denominamos ‘Adaptativo’. De acuerdo con este enfoque, en situaciones inciertas deberíamos apoyarnos menos en priorizar y reducir riesgos y más en estar preparados para responder a eventos inesperados, reconfigurando procesos y estructuras sobre la marcha para adaptarse a la situación.
En nuestra opinión, podemos aprender mucho de los enfoques Agile utilizados en actividades como el desarrollo de software o de productos complejos. Los valores, principios y prácticas ágiles, de forma natural, nos llevan a minimizar los riesgos inherentes en proyectos ‘inciertos’, pero no sólo eso. También contribuyen a aumentar la capacidad para lidiar con perturbaciones e impactos imprevistos, así como a gestionar dicha capacidad. Una organización ágil es una organización ‘resiliente’, capaz de ajustar su funcionamiento antes, durante o después de haber experimentado una cambio, de modo que su comportamiento apenas se vea afectado. La resiliencia se refiere pues a algo que el sistema ‘hace’ [una capacidad o un proceso], más que a algo que el sistema ‘posee’.
Los enfoques Agile ayudan a crear y mantener la resiliencia de un equipo o de una organización facilitando el conocimiento de la situación, permitiendo compararla en cualquier momento con la situación deseada y proporcionando los medios para realizar los ajustes necesarios para corregir cualquier desviación del rumbo. Y todo esto se hace prácticamente en ‘tiempo real’.
En nuestra opinión, es momento de cambiar nuestra manera de proceder: En lugar de enfocarnos en construir fortalezas inexpugnables, deberíamos enfocarnos en ser capaces de responder en situaciones impredecibles.


[1] Mintzberg on Management by Henry Mintzberg (Paperback - Aug 21, 2007)
Management? It's Not What You Think! by Henry Mintzberg, Bruce Ahlstrand and Joseph Lampel (Hardcover - Sep 15, 2010
[2] Streetlights and Shadows: Searching for the Keys to Adaptive Decision Making by Gary A. Klein (Sep 30, 2011)
The Power of Intuition: How to Use Your Gut Feelings to Make Better Decisions at Work by Gary Klein (Paperback - Jun 1, 2004)



24 noviembre 2011

Risk and agility (I)

[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]


Abstract
En ámbitos complejos, caracterizados [entre otras cosas] por una incertidumbre elevada, la gestión de riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, además de en muchos años de experiencia y muchos análisis de riesgos realizados. En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.
Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo
Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.
Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.
Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)