[Esta entrada ha sido redactada conjuntamente con Mario López de Ávila, nodosCTC aka @nodosenlared]
Abstract
En ámbitos complejos, caracterizados
[entre otras cosas] por una incertidumbre elevada, la gestión de
riesgos tradicional, con enfoques predictivos, es no sólo inefectiva, sino
hasta peligrosa para los equipos y organizaciones que la emplean. Basamos esta
afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva,
además de en muchos años de experiencia y muchos análisis de riesgos realizados.
En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo
en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se
puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y
adaptarse de modo que su función, estructura e identidad permanecen
esencialmente intactos. Dicho de otra manera, los enfoques adaptativos
contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor
los impactos que reciben y sus consecuencias.
Los equipos y
organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que
les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de
forma temprana, atajar y minimizar cualquier riesgo que se les presente, así
como para recuperarse en el menor tiempo posible, al menor coste posible, de
cualquier impacto negativo y, por último, para convertir cualquier contratiempo
en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques,
empleados con espectacular éxito en el ámbito del desarrollo del software y, en
general, de la gestión del desarrollo de productos complejos, son las
denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de
la Información puede verse beneficiada del estudio y adaptación de estas y
similares metodologías, así como de los valores y principios que las inspiran.
Artículo
Cualquiera de nosotros podría citar de memoria,
con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una
gestión efectiva de los riesgos. En primer lugar, es necesario identificar de
manera sistemática las amenazas que pudieran afectar a nuestro proyecto u
organización. A continuación, trataremos de establecer un orden o prioridad en esas
amenazas identificadas, centrando nuestra atención en aquellas más
preocupantes. Este paso normalmente implica estimar la probabilidad de
ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las
amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan
implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos
desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño
potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos
con los que podemos medir nuestro progreso, así como establecer indicadores que
nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo
no nos ayudará, debe ser correctamente implantado. Por último, es necesario
hacer un seguimiento cercano de las actividades recogidas en el plan, para
comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos
la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.
Estamos tan acostumbrados a trabajar de esta
manera que rara vez nos paramos a pensar que éste es solo uno de los posibles
enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este
enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el
proceso. Este es un enfoque que ha dado buenos frutos durante décadas en
ámbitos tan distintos, como la seguridad en construcción y obra civil, como en
entornos industriales. Es también el enfoque imperante en Seguridad de la
Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la
familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede
ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos
ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto
no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de
las tecnologías de la información. Con cada avance técnico surgen nuevas
amenazas y el ritmo de la innovación, especialmente en la última década, es
sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico
de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a
amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos
incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los
elementos de riesgo más devastadores resultan ser a menudo cosas en las que
nadie pensaba o podía imaginar.
Lo cierto es que ‘Priorizar – Reducir’ tiene
sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados
o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el
que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es
de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos?
La respuesta es que nuestro desempeño será, en el mejor de los casos, muy
pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos
bien en desechar la ilusión de que podemos identificar riesgos en condiciones
de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever
o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es
más, los trucos que hemos ido desarrollando a partir de nuestra experiencia
pasada probablemente sirvan de poco en el futuro cercano.
(continuará)
No hay comentarios:
Publicar un comentario