Esta semana tuve la oportunidad de asistir a la charla de Fred Piper durante la VII Jornada Internacional del ISMS Forum (ya os dije que teníais que venir...) y tuve uno de esos momentos reveladores: ya sabéis, ese momento en el que alguien dice algo obvio pero que al verlo escrito negro sobre blanco impacta sobremanera sobre uno.
En concreto, fue una frase de Fred en la que venía a decir algo así como que el objetivo de la gestión de la seguridad era minimizar la suma de dos costes, por un lado, el coste de las medidas de seguridad y, por otro, el de la inseguridad. La verdad es que algo obvio, ¿no? Pero no sé, el caso es que debió recordarme a mis clases de Economía en la Facultad y, como decía el anuncio aquel: "M'a impactao".
¿Cuál es la potencia de esta frase? Bueno, pues que, en el fondo, "reduce" la gestión de las seguridad a un problema matemático: Minimizar el valor de una fórmula como la siguiente, Cs = Cm + Ci donde Cs es el coste total de la seguridad, Cm es el coste de las medidas que establecemos y Ci es el coste de la inseguridad (o de la no-seguridad).
Las dificultades que nos encontramos en el día a día para resolver este "sencillo" problema son diversas:
- Para mi, la principal dificultad es que el coste de la inseguridad es un coste oculto (en muchos casos). Normalmente porque, en realidad, ese coste lo sufren otros (es una externalidad) como pueden ser los casos de software con fallos de seguridad, brechas de seguridad con robo de datos de clientes, empleados... o un proveedor se servicios en la nube con una insuficiente seguridad que ocasiona daños a sus clientes o a los clientes de su cliente...
- Otra dificultad es el componente aleatorio del coste de la inseguridad. Es decir, aunque el software sea inseguro cabe la posibilidad de que no falle o que no se descubra la vulnerabilidad por nadie. Aquí es donde entran en juego los análisis de riesgos que, en teoría, nos deberían ayudar a "estimar" el valor en riesgo (Value at Risk) de forma que el problema de minimización tomara los datos correctos, pero lo de la gestión de la incertidumbre no es nuestro fuerte: subjetividad de las estimaciones, dudosa validez del pasado para predecir el futuro y cisnes negros en general...
Si unimos ambos factores, lo que sucede es que, seguramente, la elección de inversión de seguridad (el único factor sobre el que podemos influir) no será la adecuada, ya que no se habrán tenido en cuenta todos los costes de la inseguridad (bien porque los sufran otros, bien porque todavía no se hayan materializado o porque hayamos errado al calcular el valor en riesgo) provocando, lo que en Economía llamamos, una decisión sub-óptima que minimiza la ecuación utilizada por la organización, pero no la real.
Ya, pero ¿qué podemos hacer? Pues, en mi opinión, la solución pasa por dos aspectos:
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
Ya, pero ¿qué podemos hacer? Pues, en mi opinión, la solución pasa por dos aspectos:
- Incorporar todas las externalidades a la ecuación (por el mecanismos que sea: sanciones, impuestos, etc.)
- Aprender a gestionar la incertidumbre
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?