¿Tiene sentido que una ley exija gestión de riesgos?

(Foto: "Risk_block_letters", Paul Cross, https://flic.kr/p/q3sLdP)

En los últimos años es habitual encontrarnos con legislación que requiere al sujeto obligado de la implementación de un proceso de análisis y gestión de riesgos (algunas referencias previas en este blog aquí y aquí). Por ejemplo, sin ir más lejos, el famoso Reglamento General de Protección de Datos (más conocido por RGPD) o el Esquema Nacional de Seguridad (ENS).

Tal y como yo entiendo la gestión de riesgos, una organización hace este ejercicio e implementa este proceso para seleccionar aquellas medidas de seguridad que, en función de su perfil de riesgo, maximicen la inversión en ciberseguridad. Por lo tanto, y volviendo al título de esta entrada, ¿tiene sentido que una norma exija realizar una gestión de riesgos?

La respuesta depende del tipo de norma que sea. Podríamos decir que, a este respecto, existen dos tipos de normas:

1. Las que están fundamentadas en un principio de responsabilidad (el famoso accountability) - Por ejemplo, la actual Ley de Protección de Infraestructuras Críticas o el ya mencionado RGPD.
2. Las que definen de manera objetiva lo que tenemos que hacer para cumplir - Dentro de estas estaría el ENS o PCI-DSS.

En el caso de las primeras, SÍ tiene sentido ese análisis y gestión de riesgos puesto que el principio es "actúa con responsabilidad y haz lo que consideres oportuno para lograr el objetivo". Por tanto, el análisis de riesgos ahí se convierte en la herramienta que gradúa ese ejercicio de libertad de elección. Cada organización implementa las medidas que considera en función de su perfil de riesgo: organizaciones que se quieran arriesgar más, pondrán menos medidas y al revés... pero cada una, bajo su responsabilidad.

En el caso de las segundas, claramente, NO. En estas normas que son prescriptivas en cuanto las medidas que la organización obligada tiene que implementar, ¿qué sentido tiene pedirle a una organización que haga un ejercicio de análisis cuando el que ha redactado la normativa ya ha decidido qué medidas son las que hay que implementar? En mi opinión, la inclusión de esta exigencia solo responde a una moda o a una intención de "quedar bien" y decir que la norma está basada en la gestión de riesgos...

Otra cosa es lo que podamos pensar sobre cuál de las dos opciones es más acertada o contribuye más a conseguir el objetivo de la norma, pero esto es algo que discutiremos en la próxima entrada.

... ¿todavía no me sigues en twitter.com/antonio_ramosga? 

Nariz hambrienta [offtopic]

Extremadura. Pueblecito en los límites del Parque Nacional de Monfragüe. Verano de 1950 (año arriba, año abajo). Mediodía. Más de 40º a la sombra y ni pizca de aire.

El sabueso recorre las calles desiertas del pueblo a paso lento, levantando la nariz para captar mejor los olores que salen por las ventanas sin cristales de las cocinas por las lumbres a pleno rendimiento preparando los guisos para los que están a punto de llegar de trillar o de cuidar las cabras.

Por fin parece que capta un rastro que le gusta y lo sigue como hipnotizado hasta la puerta de una casa de una sola planta. Zagüan y cocina unidos. En su interior, a la mesa, el padre, la madre y tres hermanos se disponen a comer.

Justo cuando la madre retira el guiso de la cocina, tocan a la puerta:
- "¿Tío Angel?", preguntan desde fuera.

Todos se sonríen.

- "Pasa, pasa. Nos disponíamos a comer", contesta el padre, que es demasiado alto para la época y demasiado ancho para los tiempos que corren, sabiendo como va a terminar la conversación.
- "¡Qué bien huele!", responde el recién llegado.
- "Sí, ayer un cabrito se jirió y hoy ha habido que matarlo. El señorito nos ha regalao un cacho, así que el guiso hoy lleva chicha", aclara la madre y cocinera.
- "!Ya decía yo!. Se huele desde fuera", se explica el sabueso.
- "¿Gustas?", pregunta el tío Ángel sabiendo ya cual va a ser la respuesta. Pero no le importa, todo lo que tiene de grande, lo tiene de bonachón y generoso.
- "Pues ya que lo dices; hoy no me ha dado tiempo a preparar rancho", responde el cartero sacando una cuchara de madera de la faldiquera.

La familia hace sitio al recién llegado, asumiendo que hoy les ha tocado a ellos dar de comer al cartero del pueblo.

Esta historia está basada en una anécdota que mi padre me ha contado en varias ocasiones para ilustrarme cómo era la vida en su niñez de posguerra en un pueblo del Norte de Cáceres.