11 abril 2020

¿Tiene sentido que una ley exija gestión de riesgos?

(Foto: "Risk_block_letters", Paul Cross, https://flic.kr/p/q3sLdP)

En los últimos años es habitual encontrarnos con legislación que requiere al sujeto obligado de la implementación de un proceso de análisis y gestión de riesgos (algunas referencias previas en este blog aquí y aquí). Por ejemplo, sin ir más lejos, el famoso Reglamento General de Protección de Datos (más conocido por RGPD) o el Esquema Nacional de Seguridad (ENS).

Tal y como yo entiendo la gestión de riesgos, una organización hace este ejercicio e implementa este proceso para seleccionar aquellas medidas de seguridad que, en función de su perfil de riesgo, maximicen la inversión en ciberseguridad. Por lo tanto, y volviendo al título de esta entrada, ¿tiene sentido que una norma exija realizar una gestión de riesgos?

La respuesta depende del tipo de norma que sea. Podríamos decir que, a este respecto, existen dos tipos de normas:
  1. Las que están fundamentadas en un principio de responsabilidad (el famoso accountability) - Por ejemplo, la actual Ley de Protección de Infraestructuras Críticas o el ya mencionado RGPD.
  2. Las que definen de manera objetiva lo que tenemos que hacer para cumplir - Dentro de estas estaría el ENS o PCI-DSS.
En el caso de las primeras, tiene sentido ese análisis y gestión de riesgos puesto que el principio es "actúa con responsabilidad y haz lo que consideres oportuno para lograr el objetivo". Por tanto, el análisis de riesgos ahí se convierte en la herramienta que gradúa ese ejercicio de libertad de elección. Cada organización implementa las medidas que considera en función de su perfil de riesgo: organizaciones que se quieran arriesgar más, pondrán menos medidas y al revés... pero cada una, bajo su responsabilidad.

En el caso de las segundas, claramente, NO. En estas normas que son prescriptivas en cuanto las medidas que la organización obligada tiene que implementar, ¿qué sentido tiene pedirle a una organización que haga un ejercicio de análisis cuando el que ha redactado la normativa ya ha decidido qué medidas son las que hay que implementar? En mi opinión, la inclusión de esta exigencia solo responde a una moda o a una intención de "quedar bien" y decir que la norma está basada en la gestión de riesgos...

Otra cosa es lo que podamos pensar sobre cuál de las dos opciones es más acertada o contribuye más a conseguir el objetivo de la norma, pero esto es algo que discutiremos en la próxima entrada.

... ¿todavía no me sigues en twitter.com/antonio_ramosga