La evaluación de riesgos involucra tres componentes centrales: (i) identificación y, si es posible, estimación del peligro; (ii) evaluación de la exposición y/o vulnerabilidad; y (iii) estimación del riesgo, combinando la probabilidad y la severidad. La identificación se relaciona con el establecimiento de eventos y los resultados posteriores, mientras que la estimación se relaciona con la fuerza relativa del resultado. La exposición se relaciona con los aspectos de un sistema abiertos a los actores de amenazas (p. ej., personas, dispositivos, bases de datos), mientras que la vulnerabilidad se relaciona con los atributos de estos aspectos que podrían ser atacados (p. ej., susceptibilidad al engaño, fallas de hardware, vulnerabilidades de software). . La estimación del riesgo puede ser cuantitativa (p. ej., probabilística) o cualitativa (p. ej., basada en escenarios) y captura el impacto esperado de los resultados. El concepto fundamental de la evaluación de riesgos es utilizar procesos analíticos y estructurados para capturar información, percepciones y evidencias que relacionen lo que está en juego, el potencial de eventos deseables e indeseables y una medida de los posibles resultados e impacto. Sin ninguna de esta información, no tenemos ninguna base para comprender nuestra exposición a las amenazas ni idear un plan para gestionarlas. Una parte del proceso de evaluación de riesgos que a menudo se pasa por alto es la evaluación de preocupaciones. Esto se deriva de la literatura sobre la percepción pública del riesgo, pero también es importante para la evaluación del riesgo de seguridad cibernética. Además de los aspectos científicos más probatorios del riesgo, la evaluación de preocupaciones incluye percepciones más amplias de las partes interesadas sobre: peligros, repercusiones de los efectos del riesgo, miedo y pavor, control personal o institucional sobre la gestión de riesgos y confianza en los gestores de riesgos.
El proceso de gestión de riesgos implica revisar la información recopilada como parte de las evaluaciones de riesgos (y preocupaciones). Esta información constituye la base de las decisiones que conducen a tres resultados para cada riesgo percibido:
• Intolerable: el aspecto del sistema en riesgo necesita ser abandonado o reemplazado, o si no es posible, las vulnerabilidades deben ser reducidas y la exposición limitada.
• Tolerable: los riesgos se han reducido con métodos razonables y apropiados a un nivel tan bajo como sea razonablemente posible (ALARP) o tan bajo como sea razonablemente permisible (ALARA). Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de riesgo de los gestores de riesgos (y de la empresa en general).
• Aceptable: la reducción del riesgo no es necesaria y puede realizarse sin intervención. Además, el riesgo también se puede utilizar para buscar oportunidades (también conocido como «riesgo al alza»), por lo que el resultado puede ser aceptar y aceptar el riesgo en lugar de reducirlo.
Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo (como se sugiere en ISO31000:2018), incertidumbre tangible e intangible, consecuencias de la realización del riesgo (buena o mala), apetito por el riesgo, capacidad organizacional para manejar el riesgo, etc.
Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Éstos incluyen:
• Riesgos rutinarios: siguen un proceso de toma de decisiones bastante normal para la gestión. Se proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de aceptabilidad, y se implementan y hacen cumplir las medidas de reducción de riesgos. Renn da ejemplos de accidentes automovilísticos y dispositivos de seguridad.
• Riesgos complejos: donde los riesgos son menos claros, puede ser necesario incluir un conjunto más amplio de evidencia y considerar un enfoque comparativo como el análisis de costo-beneficio o la rentabilidad. La disidencia científica, como los efectos del tratamiento de drogas o el cambio climático, son ejemplos de esto.
• Riesgos inciertos: cuando existe una falta de previsibilidad, factores como la reversibilidad, la persistencia y la ubicuidad se convierten en consideraciones útiles. Se debe adoptar un enfoque de precaución con un enfoque continuo y administrado para el desarrollo del sistema mediante el cual los efectos secundarios negativos pueden contenerse y revertirse. La resiliencia ante resultados inciertos es clave aquí.
• Riesgos ambiguos: cuando las partes interesadas más amplias, como el personal operativo o la sociedad civil, interpretan el riesgo de manera diferente (p. ej., existen diferentes puntos de vista o falta de acuerdo sobre los controles de gestión), la gestión de riesgos debe abordar las causas de las diferentes opiniones. Renn usa el ejemplo de los alimentos genéticamente modificados donde las preocupaciones por el bienestar entran en conflicto con las opciones de sostenibilidad. En este caso, la gestión de riesgos debe permitir la toma de decisiones participativa, con medidas discursivas destinadas a reducir la ambigüedad a una serie de opciones manejables que pueden evaluarse y valorarse más.
Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo (análisis de riesgo-beneficio u opciones comparativas), un enfoque basado en la resiliencia (donde se acepta que el riesgo probablemente permanecerá pero debe contenerse, por ejemplo, utilizando los principios ALARA/ALARP) , o un enfoque basado en el discurso (incluida la comunicación de riesgos y resolución de conflictos para hacer frente a las ambigüedades). Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo adecuado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados no deseados.
La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición práctica de riesgo se basa en las consecuencias de interés para las personas, nosotros (como sociedad) no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo de temor (por ejemplo, accidentes nucleares) son clasificadas como de mayor riesgo por los legos, pero mucho más bajas por los expertos en el campo que entienden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como muertes, mientras que los legos se ven más influenciados por su juicio intuitivo (un accidente nuclear podría afectar a toda mi familia). Por lo tanto, existe un desajuste entre el riesgo percibido y el real. Como personas, tendemos a exagerar los riesgos raros pero relacionados con el temor (p. ej., incidentes nucleares y ataques terroristas), pero minimizamos los comunes (p. ej., delincuencia callejera y accidentes en el hogar), aunque estos últimos matan a muchas más personas.
Esta es también la razón por la cual la evaluación de preocupaciones es importante en el proceso de gestión de riesgos junto con la evaluación de riesgos. El libro de Schneier Más allá del miedo señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. Por ejemplo, nos sentimos seguros caminando por una calle al lado de nuestra casa pero nerviosos al llegar a una nueva ciudad. Como sociedad, rara vez estudiamos estadísticas a la hora de tomar decisiones; se basan en las percepciones de exposición a la amenaza, nuestro control percibido sobre las amenazas y su posible impacto. La evaluación de riesgos nos ayuda a capturar aspectos cuantitativos y cualitativos del mundo que nos permiten hacer una estimación realista de cuán seguros podemos estar de que ocurrirán eventos adversos y cómo afectarán a lo que más valoramos. Esto se aplica a nosotros personalmente como individuos y como grupos de personas con un objetivo común: salvar el planeta, administrar un negocio o educar a los niños. Necesitamos capturar nuestros objetivos, comprender qué podría conducir al fracaso para lograrlos y poner en marcha procesos para alinear medidas realistas para reducir los daños infligidos a nuestros objetivos.
Cuando se hace bien, la evaluación y gestión de riesgos permite a los responsables de la toma de decisiones garantizar que el sistema funcione para lograr los objetivos deseados definidos por las partes interesadas. También puede garantizar que el sistema no sea manipulado (intencionalmente o de otra manera) para producir resultados no deseados, así como tener procesos implementados que minimicen el impacto en caso de que ocurran resultados no deseados. La evaluación y gestión de riesgos también se trata de presentar información de manera transparente, comprensible y de fácil interpretación para diferentes audiencias, de modo que las partes interesadas responsables estén conscientes de los riesgos, cómo se gestionan, quién es responsable de gestionarlos y estén en acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los responsables de la toma de decisiones (ya sean técnicos, sociales, económicos o de otro tipo), se pasará por alto el impacto de no gestionarlos y el sistema quedará expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos de los riesgos, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto. En términos más generales, si no se escuchan las preocupaciones de las partes interesadas más amplias (por ejemplo, la sociedad civil) o si existe una falta de confianza en el plan de gestión de riesgos, podría haber un rechazo generalizado del sistema planificado que se propone.
Tan importante como es transmitir los riesgos claramente a las partes interesadas, es igualmente importante enfatizar que los riesgos no siempre se pueden eliminar. Es probable que haya algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los que toman las decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que partes interesadas más amplias, como aquellas involucradas en las operaciones del sistema, puedan tener puntos de vista diferentes sobre cómo administrar el riesgo, dado que es probable que tengan diferentes valores que están tratando de proteger. Para algunos, ahorrar dinero será clave. Para otros, la reputación es el foco principal. Para las personas que trabajan dentro del sistema, puede ser la velocidad del proceso o la facilidad para realizar las tareas diarias. El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se tomen decisiones para minimizar los riesgos a un conjunto acordado de valores gestionándolos adecuadamente, mientras maximiza la “aceptación” del proceso de gestión de riesgos. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP (tan bajo como sea razonablemente posible): poder demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo, a favor de seguridad y protección. Una vez más, es importante resaltar aquí que la evaluación de preocupaciones es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos (el enfoque acordado para la evaluación de riesgos) sea informada por los responsables del riesgo, los afectados por el riesgo y los que deben actuar. de una manera que mantenga el plan de gestión día a día. De manera crucial, se debe reconocer que el impacto de eventos únicos a menudo puede extenderse más allá de los daños directos y extenderse mucho más en las cadenas de suministro. Como dice Slovic, los resultados de un evento actúan como las ondas de una piedra arrojada a un estanque, primero directamente dentro de la empresa o sistema en el que ocurrió, y luego en subsistemas y empresas y componentes interdependientes.
Uno de los principales impulsores de la evaluación y gestión de riesgos es demostrar el cumplimiento. Esto puede ser el resultado de la necesidad de contar con la aprobación de cumplimiento auditada de los organismos internacionales de normalización para obtener contratos comerciales; para cumplir con las demandas legales o reglamentarias (p. ej., en Europa, la directiva de Redes y Sistemas de Información (NIS) exige que los operadores de servicios esenciales (como la infraestructura nacional crítica) sigan un conjunto de 14 principios orientados a objetivos); o para mejorar la comerciabilidad de una empresa a través de mejoras percibidas en la confianza pública si se obtiene la certificación. Esto a veces puede conducir a una evaluación de riesgos de «casilla de verificación» en la que el resultado se centra menos en la gestión del riesgo y más en lograr el cumplimiento. Esto puede resultar en una falsa sensación de seguridad y dejar a la organización expuesta a riesgos. Esto nos lleva de vuelta a la definición de trabajo de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de no cumplir con varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizacionales, sociales o económicas más amplias. El contexto y el alcance de la gestión de riesgos deben adoptar esta visión de resultados más amplia para que sea un ejercicio útil y valioso que mejore la preparación y la resiliencia ante resultados adversos.
Con base en estos factores, la evaluación y gestión de riesgos es ciertamente un proceso, no un producto. Es algo que, cuando se hace bien, tiene el potencial de mejorar significativamente la resiliencia de un sistema. Cuando se hace mal (o no se hace en absoluto), puede generar confusión, daños a la reputación y un impacto grave en la funcionalidad del sistema. Es un proceso que a veces se percibe como sin importancia antes de que uno lo necesite, pero crítico para la continuidad del negocio en tiempos de crisis. A lo largo del proceso de evaluación de riesgos, debemos ser conscientes de que la percepción del riesgo varía significativamente en función de una variedad de factores y que, a pesar de la evidencia objetiva, no cambiará. Para usar un ejemplo de, proporcionar evidencia de que el riesgo anual de vivir al lado de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción del riesgo dadas las diferencias que rodean a la percepción general de los diferentes escenarios. Intuitivamente, la comunicación y el respeto por las medidas cualitativas y cuantitativas de evaluación de riesgos son fundamentales para su práctica. Ambas medidas exhiben ambigüedad (por ejemplo,) y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto. Siempre existirá la necesidad de un juicio humano subjetivo para determinar la relevancia y los planes de gestión, lo que en sí mismo conlleva sus propias limitaciones, como la falta de conocimiento experto y el sesgo cognitivo.
Interpolados 