MÉTRICAS DE SEGURIDAD

Las métricas de seguridad son un área de controversia desde hace mucho tiempo dentro de la comunidad de riesgos, ya que existe un debate sobre el valor de medir la seguridad. A menudo es difícil cuantificar, cuán segura es o podría ser una organización. Las representaciones cualitativas como bajo, medio, alto o rojo, ámbar, verde se usan típicamente en ausencia de datos cuantitativos confiables, pero a menudo existe la preocupación de que tales valores sean subjetivos y signifiquen cosas diferentes para diferentes partes interesadas. Las preguntas abiertas incluyen: ¿qué características de un sistema deben medirse en función del riesgo?, ¿cómo medir el riesgo?, y ¿por qué medir el riesgo? Algunas métricas pueden estar relacionadas con los niveles de riesgo, algunas con el rendimiento del sistema y otras relacionadas con la prestación o confiabilidad del servicio. Jaquith proporciona algunos consejos útiles sobre lo que constituyen métricas buenas y malas para ayudar a seleccionar las medidas adecuadas. Las buenas métricas deberían ser:

• Constantemente medido, sin criterios subjetivos.
• Barato de recolectar, preferiblemente de forma automatizada.
• Expresado como un número cardinal o porcentaje, no con etiquetas cualitativas como «alto», «medio» y «bajo».
• Expresado utilizando al menos una unidad de medida, como «defectos», «horas» o «dólares».
• Contextualmente específico y lo suficientemente relevante para los tomadores de decisiones como para que puedan actuar.

Métricas malas:

• Se miden de manera inconsistente, generalmente porque se basan en juicios subjetivos que varían de persona a persona.
• No se puede recopilar a bajo precio, como es típico de las encuestas que requieren mucha mano de obra y las hojas de cálculo puntuales.
• No exprese resultados con números cardinales y unidades de medida. En cambio, se basan en calificaciones cualitativas altas / medias / bajas, semáforos y calificaciones con letras.

El trabajo de Herrmann proporciona una visión más pragmática basada en el cumplimiento normativo, la resistencia y el retorno de la inversión. Hay ejemplos de métricas que podrían proporcionar utilidad en dominios como la atención médica, la privacidad y la seguridad nacional. La perspectiva de las métricas se basa en el entendimiento de que no podemos estar completamente seguros, por lo que medir la seguridad real frente a la seguridad necesaria es posiblemente un enfoque defendible, y las métricas descritas están diseñadas para medir la eficacia de la gestión de vulnerabilidades. Esencialmente, ¿es posible cuantificar si el plan de gestión de riesgos y los controles asociados son adecuados para el propósito en función de las amenazas identificadas, y las métricas proporcionan evidencia de que estos controles son apropiados? Además, ¿es probable que los controles implementados agreguen más valor a los ahorros que producen que al costo de su implementación? Este punto es particularmente pertinente en la era actual de la tecnología de Inteligencia Artificial que se comercializa ampliamente a nivel internacional para proteger la infraestructura digital. Con un alto precio, existe una duda sobre una comprensión basada en la evidencia del valor agregado real de tales mecanismos de seguridad y la rentabilidad de tales soluciones a la luz de los ahorros potenciales.

Jones y Ashenden adoptan un enfoque orientado a los actores para las métricas de seguridad, proporcionando una variedad de escenarios en los que las amenazas se clasifican según un método mixto cualitativo y cuantitativo. Por ejemplo, las amenazas del estado se basan en métricas como población, alfabetización y factores culturales; grupos terroristas sobre conocimientos técnicos, nivel de educación e historial de actividad; y los grupos de presión se clasifican según el número de miembros, el número de activistas y la financiación. El marco proporciona una perspectiva sobre cómo capturar medidas que basan las métricas de amenazas en información que puede respaldar la evaluación de riesgos discursiva, basada en inteligencia y con base cultural. Sin embargo, se ha informado que el enfoque de «pensar como un atacante» o perfilar al adversario fracasa incluso a nivel de estado (con mucha inversión e inteligencia). En un artículo con el presidente Obama sobre las complicaciones y fallas de la gestión de riesgos en el estado de Libia, señala que los equipos analíticos de Estados Unidos subestimaron el perfil del atacante (particularmente los aspectos socioculturales), lo que llevó a fallas en la gestión de riesgos. Asumir el conocimiento del adversario puede ser muy arriesgado, pero las métricas para perfilar posibles amenazas y ataques (mientras aceptamos explícitamente nuestras limitaciones en el conocimiento) se pueden utilizar como parte de un enfoque de modelado de amenazas como STRIDE o Attack Trees. Shostack analiza las limitaciones de la creación de perfiles de atacantes en una publicación de blog.

Si bien las métricas cuantitativas enmarcadas de esta manera parecen preferibles a las métricas cualitativas, no siempre es un proceso trivial recopilar datos medidos consistentemente, ya sea de forma manual o automatizada. Esto nos devuelve al punto en torno a la comunicación y el acuerdo en un lenguaje común en la fase de evaluación de riesgos. Si bien las métricas pueden estar limitadas en su accesibilidad y recopilación coherente, acordar los límites superior e inferior o el significado específico de las etiquetas cualitativas también proporciona un grado de valor para medir la seguridad de un sistema a través de vínculos bien definidos entre las amenazas y su relación con las vulnerabilidades. e impacto.

¿QUÉ ES LA GOBERNANZA DEL RIESGO Y POR QUÉ ES ESENCIAL?

Es probable que la evaluación de riesgos y el desarrollo de principios de mitigación para gestionar el riesgo solo sean eficaces cuando se establece una política de gobernanza coordinada y bien comunicada dentro del sistema que se gestiona. Millstone propuso tres modelos de gobernanza:

• Tecnocrático: donde la política se basa directamente en la ciencia y la evidencia de la experiencia del dominio.
• Decisionista: donde la evaluación de riesgos y la política se desarrollan utilizando insumos más allá de la ciencia. Por ejemplo, incorporando impulsores sociales y económicos.
• Transparente (inclusivo): donde el contexto para la evaluación de riesgos se considera desde el principio con aportes de la ciencia, la política, la economía y la sociedad civil. Esto desarrolla un modelo de «evaluación previa», que incluye las opiniones de las partes interesadas en general, que da forma a la evaluación de riesgos y la política de gestión posterior.

Ninguno es correcto o incorrecto. Si bien el enfoque tecnocrático puede parecer lógico para algunos propietarios de riesgos que trabajan sobre la base del razonamiento que utiliza evidencia, es absolutamente crucial para una gobernanza de riesgos eficaz incluir la visión más amplia de las partes interesadas. Identifican cuatro elementos que influyen en la percepción del riesgo:

• juicio intuitivo asociado con probabilidades y daños;
• factores contextuales que rodean las características percibidas del riesgo (por ejemplo, familiaridad) y la situación de riesgo (por ejemplo, control personal);
• asociaciones semánticas vinculadas a la fuente del riesgo, personas asociadas al riesgo y circunstancias de la situación de toma de riesgo;
• confianza y credibilidad de los actores involucrados en el debate sobre riesgos.

En última instancia, desde una perspectiva de gobernanza, cuanto más incluyente y transparente sea el desarrollo de la política, más probable será el apoyo y la aceptación del grupo de partes interesadas más amplio, incluidos los laicos y el personal operativo, para las políticas de gestión de riesgos y principios. Hay varios elementos que son clave para una gobernanza de riesgos exitosa. Sin embargo, un principio importante es garantizar que la actividad de gobernanza esté estrechamente vinculada con la actividad diaria y la toma de decisiones. Por ejemplo, al contratar personal, el proceso de recursos humanos está a la vanguardia de la actividad del reclutador. El enfoque de gobernanza del riesgo cibernético es clave para esta adopción cultural.

¿POR QUÉ ES IMPORTANTE LA EVALUACIÓN Y LA GESTIÓN DE RIESGOS?

La evaluación de riesgos comprende tres componentes básicos: estimación del riesgo, combinando la probabilidad y la severidad. La estimación del riesgo puede ser cuantitativa o cualitativa y captura el impacto esperado de los resultados. Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de los gestores de riesgos por asumir riesgos. Además, el riesgo también se puede utilizar para buscar oportunidades, por lo que el resultado puede ser aceptar y asumir el riesgo en lugar de reducirlo.

Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo, incertidumbre tangible e intangible, consecuencias de la realización del riesgo, apetito por el riesgo, capacidad organizacional para manejar el riesgo. Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo, un enfoque basado en la resiliencia, o un enfoque basado en el discurso. Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo apropiado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados indeseables.

La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición de trabajo del riesgo se basa en las consecuencias de interés para las personas, nosotros no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo temible son clasificadas como de mayor riesgo por los profanos, pero mucho más bajas por los expertos en el dominio que comprenden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como las muertes, mientras que los laicos están más influenciados por su juicio intuitivo. Por tanto, existe un desajuste entre el riesgo percibido y el real.

El libro de Schneier Beyond Fear señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. La evaluación y gestión de riesgos también consiste en presentar información de una manera transparente, comprensible y de fácil interpretación a diferentes audiencias, de modo que las partes interesadas responsables sean conscientes de los riesgos, cómo se están gestionando, quién es responsable de gestionarlos y están de acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los tomadores de decisiones, se pasará por alto el impacto de no gestionarlos y el sistema seguirá expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos del riesgo, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto.

Es probable que exista algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los tomadores de decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que las partes interesadas más amplias, como las que participan en las operaciones del sistema, tengan opiniones diferentes sobre cómo gestionar el riesgo, dado que es probable que tengan valores diferentes que están tratando de proteger. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP, pudiendo demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo.

Nuevamente, es importante destacar aquí que la evaluación de inquietudes es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos sea informada por los responsables y afectados por el riesgo, y aquellos que deben actuar de una manera que respete el plan de gestión del día a día. Esto nos devuelve a la definición práctica de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de incumplimiento de varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizativas, sociales o económicas más amplias. Para usar un ejemplo de proporcionar evidencia de que el riesgo anual de vivir cerca de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción de riesgo dado las diferencias en torno a la percepción general de los diferentes escenarios.

Ambas medidas muestran ambigüedad y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto.

¿QUÉ ES RIESGO?

El riesgo está en el corazón de la vida cotidiana. La definición de riesgo es, por tanto, un asunto muy filosófico y polémico. Los trabajos seminales de Slovic y Renn sobre la percepción del riesgo capturan los temas de amplio alcance que rodean este debate y proporcionan una definición de trabajo que abstrae la pregunta para permitirnos involucrarnos con el tema del riesgo en un nivel socio-técnico. La definición de trabajo de Renn de riesgo es la posibilidad de que las acciones o eventos humanos lleven a consecuencias que tengan un impacto en lo que los humanos valoran.

Esto fundamenta fundamentalmente el riesgo en el valor humano, que se aplica tanto al niño como al ejemplo del director ejecutivo. La definición de trabajo de impacto en los valores plantea una cuestión adicional sobre cómo definir el valor y capturar los indicadores que se pueden utilizar para medir y gestionar el riesgo. Por lo tanto, usamos la definición de trabajo de Renn de riesgo para la discusión en este KA en el contexto del riesgo cibernético. Un desafío clave con la evaluación y gestión de riesgos es hacer las suposiciones explícitas y encontrar el equilibrio entre las percepciones subjetivas del riesgo y la evidencia objetiva.

La gestión de riesgos, por otro lado, es el proceso de desarrollar y evaluar opciones para abordar los riesgos de una manera que sea aceptable para las personas cuyos valores pueden verse afectados, teniendo en cuenta que el acuerdo sobre cómo abordar el riesgo puede involucrar un espectro de tolerancia – de la aceptación al rechazo. Apoya la toma de decisiones colectiva y abarca tanto la evaluación como la gestión de riesgos, incluida la consideración de los contextos legales, sociales, organizativos y económicos en los que se evalúa el riesgo.

¿POR QUÉ ES IMPORTANTE LA EVALUACIÓN Y LA GESTIÓN DE RIESGOS?

La evaluación de riesgos comprende tres componentes básicos:

• identificación y, si es posible, estimación del peligro;
• evaluación de exposición y / o vulnerabilidad; y
• estimación del riesgo, combinando la probabilidad y la severidad.

La identificación se relaciona con el establecimiento de eventos y los resultados subsiguientes, mientras que la estimación se relaciona con la fuerza relativa del resultado. La exposición se relaciona con los aspectos de un sistema abiertos a los actores de amenazas (por ejemplo, personas, dispositivos, bases de datos), mientras que la vulnerabilidad se relaciona con los atributos de estos aspectos que podrían ser atacados (por ejemplo, susceptibilidad al engaño, fallas de hardware, exploits de software) . La estimación del riesgo puede ser cuantitativa (por ejemplo, probabilística) o cualitativa (por ejemplo, basada en escenarios) y captura el impacto esperado de los resultados. El concepto fundamental de la evaluación de riesgos es utilizar procesos analíticos y estructurados para capturar información, percepciones y evidencia que relacionan lo que está en juego, el potencial de eventos deseables e indeseables y una medida de los resultados e impactos probables. Sin esta información, no tenemos ninguna base para comprender nuestra exposición a las amenazas ni diseñar un plan para gestionarlas. Una parte del proceso de evaluación de riesgos que a menudo se pasa por alto es la evaluación de preocupaciones.

El proceso de gestión de riesgos implica la revisión de la información recopilada como parte de las evaluaciones de riesgos (y preocupaciones). Esta información forma la base de las decisiones que conducen a tres resultados para cada riesgo percibido:

• Intolerable: el aspecto del sistema en riesgo debe ser abandonado o reemplazado o, si no es posible, las vulnerabilidades deben reducirse y la exposición limitada.
• Tolerable: los riesgos se han reducido con métodos razonables y apropiados a un nivel tan bajo como razonablemente posible (ALARP) o tan bajo como razonablemente permitido (ALARA). Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de los gestores de riesgos (y en general de la empresa) por asumir riesgos.
• Aceptable: la reducción del riesgo no es necesaria y puede realizarse sin intervención. Además, el riesgo también se puede utilizar para buscar oportunidades (también conocido como «riesgo al alza»), por lo que el resultado puede ser aceptar y asumir el riesgo en lugar de reducirlo.

Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo (como se sugiere en ISO31000: 2018), incertidumbre tangible e intangible, consecuencias de la realización del riesgo (bueno o malo), apetito por el riesgo, capacidad organizacional para manejar el riesgo. etc.

Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Éstas incluyen:

• Riesgos de rutina: siguen un proceso de toma de decisiones bastante normal para la gestión. Se proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de aceptabilidad, y se implementan y hacen cumplir las medidas de reducción de riesgos. Renn da ejemplos de accidentes automovilísticos y dispositivos de seguridad.
• Riesgos complejos: cuando los riesgos son menos claros, puede ser necesario incluir un conjunto más amplio de evidencia y considerar un enfoque comparativo como el análisis de costo-beneficio o el costo-efectividad. El disenso científico, como los efectos del tratamiento con medicamentos o el cambio climático, son ejemplos de esto.
• Riesgos inciertos: cuando existe una falta de previsibilidad, factores como la reversibilidad, la persistencia y la ubicuidad se convierten en consideraciones útiles. Debe adoptarse un enfoque de precaución con un enfoque continuo y administrado para el desarrollo del sistema mediante el cual los efectos secundarios negativos se puedan contener y revertir. La resiliencia a resultados inciertos es clave aquí.
• Riesgos ambiguos: cuando las partes interesadas más amplias, como el personal operativo o la sociedad civil, interpretan el riesgo de manera diferente (por ejemplo, existen diferentes puntos de vista o falta de acuerdo sobre los controles de gestión), la gestión de riesgos debe abordar las causas de las diferentes opiniones. Renn utiliza el ejemplo de los alimentos modificados genéticamente en los que las preocupaciones por el bienestar entran en conflicto con las opciones de sostenibilidad. En este caso, la gestión de riesgos debe permitir la toma de decisiones participativa, con medidas discursivas destinadas a reducir la ambigüedad a una serie de opciones manejables que pueden evaluarse y evaluarse más a fondo.

Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo (análisis de riesgo-beneficio u opciones comparativas), un enfoque basado en la resiliencia (donde se acepta que el riesgo probablemente permanecerá pero debe ser contenido, por ejemplo, utilizando los principios ALARA / ALARP), o un enfoque basado en el discurso (incluida la comunicación de riesgos y la resolución de conflictos para hacer frente a las ambigüedades). Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo apropiado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados indeseables.

La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición de trabajo del riesgo se basa en las consecuencias de interés para las personas, nosotros (como sociedad) no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo temible (por ejemplo, accidentes nucleares) son clasificadas como de mayor riesgo por los profanos, pero mucho más bajas por los expertos en el dominio que comprenden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como las muertes, mientras que los laicos están más influenciados por su juicio intuitivo (un accidente nuclear podría afectar a toda mi familia). Por tanto, existe un desajuste entre el riesgo percibido y el real. Como personas, tendemos a exagerar los riesgos raros relacionados con el miedo (por ejemplo, incidentes nucleares y ataques terroristas), pero minimizamos los comunes (por ejemplo, delitos callejeros y accidentes en el hogar), aunque estos últimos matan a muchas más personas.

Esta es también la razón por la que la evaluación de preocupaciones es importante en el proceso de gestión de riesgos junto con la evaluación de riesgos. El libro de Schneier Beyond Fear señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. Por ejemplo, nos sentimos seguros caminando por una calle al lado de nuestra casa pero nerviosos al llegar a una nueva ciudad. Como sociedad, rara vez estudiamos estadísticas al tomar decisiones; se basan en las percepciones de exposición a amenazas, nuestro control percibido sobre las amenazas y su posible impacto. La evaluación de riesgos nos ayuda a captar aspectos cuantitativos y cualitativos del mundo que nos permiten hacer una estimación realista de la certeza que podemos tener de que los eventos adversos se producirán y cómo afectarán a lo que más valoramos. Esto se aplica a nosotros personalmente como individuos y como grupos de personas con un objetivo común: salvar el planeta, administrar un negocio o educar a los niños. Necesitamos capturar nuestros objetivos, comprender qué podría conducir al fracaso en alcanzarlos y poner en marcha procesos para alinear medidas realistas para reducir los daños infligidos a nuestros objetivos.

Cuando se hace bien, la evaluación y gestión de riesgos permite a los tomadores de decisiones, que son responsables, garantizar que el sistema funcione para lograr las metas deseadas definidas por sus partes interesadas. También puede garantizar que el sistema no sea manipulado (intencionalmente o de otro modo) para producir resultados no deseados, así como tener procesos implementados que minimicen el impacto en caso de que se produzcan resultados no deseados. La evaluación y gestión de riesgos también consiste en presentar información de una manera transparente, comprensible y de fácil interpretación a diferentes audiencias, de modo que las partes interesadas responsables sean conscientes de los riesgos, cómo se están gestionando, quién es responsable de gestionarlos y están de acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los tomadores de decisiones (ya sean técnicos, sociales, económicos o de otro tipo), se pasará por alto el impacto de no gestionarlos y el sistema seguirá expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos del riesgo, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto. En términos más generales, si no se escuchan las preocupaciones más amplias de las partes interesadas (por ejemplo, la sociedad civil) o si hay falta de confianza en el plan de gestión de riesgos, podría haber un rechazo generalizado del sistema planificado que se propone.

Tan importante como es transmitir los riesgos claramente a las partes interesadas, es igualmente importante enfatizar que los riesgos no siempre se pueden eliminar. Es probable que exista algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los tomadores de decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que las partes interesadas más amplias, como las que participan en las operaciones del sistema, tengan opiniones diferentes sobre cómo gestionar el riesgo, dado que es probable que tengan valores diferentes que están tratando de proteger. Para algunos, ahorrar dinero será clave. Para otros, la reputación es el foco principal. Para las personas que trabajan dentro del sistema, puede ser la velocidad del proceso o la facilidad para realizar las tareas diarias. El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se tomen decisiones para minimizar los riesgos a un conjunto de valores acordados, gestionándolos de forma adecuada, mientras maximizar la «aceptación» del proceso de gestión de riesgos. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP (tan bajo como sea razonablemente posible), pudiendo demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo. , a favor de la seguridad y la protección. Nuevamente, es importante destacar aquí que la evaluación de inquietudes es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos (el enfoque acordado para la evaluación de riesgos) sea informada por los responsables y afectados por el riesgo, y aquellos que deben actuar de una manera que respete el plan de gestión del día a día. Fundamentalmente, debe reconocerse que el impacto de eventos individuales a menudo puede extenderse más allá de los daños directos y extenderse mucho más a las cadenas de suministro. Como dice Slovic, los resultados de un evento actúan como ondas de una piedra que cae en un estanque, primero directamente dentro de la empresa o sistema en el que ocurrió, y luego en subsistemas y empresas y componentes interdependientes.

Uno de los principales impulsores de la evaluación y gestión de riesgos es demostrar el cumplimiento. Esto puede ser el resultado de la necesidad de contar con la aprobación de cumplimiento auditada de organismos de estándares internacionales es con el fin de obtener contratos comerciales; para cumplir con las exigencias legales o reglamentarias (por ejemplo, en Europa, la directiva sobre redes y sistemas de información (NIS) exige que los operadores de servicios esenciales (como la infraestructura nacional crítica) sigan un conjunto de 14 principios orientados a objetivos); o para mejorar la comerciabilidad de una empresa a través de mejoras percibidas en la confianza pública si se obtiene la certificación. A veces, esto puede llevar a una evaluación de riesgos de «casillas de verificación» en la que el resultado se centra menos en la gestión del riesgo y más en lograr el cumplimiento. Esto puede resultar en una falsa sensación de seguridad y dejar a la organización expuesta a riesgos. Esto nos devuelve a la definición práctica de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de incumplimiento de varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizativas, sociales o económicas más amplias. El contexto y el alcance de la gestión de riesgos deben tener esta visión más amplia de los resultados para que sea un ejercicio útil y valioso que mejore la preparación y la resistencia a los resultados adversos.

Con base en estos factores, la evaluación y gestión de riesgos es ciertamente un proceso, no un producto. Es algo que, cuando se hace bien, tiene el potencial de mejorar significativamente la resiliencia de un sistema. Cuando se hace mal (o no se hace en absoluto), puede generar confusión, daño a la reputación y un impacto grave en la funcionalidad del sistema. Es un proceso que a veces se percibe como poco importante antes de que uno lo necesite, pero crítico para la continuidad del negocio en tiempos de crisis. A lo largo del proceso de evaluación del riesgo, debemos ser conscientes de que la percepción del riesgo varía significativamente en función de una variedad de factores y que, a pesar de la evidencia objetiva, no cambiará. Para usar un ejemplo de proporcionar evidencia de que el riesgo anual de vivir cerca de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción de riesgo dado las diferencias en torno a la percepción general de los diferentes escenarios. Intuitivamente, la comunicación y el respeto por las medidas cualitativas y cuantitativas de la evaluación de riesgos son fundamentales para su práctica. Ambas medidas muestran ambigüedad (por ejemplo) y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto. Siempre será necesario un juicio humano subjetivo para determinar la relevancia y los planes de gestión, lo que en sí mismo tiene sus propias limitaciones, como la falta de conocimiento experto y el sesgo cognitivo.

ISO/IEC 31000:2018: 6.7. REGISTRO E INFORME

El proceso de la gestión del riesgo y sus resultados se deberían documentar e informar a través de los mecanismos apropiados. El registro e informe pretenden:

• comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la organización;
• proporcionar información para la toma de decisiones;
• mejorar las actividades de la gestión del riesgo;
• asistir la interacción con las partes interesadas, incluyendo a las personas que tienen la responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del riesgo.

Las decisiones con respecto a la creación, conservación y tratamiento de la información documentada deberían tener en cuenta, pero no limitarse a su uso, la sensibilidad de la información y los contextos externo e interno.

El informe es una parte integral de la gobernanza de la organización y debería mejorar la calidad del diálogo con las partes interesadas, y apoyar a la alta dirección y a los órganos de supervisión a cumplir sus responsabilidades. Los factores a considerar en el informe incluyen, pero no se limitan a:

• las diferentes partes interesadas, sus necesidades y requisitos específicos de información;
• el costo, la frecuencia y los tiempos del informe;
• el método del informe;
• la pertinencia de la información con respecto a los objetivos de la organización y la toma de decisiones.

ISO/IEC 31000:2018: 6.6. SEGUIMIENTO Y REVISIÓN

El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación.

Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.

ISO/IEC 31000:2018: 6.5. TRATAMIENTO DEL RIESGO

El propósito del tratamiento del riesgo es seleccionar e implementar opciones para abordar el riesgo. El tratamiento del riesgo implica un proceso iterativo de:

• formular y seleccionar opciones para el tratamiento del riesgo;
• planificar e implementar el tratamiento del riesgo;
• evaluar la eficacia de ese tratamiento;
• decidir si el riesgo residual es aceptable;
• si no es aceptable, efectuar tratamiento adicional.

Selección de las opciones para el tratamiento del riesgo

La selección de las opciones más apropiadas para el tratamiento del riesgo implica hacer un balance entre los beneficios potenciales, derivados del logro de los objetivos contra costos, esfuerzo o desventajas de la implementación.

Las opciones de tratamiento del riesgo no necesariamente son mutuamente excluyentes o apropiadas en todas las circunstancias. Las opciones para tratar el riesgo pueden implicar una o más de las siguientes:

• evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
• aceptar o aumentar el riesgo en busca de una oportunidad;
• eliminar la fuente de riesgo;
• modificar la probabilidad;
• modificar las consecuencias;
• compartir el riesgo (por ejemplo: a través de contratos, compra de seguros);
• retener el riesgo con base en una decisión informada.

La justificación para el tratamiento del riesgo es más amplia que las simples consideraciones económicas y debería tener en cuenta todas las obligaciones de la organización, los compromisos voluntarios y los puntos de vista de las partes interesadas. La selección de las opciones para el tratamiento del riesgo debería realizarse de acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos disponibles.

Al seleccionar opciones para el tratamiento del riesgo, la organización debería considerar los valores, las percepciones, el involucrar potencialmente a las partes interesadas y los medios más apropiados para comunicarse con ellas y consultarlas. A igual eficacia, algunas partes interesadas pueden aceptar mejor que otras los diferentes tratamientos del riesgo.

Los tratamientos del riesgo, a pesar de un cuidadoso diseño e implementación, pueden no producir los resultados esperados y puede producir consecuencias no previstas. El seguimiento y la revisión necesitan ser parte integral de la implementación del tratamiento del riesgo para asegurar que las distintas maneras del tratamiento sean y permanezcan eficaces.

El tratamiento del riesgo a su vez puede introducir nuevos riesgos que necesiten gestionarse.

Si no hay opciones disponibles para el tratamiento o si las opciones para el tratamiento no modifican suficientemente el riesgo, éste se debería registrar y mantener en continua revisión.

Las personas que toman decisiones y otras partes interesadas deberían ser conscientes de la naturaleza y el nivel del riesgo residual después del tratamiento del riesgo. El riesgo residual se debería documentar y ser objeto de seguimiento, revisión y, cuando sea apropiado, de tratamiento adicional.

Preparación e implementación de los planes de tratamiento del riesgo

El propósito de los planes de tratamiento del riesgo es especificar la manera en la que se implementarán las opciones elegidas para el tratamiento, de manera tal que los involucrados comprendan las disposiciones, y que pueda realizarse el seguimiento del avance respecto de lo planificado. El plan de tratamiento debería identificar claramente el orden en el cual el tratamiento del riesgo se debería implementar.

Los planes de tratamiento deberían integrarse en los planes y procesos de la gestión de la organización, en consulta con las partes interesadas apropiadas.

La información proporcionada en el plan del tratamiento debería incluir:

• el fundamento de la selección de las opciones para el tratamiento, incluyendo los beneficios esperados;
• las personas que rinden cuentas y aquellas responsables de la aprobación e implementación del plan;
• las acciones propuestas;
• los recursos necesarios, incluyendo las contingencias;
• las medidas del desempeño;
• las restricciones;
• los informes y seguimiento requeridos;
• los plazos previstos para la realización y la finalización de las acciones.

ISO/IEC 31000:2018: 6.4. EVALUACIÓN DEL RIESGO

La evaluación del riesgo es el proceso global de identificación del riesgo, análisis del riesgo y valoración del riesgo.

La evaluación del riesgo se debería llevar a cabo de manera sistemática, iterativa y colaborativa, basándose en el conocimiento y los puntos de vista de las partes interesadas. Se debería utilizar la mejor información disponible, complementada por investigación adicional, si fuese necesario.

Identificación del riesgo

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

La organización puede utilizar un rango de técnicas para identificar incertidumbres que pueden afectar a uno o varios objetivos. Se deberían considerar los factores siguientes y la relación entre estos factores:

• las fuentes de riesgo tangibles e intangibles;
• las causas y los eventos;
• las amenazas y las oportunidades;
• las vulnerabilidades y las capacidades;
• los cambios en los contextos externo e interno;
• los indicadores de riesgos emergentes;
• la naturaleza y el valor de los activos y los recursos;
• las consecuencias y sus impactos en los objetivos;
• las limitaciones de conocimiento y la confiabilidad de la información;
• los factores relacionados con el tiempo;
• los sesgos, los supuestos y las creencias de las personas involucradas.

La organización debería identificar los riesgos, tanto si sus fuentes están o no bajo su control. Se debería considerar que puede haber más de un tipo de resultado, que puede dar lugar a una variedad de consecuencias tangibles o intangibles.

Análisis del riesgo

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo. El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles. Las técnicas de análisis pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.

El análisis del riesgo debería considerar factores tales como:

• la probabilidad de los eventos y de las consecuencias;
• la naturaleza y la magnitud de las consecuencias;
• la complejidad y la interconexión;
• los factores relacionados con el tiempo y la volatilidad;
• la eficacia de los controles existentes;
• los niveles de sensibilidad y de confianza.

El análisis del riesgo puede estar influenciado por cualquier divergencia de opiniones, sesgos, percepciones del riesgo y juicios. Las influencias adicionales son la calidad de la información utilizada, los supuestos y las exclusiones establecidos, cualquier limitación de las técnicas y cómo se ejecutan éstas. Estas influencias se deberían considerar, documentar y comunicar a las personas que toman decisiones.

Los eventos de alta incertidumbre pueden ser difíciles de cuantificar. Esto puede ser una cuestión importante cuando se analizan eventos con consecuencias severas. En tales casos, el uso de una combinación de técnicas generalmente proporciona una visión más amplia.

El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las decisiones sobre la manera de tratar los riesgos y si es necesario hacerlo y sobre la estrategia y los métodos más apropiados de tratamiento del riesgo. Los resultados proporcionan un entendimiento profundo para tomar decisiones, cuando se está eligiendo entre distintas alternativas, y las opciones implican diferentes tipos y niveles de riesgo.

Valoración del riesgo

El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional. Esto puede conducir a una decisión de:

• no hacer nada más;
• considerar opciones para el tratamiento del riesgo;
• realizar un análisis adicional para comprender mejor el riesgo;
• mantener los controles existentes;
• reconsiderar los objetivos.

Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y percibidas por las partes interesadas externas e internas.

Los resultados de la valoración del riesgo se deberían registrar, comunicar y luego validar a los niveles apropiados de la organización.

ISO/IEC 31000:2018: 6.3. ALCANCE, CONTEXTO Y CRITERIOS

El propósito del establecimiento del alcance, contexto y criterios es adaptar el proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, el contexto y los criterios implican definir el alcance del proceso, y comprender los contextos externo e interno.

Definición del alcance

La organización debería definir el alcance de sus actividades de gestión del riesgo.

Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos (por ejemplo: estratégico, operacional, de programa, de proyecto u otras actividades), es importante tener claro el alcance considerado, los objetivos pertinentes a considerar y su alineamiento con los objetivos de la organización.

En la planificación del enfoque se incluyen las siguientes consideraciones:

• los objetivos y las decisiones que se necesitan tomar;
• los resultados esperados de las etapas a ejecutar en el proceso;
• el tiempo, la ubicación, las inclusiones y las exclusiones especificas;
• las herramientas y las técnicas apropiadas de evaluación del riesgo;
• los recursos requeridos, responsabilidades y registros a conservar;
• las relaciones con otros proyectos, procesos y actividades.

Contextos externo e interno

Los contextos externo e interno son el entorno en el cual la organización busca definir y lograr sus objetivos.

El contexto del proceso de la gestión del riesgo se debería establecer a partir de la comprensión de los entornos externo e interno en los cuales opera la organización y debería reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso de la gestión del riesgo.

La comprensión del contexto es importante porque:

• la gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la organización;
• los factores organizacionales pueden ser una fuente de riesgo;
• el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado con los objetivos de la organización como un todo;

La organización debería establecer los contextos externo e interno del proceso de la gestión del riesgo considerando los factores mencionados en 5.4.1.

Definición de los criterios del riesgo

La organización debería precisar la cantidad y el tipo de riesgo que puede o no puede tomar, con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones. Los criterios del riesgo se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada. Los criterios del riesgo deberían reflejar los valores, objetivos y recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la gestión del riesgo. Los criterios se deberían definir teniendo en consideración las obligaciones de la organización y los puntos de vista de sus partes interesadas.

Aunque los criterios del riesgo se deberían establecer al principio del proceso de la evaluación del riesgo, éstos son dinámicos, y deberían revisarse continuamente y si fuese necesario, modificarse.

Para establecer los criterios del riesgo, se debería considerar lo siguiente:

• la naturaleza y los tipos de las incertidumbres que pueden afectar a los resultados y objetivos (tanto tangibles como intangibles);
• cómo se van a definir y medir las consecuencias (tanto positivas como negativas) y la probabilidad;
• los factores relacionados con el tiempo;
• la coherencia en el uso de las mediciones;
• cómo se va a determinar el nivel de riesgo;
• cómo se tendrán en cuenta las combinaciones y las secuencias de múltiples riesgos;
• la capacidad de la organización.