Be Agile, be Secure (1 de 3)

[ entrada elaborada por D. Mario López de Ávila Muñoz, socio director de NODOS y D. Antonio Ramos García, socio director de N+1 Intelligence and Research, bio ]

Abstract
En ámbitos complejos, caracterizados por una elevada incertidumbre, la gestión de riesgos tradicional con enfoques predictivos, no es sólo inefectiva, sino que a menudo aumenta el riesgo en las organizaciones que la emplean. Basamos esta afirmación en evidencias científicas procedentes de disciplinas como la Behavioral Economics o la Psicología Cognitiva, así como en nuestra propia experiencia, que se extiende a casi dos décadas, trabajando en el ámbito de la Seguridad de la Información.

En este tipo de situaciones, los enfoques más efectivos son los denominados adaptativos, que permiten el desarrollo en el sistema de una cualidad que denominamos ‘Resiliencia’. La resiliencia se puede definir como la capacidad de un sistema para ‘absorber’ perturbaciones y adaptarse de modo que su función, estructura e identidad permanecen esencialmente intactos. Dicho de otra manera, los enfoques adaptativos contribuyen al desarrollo de sistemas más robustos, capaces de manejar mejor los impactos que reciben y sus consecuencias.

Los equipos y organizaciones que se mueven en ámbitos complejos deben adoptar prácticas que les ayuden a ser más ‘resilientes’, esto es, que les preparen para detectar de forma temprana, atajar y minimizar cualquier riesgo que se les presente, así como para recuperarse en el menor tiempo posible, al menor coste posible, de cualquier impacto negativo y, por último, para convertir cualquier contratiempo en una fuente de nuevas oportunidades. Un ejemplo de este tipo de enfoques, empleados con espectacular éxito en el ámbito del desarrollo del software y, en general, de la gestión del desarrollo de productos complejos, son las denominadas metodologías Agile, como puedan ser Scrum, Extremme Programming o Crystal. En nuestra opinión, la Seguridad de la Información puede verse beneficiada del estudio y adaptación de estas y similares metodologías, así como de los valores y principios que las inspiran.

Artículo
Cualquiera de nosotros podría citar de memoria, con tan sólo variaciones de menor entidad, cuáles son los pasos básicos en una gestión efectiva de los riesgos. En primer lugar, es necesario identificar de manera sistemática las amenazas que pudieran afectar a nuestro proyecto u organización. A continuación, trataremos de establecer un orden o prioridad en esas amenazas identificadas, centrando nuestra atención en aquellas más preocupantes. Este paso normalmente implica estimar la probabilidad de ocurrencia así como la magnitud de las consecuencias o impacto de cada uno de las amenazas identificadas. De esta manera, podemos determinar qué amenazas llevan implícita un mayor nivel de riesgo. Para dar respuesta a esos riesgos desarrollaremos planes para reducir los de mayor gravedad y/o minimizar el daño potencial. Estos planes pueden llegar a ser muy detallados, establecer hitos con los que podemos medir nuestro progreso, así como establecer indicadores que nos alertarán de cualquier peligro inminente. Por supuesto. el plan por sí solo no nos ayudará, debe ser correctamente implantado. Por último, es necesario hacer un seguimiento cercano de las actividades recogidas en el plan, para comprobar si éste está siendo efectivo. Si algo empieza a ir mal, aumentaremos la vigilancia. Y si aparecen nuevos riesgos, volveremos a empezar el ciclo.

Estamos tan acostumbrados a trabajar de esta manera que rara vez nos paramos a pensar que éste es solo uno de los posibles enfoques desarrollados por la humanidad para manejar el Riesgo. Llamamos a este enfoque ‘Priorizar – Reducir’, puesto que estas son las actividades clave en el proceso. Este es un enfoque que ha dado buenos frutos durante décadas en ámbitos tan distintos, como la seguridad en construcción y obra civil, como en entornos industriales. Es también el enfoque imperante en Seguridad de la Información hoy en día, ejemplarizado en instrumentos tales como el Software Risk Evaluation (SER) v2.0 del Software Engineering Institute o la familia de normas ISO/IEC 2700x. Ahora bien, ‘Priorizar – Reducir’ sólo puede ser efectivo si se dan determinadas circunstancias. En primer lugar, debemos ser capaces de identificar todas las amenazas. Puede parecer obvio, pero esto no es tan fácil si te mueves en un ámbito tan complejo y dinámico como el de las tecnologías de la información. Con cada avance técnico surgen nuevas amenazas y el ritmo de la innovación, especialmente en la última década, es sencillamente asombroso. Nos quedamos sin referencias: los registros, el histórico de incidentes, pierde rápidamente su utilidad y continuamente nos enfrentamos a amenazas que no sólo no preveíamos, sino que tan sólo unos meses atrás eramos incapaces de imaginar. De hecho, cuando analizas proyectos fallidos, los elementos de riesgo más devastadores resultan ser a menudo cosas en las que nadie pensaba o podía imaginar.

Lo cierto es que ‘Priorizar – Reducir’ tiene sentido, sobre todo, cuando nos movemos en ámbitos conocidos, poco complicados o simples, pero cuando debemos abordar un proyecto o trabajar un sistema en el que no hemos trabajado nunca, del que no existen experiencias previas, ¿cómo es de esperar que sea nuestro desempeño al tratar de anticipar todos los riesgos? La respuesta es que nuestro desempeño será, en el mejor de los casos, muy pobre. Hay multitud de experiencias que demuestran una y otra vez que haríamos bien en desechar la ilusión de que podemos identificar riesgos en condiciones de novedad, complejidad y dinamismo. No podemos ver el futuro, no podemos prever o identificar riesgos y no podemos manejar lo que no podemos ver o comprender. Es más, los trucos que hemos ido desarrollando a partir de nuestra experiencia pasada probablemente sirvan de poco en el futuro cercano.

(continuará)

Esta entrada fue publicada en Artículo y etiquetada , , , . Guarda el enlace permanente.

Una respuesta a Be Agile, be Secure (1 de 3)

  1. Pingback: Be Agile, be Secure (2 de 3) | La respuesta a tus preguntas sobre Internet y las tecnologías

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s