Esta no es un lectura para principiantes. La gestión de riesgos es uno de los temas más delicados en el ambiente actual de la ciberseguridad y de él se desprenden decenas de anécdotas, opiniones y teorías, pero la “Guía práctica para la gestión de riesgos en la era de ciberseguridad”, el más reciente libro del experto Pablo Corona Fraga, se aleja de lo abstracto para centrarse en el qué, el cómo y el por qué: un manual detallado para quien quiera dominar todos los aspectos del riesgo en el mundo de las tecnologías de la información.
El autor cuenta con las credenciales para hablar con soltura del tema y se nota. Director general en NYCE Sociedad Internacional de Gestion y Evaluación, Vice-Convenor del grupo de trabajo de ISO que elabora las normas de la familia 27001 a nivel internacional, y vicepresidente de ciberseguridad en la Asociación de Internet MX, entre varias otras funciones. Corona sin embargo no se apoya en títulos ni improvisación para tratar el tema de la gestión de riesgos. Las más de 120 páginas del libro destacan por una exhaustiva investigación, que abarca más de 60 fuentes distintas y diversos contrastes.
A pesar de su título, el libro no pretende en ningún momento tener las llaves del reino de la gestión de riesgos: sus argumentos están la mayoría de las veces fundamentados en detallar y comparar herramientas y metodologías disponibles, para destacar luego sus principales características y a qué tipo de proyecto empresarial podrían entregar el éxito. Este punto se refuerza en la preocupación que Corona tiene por que sus conceptos queden claros. El libro inicia con un recorrido por todas las definiciones necesarias para aprovechar la lectura, para luego adentrarse en una exploración de las metodologías de gestión de riesgo existentes, sus complejidades y problemas; recién ahí es que el autor comienza a tejer su propuesta de un nuevo modelo posible de gestión de riesgo, tarea con tantas aristas que finalizará recién en las últimas páginas de la publicación.
“La gestión de riesgos es algo que hacemos todos los días, por ejemplo, al salir a la calle a comer, para encontrar o mantener un trabajo o al decidir qué ruta tomar hacia algún lugar. Sin embargo, cuando se trata de establecer modelos o métodos para hacer esta gestión de riesgos de manera formal y consistente se han utilizado varias aproximaciones que, en mi experiencia, no siempre llevan a resultados que ayuden a las organizaciones a cumplir con sus objetivos, detectar y atender las amenazas que ponen en peligro su negocio o actividades”, explica Corona recién iniciado el texto. “En muchas ocasiones la gestión de riesgos es vista sólo como uno más de los requisitos normativos o regulatorios que hay que cumplir, pero no aporta mayor valor”. Ese es uno de los conceptos que parecen atravesar el libro: no se le está dando a la gestión de riesgos el lugar protagónico que requiere en la administración IT y su rol en el crecimiento del negocio.
Apostar a ganador
De acuerdo con Corona, cuando se pregunta cuál es el objetivo de hacer gestión de riesgos las respuestas comunes van en la línea de “asignar un valor a los riesgos” o en el peor de los casos “cumplir con un requisito de auditoría”, cuando en realidad la finalidad es atender los riesgos de alguna manera que permita seguir alcanzando los objetivos de la organización, y que su tratamiento no sea mayor al beneficio obtenido por el cumplimiento de esos objetivos.
Esa dualidad del concepto de riesgo —que implica tanto la posibilidad de perder como la de ganar—, ha sido subestimada por el mundo corporativo en muchas ocasiones y la consecuencia ha sido limitar el “riesgo” a aquel evento con consecuencias indeseables: se separa de las oportunidades que resultan de correrlo.
“El objetivo de la gestión de riesgos es identificar las formas en las que manejaremos esos riesgos para perseguir las oportunidades; de este modo debemos analizar cada habilitador de negocio con respecto a su beneficio y así evaluar las consecuencias negativas que pudieran derivarse de su uso o aplicación, para reducir sus efectos o disminuir la posibilidad de que ocurran”, explica el autor.
La gestión de riesgos, en opinión de Corona, debe darles tratamiento, reducirlos, transferirlos o compartirlos, aceptarlos o evitarlos, y para ello lo importante es hallar la información que permita identificar el tipo de controles que se necesitan, en dónde son requeridos y qué tanto esfuerzo (cuántos recursos) se asignará a su implementación, monitoreo y seguimiento, y a esos elementos es que el libro dedica gran parte de su exposición.
Las consecuencias de no hacerlo o de hacerlo por mera costumbre pueden ser muy perjudiciales, en especial si se considera que la seguridad de la información hoy en día es un tema que colinda con muchos aspectos de la vida humana, pero son especialmente urgentes para las organizaciones. “Si la valoración de riesgos realizada no ayuda a responder las preguntas clave y los controles son definidos más por la experiencia de un especialista, por seguir una lista de controles definida en una buena práctica o por la corazonada de alguien, entonces, si bien podría tener una una estrategia de seguridad más o menos completa, se habrá desperdiciado el tiempo dedicado a realizar ese análisis de riesgos”.
Sin adentrarse en las profundidades que el libro recorre, es destacable su aproximación didáctica y esquemática a lo complejo del tema. La “Guía Práctica para la gestión de riesgos en la era de la ciberseguridad” cuenta con todo el material necesario para transformarse en un libro indispensable en la biblioteca de cualquier experto (o futuro experto) en tecnologías de la información y ciberseguridad.
El libro está actualmente disponible en Amazon y cuenta con los formatos digital y físico.
