¿Cómo mejorar en la gestión del riesgo?
Este artículo se centra especialmente en la Ciberseguridad, pero es perfectamente aplicable, en sus premisas, a cualquier sector donde la gestión del riesgo sea un elemento esencial en la estrategia.
Reflexiones iniciales
No sé si decir que he tenido la fortuna (o la desgracia) de haber participado en distintos proyectos donde la gestión del riesgo era una parte importante. Desde el ciclo de vida de proyectos en diferentes ámbitos, a grandes proyectos de transformación, planes directores o evaluaciones de amenaza.
El cómo se gestiona gobierno de estos proyectos siempre es el punto más importante: un proyecto mal gobernado, suele ser un desastre. Es extremadamente importante la gobernanza: noten aquí la sutileza en diferenciar gobierno de gobernanza. Volveremos sobre ello.
En todos ellos he observado distintos problemas que voy a resumir en el siguiente listado:
- Inventario de lo que es relevante: en ocasiones confuso, en ocasiones imposible de completar (en mi opinión, un agujero sin fondo de gasto).
- Listados de amenazas sin sentido: donde se presta atención a cosas que no tienen relevancia y otras, con un impacto potencial terrible, se obvian.
- Probabilidades sesgadas o directamente falsas: es cuestionable que alguien tenga datos de probabilidad que sean reales. Y más cuestionables todavía las valoraciones de probabilidad sesgadas para reducir el riesgo aparente de una amenaza.