El análisis y la gestión del riesgo puede ser entendida de forma sencilla usando la fábula de "Los tres cerditos". No lo voy a contar porque es de sobra conocido pero resumido brevemente la historia va de tres cerditos que toman decisiones diferentes para protegerse del lobo. Del cuento original podemos extraer dos sencillas pero importantes lecciones:
- La seguridad final será acorde al esfuerzo dedicado y al análisis de amenazas realizado: Los tres cerditos tenían que defenderse de la misma amenaza pero los dos primeros subestimaron las posibilidades de que el lobo produjera daños en su construcción y las consecuencias de ello. No habrían arriesgado sus vidas seguramente si hubieran contado con los datos correctos.
- Las medidas deben ser proporcionales al problema a evitar: Los dos primeros cerditos tenían que haberse planteado cual era la fortaleza real de las medidas de protección y qué severidad de daños podían soportar. Un arquitecto de la seguridad debe conocer hasta dónde pueden aguantar sus protecciones e identificar en qué situaciones las medidas no van a resistir para disponer de un plan B que aunque no evite que la casa de derrumbe, al menos no haga correr peligro a su vida. Esperar la mejor de las circunstancias pero estar preparados para lo peor.
El ritmo asfixiante de trabajo en las empresas lleva casi siempre a atender las necesidades operativas de la organización y retrasa o posterga las actividades relacionadas con construir la casa con ladrillos. Se prefieren casas de paja o de madera que proporcionan una buena "sensación de seguridad". La valoración de la eficacia de una medida se demuestra cuando resiste un incidente. Lo lógico sería verificar esa capacidad de resistencia cuando ya se ha construido y no esperar a que ocurra algo que nos demuestre si lo habíamos hecho bien o no. Es entonces cuando las casas de paja y madera se derrumban y dejan a los cerditos que hay dentro a la suerte del destino.
Las amenazas no entienden de justificaciones o escusas y tampoco llaman a la puerta cuando van a presentarse. Por tanto, la mejor estrategia es tratar de tener unas minimas garantías de protección y unas mínimas evidencias de su correcta resistencia antes de que la vida real se encargue de verificarlo.
Moraleja de seguridad de la información: "El trabajo planificado y bien hecho, junto con el talento para diagnosticar bien el escenario holístico de amenazas es una garantía de seguridad efectiva y real". Quien no hace nada ya está haciendo algo, ha tomado una decisión respecto a cómo gestiona el riesgo que ante la adversidad solo tiene un consuelo: el lamento y el lloro.
3 comentarios:
Excelente Analogia. De hecho hasta podrias hablar de ingenieria social cuando el lobo se disfraza o del hecho de que el 3er cerdito nunca se puso a tocar un instrumento mientras trabajaba haciendo referencia al tiempo que pierden muchos usuarios usando redes sociales u otro entretenimiento.
Un saludo...
Genial el artículo, gracias por compartirlo.
Que buenos recuerdos el video... Imposible no verlo ahora según el enfoque que le das.
Incluso se puede extraer más analogias. Como los cerditos A y B saben que el C está contruyendo la casa de ladrillo, no se molestan mucho en las suyas. Si vienen maldadas ya nos refugiaremos, como de hecho hacen, en su casa. Ese es su plan B. De hecho, en esta crisis, algunas empresas en su actividad han actuado asi: Asumimos riesgos suicidas y ya estará papa-estado o el fondo de garantia X para cobijarnos.
Lo malo es cuando esta mentalidad se extiende a la información, donde poca escapatoria o refugio tienes.
Para que el cuento fuera redondo no deberia acabar con los tres cantando sino con el cerdito paleta tocando el piano y los otros dos currando como chinos limpiando la casa.
Publicar un comentario