InfoSecMan Blog

Hoy me ha llegado. Lo estaba esperando, la verdad, con ganas e impaciencia. Esta tarde recibí el mensaje comunicándome que desde hoy tenía la certificación CGEIT (Certified in Governance of Enterprise IT).

Esta certificación culmina un pequeño reto que hace un año nos planteábamos mi gran amigo Nacho y yo: conseguir las certificaciones de ISACA en el periodo de tiempo más corto posible.

Hasta ese momento habíamos orientado inicialmente nuestras certificaciones a los temas más técnicos (probablemente a causa del mercado del que procedíamos), primero con certificaciones de fabricantes, y más tarde viendo claramente la ventaja de las certificaciones independientes, comenzando hace unos años ya con la hoy famosa ISO 27001 (en aquel entonces BS7799) y “emigrando” a obtener el Lead Auditor en tierras anglosajonas, al igual que las de SANS Institute (GIAC) orientadas a auditoría (GSNA, GIAC Systems & Network Auditor, GAWN, GIAC Assessing Wireless Networks, o SSP-GHP, Stay Sharp Google Hacking & Defence).

Siguiendo esa evolución vimos como una opción clara la certificación CISSP (Certified Information Systems Security Professional) por ser muy completa, de alto nivel y muy valorada internacionalmente. Nacho continuó con CEH (Certified Ethical Hacker) y a mí me picó la “curiosidad” 😉 de la Continuidad de Negocio, obteniendo el título de BS25999 Lead Auditor.

Fue en ese momento (Febrero de 2008) cuando nos planteamos el objetivo de conseguir CISA y CISM de inmediato (y ya por el camino, surgió CGEIT). Puesto que no es posible presentarse a ambos exámenes en la misma convocatoria (como bien sabréis son el mismo día, a la misma hora, en el mismo sitio), priorizamos en ese momento CISA para Junio y CISM para Diciembre… y procedimos. Aprobamos ambos en las convocatorias correspondientes y llegado el punto, ¿por qué no aplicar para el CGEIT?

El resto ya lo sabéis. Hoy veo cumplido el objetivo de hace unos meses, la verdad, con gran satisfacción… y con cierta inquietud. ¿Y ahora qué? 😛 Mi mujer y mi hija dicen que me tome un descanso, pero como me conocen ya suponen que será complicado.

Creo que parte de mis reflexiones se van leyendo por aquí y podéis ver que estoy buscando temas interesantes que desarrollar. Incluso me estoy planteando estudiar cosas totalmente distintas, como Psicología (organizacional) o algo en ese sentido… pero tengo que meditarlo y poner en la balanza lo que me aporta y lo que me cuesta (¿un análisis de riesgos? 😉 ).

En todo caso, los que mañana se encuentren conmigo (en Gijón será esta vez), saben que están invitados, al menos, a un vermouth 🙂 Para los que no coincidamos, vaya desde aquí una invitación “virtual” para la próxima vez que nos veamos.

… y… ¿con qué me recomendáis seguir?

Por cierto, ¿qué opináis de las firmas “egocéntricas” (como este post 😉 ) como la siguiente y que se ven tanto en foros internacionales? (a mí me parecen totalmente fuera de lugar 😛 )

Samuel Linares
CGEIT, CISA, CISM, CISSP, BS25999 & BS7799 Lead Auditor, GSNA, GAWN, SSP-GHD, CNE, CNA, JNCIA-FW, CCSA, CCSE, SCNA, SCSA, Experto Universitario en Protección de Datos…

Siempre he preferido este otro tipo:

SL 🙂

(los galones mejor que nos los pongan otros, no nosotros mismos) 😉

El concepto de Interim Management no es algo realmente novedoso en el mercado, ya que se lleva utilizando en todo el mundo  con cierto éxito especialmente  en las áreas de gestión. Como su nombre indica, se trata de “Directivos Interinos”, esto es,  profesionales de muy alto nivel de cualificación y muchos años de experiencia que prestan sus servicios a compañías que, debido a una situación excepcional (por ejemplo por importantes cambios en la misma, nuevos retos o estrategias en la organización, relevo de la dirección en algún área o necesidad de conocimiento y experiencia muy avanzada, no existente dentro de la compañía), necesitan temporalmente de la figura de un directivo (por perfil y capacidades de liderazgo, experiencia, etc.) experto que gestione esos cambios de la forma más eficiente y sea capaz de transferir ese conocimiento y experiencia en esa área a personal directivo local a la organización, llegando incluso a “mentorizar” ese personal en algunos casos durante determinados periodos de tiempo.

Este tipo de servicio es especialmente interesante en situaciones donde deba manejarse adecuadamente la gestión del cambio, donde los directivos o gestores existentes carezcan de ciertas habilidades en determinadas áreas o departamentos o donde se requiera un “empuje” decisivo a un determinado departamento que, tras ser analizado, parece complicado conseguir con los recursos existentes.

En los últimos tiempos vengo asistiendo en determinados foros a situaciones en las que este tipo de servicio puede ser la solución a “enquistamientos” en la forma de trabajar de determinadas áreas (podemos centrarnos ahora en la de seguridad), a la promoción y puesta en valor de estas áreas y a la transferencia de conocimiento y experiencia a directivos de seguridad que, en la mayoría de los casos, el día a día frenético y la búsqueda de obtención de resultados a corto plazo, no les permite elaborar y abordar una visión estratégica que se alinee a medio y largo plazo con los requisitos del negocio (en muchos casos el árbol no nos deja ver el bosque…).

En compañías con un nivel de madurez medio/bajo en seguridad en las que es muy complicado contar con recursos destinados en exclusiva a este campo y por tanto con unos niveles de capacitación en el mismo altos y en las que habitualmente la Dirección de TI tiene que asumir simultáneamente el rol de la seguridad (quedando así relegada a un segundo plano en muchos casos), el uso de un servicio de “Dirección Interina de Seguridad” (Security Interim Management) puede aportar importantes valores a la compañía principalmente mediante la objetividad, alineación estratégica con el negocio, transferencia de conocimiento y establecimiento de procesos  adecuados que eleven el nivel de madurez de seguridad de la organización.

¿Habéis utilizado en algún momento este modelo? ¿Lo veis adecuado en determinadas situaciones?

De un post a otro, y de ése a otro blog, con unos cuantos saltos, he llegado a un par de artículos que me han dado bastante que pensar y que plantean unos conceptos extremadamente “simples” y a la vez, brillantes.

Dejadme únicamente que enumere algunos conceptos:

• Sistemas Autoregenerativos.
• Sistemas Tolerantes a Intrusiones
• Sistemas de Información “Supervivientes” y “Asegurados Orgánicamente”
• Aplicaciones de Internet Tolerantes a Fallos Accidentales y Maliciosos
• Entornos Distribuidos para Disponibilidad Perpetua de Sistemas de Información Seguros
• Supervivencia Inherente basada en Componentes
• Tolerar intrusiones a través de Reconfiguraciones de Sistemas Seguros
• …

Sí, estamos hablando de lo que se entiende por Sistemas Tolerantes a Intrusiones. Sistemas que además (o en lugar) de prevenir las intrusiones, las toleran y son capaces de lanzar o asegurar ciertas acciones o mecanismos para asegurar su correcto funcionamiento aún en el caso de haber sido comprometidos. Sencillo y brillante a la vez, ¿verdad?.

Con el poco tiempo que he echado un vistazo en Google he visto que ya se está trabajando en esta idea/concepto desde hace más de 10 años, sin embargo (quizás soy yo el ignorante), no he visto alusión a este concepto ni en productos en el mercado ni aplicación del mismo en soluciones de seguridad habitualmente. ¿Vosotros?

Lo más actualizado que he visto es un Workshop que se celebrará en Lisboa en Junio de este año sobre Avances Recientes en Sistemas Tolerantes a Intrusiones, donde dicen que se habrán de temas como:

* automatic recovery and response techniques
* hardware and software virtualization for IT
* leveraging social computing networks for resiliency
* threat of botnet herds and surviving them
* survivability and information assurance in the Cloud
* use of Byzantine fault-tolerant algorithms in IT
* biologically inspired defenses
* diversity and failure independence
* evaluation of IT systems
* theoretical limits of IT
* real world case studies

Insisto, me parece realmente interesante y curiosamente, he de decir que al menos despierta en mí curiosidad y novedad (lo que me alegra muchísimo, como ya sabéis los que leísteis mis reflexiones sobre si no había nada nuevo en el mercado de la seguridad hace algo más de un mes).

Si este concepto pudiese aplicarse a todos nuestros sistemas, ¿cómo cambiaría el escenario actual?. Y si lo aplicásemos a los equipos personales ¿dónde quedaría el malware, el phishing, etc.?… no hablemos ya de su aplicación en Sistemas Industriales o SCADA…

Incluyo a continuación algunos enlaces para posterior investigación. Espero que os sean de interés:

http://en.wikipedia.org/wiki/Intrusion_Tolerance (Definición en la Wikipedia)

http://www.di.fc.ul.pt/tech-reports/02-6.pdf (Artículo Introductorio muy interesante de 2002)

http://www.tolerantsystems.org/ (Recopilación de trabajos en USA. Interesante y hasta sospechoso…)

http://www.navigators.di.fc.ul.pt/it/ Introducción a la Tolerancia a Intrusiones

http://wraits09.di.fc.ul.pt/ 3rd Workshop on Recent Advances on Intrusion-Tolerant Systems

Estamos comenzando el año y como siempre, aparecen multitud de noticias sobre las “tendencias” para el nuevo ejercicio. Lo más “popular” del año pasado, el top ten de las vulnerabilidades, de los profesionales, de las empresas, de las facturaciones, etc. Lo cierto es que en algunas ocasiones no podemos evitar sentirnos como Bill Murray en la película “Atrapado en el Tiempo” en la que vivía una y otra vez el mismo día (el día de la marmota).

Más malware, más antivirus, antispam, anti-todo, más phishing, más vulnerabilidades, más parches, más dispositivos, más controles de acceso, más máquina, más velocidad… pero no siempre más innovación, especialmente en el reconocimiento del estado de nuestro mercado de la seguridad se refiere y el ofrecimiento de soluciones y servicios que sean aplicables a la gran mayoría de nuestras empresas (no solo a las más grandes).

Todos pensamos en nuevos estándares, métricas, innovación tecnológica, firma digital, Firewalls, IPS, prevención de fuga de información, etc. Son los temas habituales en congresos y encuentros de nuestra industria. Sin embargo, esto es totalmente necesario, pero no suficiente. Todos estos avances son muy adecuados y necesarios, pero aprovechables en el corto/medio plazo únicamente por una minoría de organizaciones cuyo nivel de madurez en seguridad es elevado, mientras que la gran mayoría de compañías en nuestro país adolece de las medidas más básicas de seguridad y necesitan llegar a esas cotas de forma mucho más comprensiva y paulatina.

No nos engañemos, debemos ser realistas y sobre todo, conscientes. Las necesidades y concienciación en seguridad de la mayoría de las compañías de nuestro país dista mucho de la imagen que muchos de nosotros tenemos en nuestra mente e incluso podríamos asegurar (basándonos en nuestra propia experiencia y muestreo del mercado existente) que de la imagen que en muchos casos vemos reflejada en estudios y encuestas de distintas organizaciones. Y no hablamos únicamente de microempresas o autónomos, estamos hablando de grandes corporaciones de cientos y miles de empleados que carecen de las más mínimas medidas de seguridad, no digamos ya de un gobierno de TI adecuado o de un programa de gestión de la seguridad correspondiente.

La falta de alineación de la industria de la seguridad que en muchos casos existe con la situación real de la gran mayoría de compañías hace que se produzcan paradojas como la que ya hace unos meses quisimos transmitir en el Segundo ENISE en León: que a una multitud hambrienta les estemos ofreciendo en muchos casos hamburguesas de caviar, lo que no sólo no palia su hambre, sino que en muchos casos produce graves indigestiones.

Quizás sea el momento de coger distancia y observar desde una perspectiva realista nuestro tejido empresarial. Quizás así seamos capaces de ofrecer servicios que cubran las necesidades reales de la mayoría de nuestras compañías y, por tanto, elevar el nivel global de madurez de seguridad de nuestras organizaciones. ¿Es mejor tener 50 compañías con un nivel de madurez muy alto y 10.000 muy bajo o 5.000 con un nivel de madurez medio? ¿Qué repercusiones tendría este incremento en el nivel de madurez global en el mercado y resultados de los distintos vectores de ataque existentes hoy en día como el phishing o el malware? Son estas preguntas abiertas que, nos tememos, no tendrán respuesta en el corto o medio plazo.

Desde nuestra más humilde aproximación, hemos pretendido aportar un pequeño grano a la montaña necesaria, planteando una alternativa puente en este sentido entre el incumplimiento total de las compañías con niveles de madurez de seguridad bajos y las implantaciones metodológicas más tradicionales de la gestión de la seguridad mediante estándares como ISO 27001 o COBIT, a través de la metodología IS2ME: Information Security to Medium Enterprise (Seguridad de la Información a la Mediana Empresa).

IS2ME (más información en www.is2me.org) surge pues, como un método de implementación de la seguridad de la información en las medianas empresas y empresas con un nivel de madurez en seguridad medio-bajo que conjuga por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestión de la seguridad de la información según estándares internacionalmente reconocidos, y por otra, la obtención de resultados a corto plazo que permiten disminuir el riesgo que este tipo de organizaciones están asumiendo, proporcionando a su vez prontos resultados a la alta dirección.

[Artículo publicado en el número 29  de Febrero de 2009 de la Revista Auditoría y Seguridad, puedes descargar el artículo completo en PDF aquí]

El post de hace unos días buscando un poco de polémica sobre la necesidad de un análisis de riesgos en todas las ocasiones ha despertado cierto interés en otros foros paralelos a este blog donde otros profesionales han manifestado distintas opiniones y reflexiones al respecto que, para ampliar la reflexión, incluyo a continuación (previa aprobación por parte de los autores correspondientes).

¡¡Muchas gracias a todos por las excelentes aportaciones!!

 ———-
De: Rodney López <rlopez@vertice.cu>
Fecha: 15 de enero de 2009 13:48

[Nota de Prensa]

M45 es el nuevo equipo de profesionales de la Seguridad de la Información que teniendo como motor el Cluster de las Tecnologías de la Información y las Comunicaciones en Asturias (www.clustertic.net) se ha establecido con el objetivo de formar un marco de servicios de seguridad de alto nivel proporcionado por profesionales cualificados, formados, certificados y con experiencia.

Este nuevo equipo supone la evolución natural de la iniciativa de creación de un equipo de profesionales de la seguridad que en 2005 lideró el Cluster TIC y que con la colaboración de AENOR y la financiación parcial del Instituto de Desarrollo Económico del Principado de Asturias (IDEPA), culminó en la titulación de 18 profesionales especialistas en seguridad situando a Asturias a la cabeza de España en números relativos, en cuanto a número de profesionales titulados,  y la segunda, después de Madrid, en números absolutos y la certificación ISO 27001 de numerosas empresas asturianas. A raíz de esa iniciativa se crearon diversas empresas dedicadas a la seguridad en el Principado de Asturias cuyos profesionales, unidos a otros venidos recientemente de entornos multinacionales son los que forman hoy el equipo M45.

M45 es un equipo multidisciplinar y multiempresa integrado por 14 profesionales con un alto nivel de capacitación y certificaciones en distintas áreas de la seguridad de la información, entre los que se encuentran expertos en gestión y auditoría, como CISA, CISM,  Auditores Jefe ISO 27001, BS 25999 y licenciados y expertos en derecho de las tecnologías de la información, además de tecnólogos con numerosas certificaciones técnicas como CISSP, CEH o  GIAC, y certificaciones en distintos fabricantes y dispositivos de seguridad.

Dada la especialización de sus integrantes en todas estas áreas, los servicios ofrecidos por el equipo M45 vienen marcados siempre por una visión global y estratégica de la seguridad en todos sus aspectos,  materializándose  en 6 líneas conductoras que definen su catálogo:  Cumplimiento y Legislación, Estandarización y Normalización, Gestión y Operación, Diseño de Soluciones y Arquitecturas, Servicios Tecnológicos, y Formación y Capacitación. Este equipo tiene un ámbito de actuación nacional en organismos públicos y empresas privadas inicialmente, aunque no se descarta un posible desarrollo internacional a medio plazo dado su potencial crecimiento.

M45 está compuesto por profesionales de las empresas Chipbip, Contein XXI, Futuver, Grupo Intermark, Legalprotect, Neosystems, Obice, Satec, Sigea y Vorago y sus gerentes son Samuel Linares (Director de TI y Seguridad de la Información de Grupo Intermark) y Francisco Menéndez (Socio Director de Contein XXI). Pueden contactar con el Equipo M45 en la dirección m45@clustertic.net (o proximamente en su web www.clustertic.net/m45 ).

El próximo miércoles 3 de Febrero (la semana que viene) se celebrará en Madrid el 1st Security Blogger Summit 2009 organizado por Panda Security que contará con numerosos participantes de nivel como Bruce Schneier, Steve Ragan, Andy Willingham o Byron Acohido entre otros. Una iniciativa muy interesante y una oportunidad para que muchos de los que escribimos sobre estos temas podamos ponernos caras y charlar un rato en persona.

Asistiré al evento, que comienza a las 18:00h, por lo que si alguno de vosotros tiene pensado asistir, no dudéis en interceptarme… antes de que me exceda con el vino 😉

A continuación incluyo textualmente la descripción del evento que recogen en su página web:

The 1st Security Blogger Summit, es la primera edición de una serie de encuentros internacionales sobre Seguridad Informática. Está organizado por la multinacional española Panda Security y su objetivo es el de reunir a los principales expertos en nuevas tecnologías y seguridad informática, incluyendo profesionales, periodistas y, especialmente, bloggers.
En los debates que se llevarán a cabo durante el evento se tratarán temas tan importantes como las últimas tendencias en Seguridad Informática, las estrategias de protección contra el cibercrimen y las últimas legislaciones gubernamentales para combatir la delincuencia en Internet.
La cita tendrá lugar el próximo 3 de febrero en la Sala de Columnas del Círculo de Bellas Artes, en Madrid. Allí se llevará a cabo una mesa redonda que agrupará a los líderes del sector de la seguridad en Internet. En ella participarán importantes especialistas internacionales en seguridad como: Bruce Schneier, gurú y nº1 mundial sobre temas de Seguridad, Steve Ragan responsable de la sección de Seguridad en The Tech Herald, Andy Willingham, Profesional IT del Sector Financiero y autor del blog Andy IT Guy y Byron Acohido, periodista tecnológico de USA Today. Además, también estarán presentes en esta mesa redonda prestigiosos profesionales españoles como Josu Franco (moderador), Corporate Customer Unit Director de Panda Security, Ero Carrera (Chief Research Officer de Collaborative Security en VirusTotal – Hispasec), Antonio Ortiz co-fundador de Weblogs SL y redactor de ERROR500 y Javier Villacañas, Redactor Jefe de la Cadena COPE y fundador de “ A Todo Chip” un blog en el que ofrece a diario, desde febrero de 2007, noticias sobre la actualidad tecnológica.
Para ver lista actualizada de Ponentes pulse aquí.

Se trata de una oportunidad única para intercambiar impresiones con los mejores profesionales del sector. Si deseas asistir a este evento, tan sólo tienes que rellenar el siguiente formulario de inscripción.

Como algunos de vosotros sabéis, procuro pasar algunos fines de semana en una casita en las montañas de Boal (Asturias), donde surgen algunas de las ideas que luego aparecen aquí o en mi vida profesional y personal.

Escribo este texto precisamente desde ese lugar tras llevar más de 90 horas sin suministro eléctrico, con un bolígrafo, sobre un cuaderno cuadriculado y a la luz de una vela, toda una novedad para mí (afortunadamente) ya que en algún caso he sufrido cortes de suministro en la ciudad, pero nunca más allá de las 2 o 3 horas en el peor de los casos. (Evidentemente, he transcrito el texto al medio electrónico tan pronto he llegado a un lugar con “luz”).

Mi pregunta o reflexión en este caso es: En pleno año 2009 (Siglo XXI), ¿es admisible que una compañía de suministro eléctrico deje sin servicio a varios miles de clientes (según las noticias en los medios de comunicación) durante casi 4 días? ¿Dónde están los planes de continuidad de negocio?, ¿La respuesta a incidentes?, ¿la comunicación con los medios y sus clientes?

Deste este espacio llevo ya un tiempo hablando de la necesidad de asegurar las infraestructuras críticas y los sistemas industriales, áreas estas del mercado que por el momento no están recibiendo el tratamiento adecuado en nuestor país.

En Estados Unidos, por ejemplo, existen normativas y legislación de obligado cumplimiento en este sentido como el “Critical Infrastructure Information Act” de 2002, o los estándares de Protección de Infraestructuras Críticas (CIP) del “North American Electric Reliability Council” (NERC), entre otros.

En España, hasta donde sé, no existe nada parecido (aún), nininguna iniciativa que se aproxime. Hacer algo es necesario. Debemos proteger nuestros sistemas industriales e infraestructuras críticas si no queremos afrontar problemas más graves que los existentes. Debemos aplicar los mismos principios de la seguridad que aplicamos a nuestros activos de información u otros sistemas de “propósito general”: Confiencialidad, Integridad y, evidentemente, Disponibilidad. Que no funcione un servidor de correo o se difunda su información por la explotación de alguna vulnerabilidad puede ser grave, pero que se deje sin suministro eléctrico o de agua a miles de personas (o millones en el peor de los casos)  o que una grúa de descarga de carbón deje caer 10 toneladas sobre unos trabajadores en lugar de sobre un camión, lo es mucho más. Debemos proteger la seguridad de nuestros datos y nuestra información, pero por encima de todo, la seguridad de las personas.

Estoy seguro que muchos de vosotros tenéis en mente muchos más supuestos de incluso mayor gravedad: redes nacionales de distribución, centrales de producción energética, etc. No, no es ciencia ficción. Es posible y puede ocurrir (y de hecho está ocurriendo aunque no se publicite demasiado). Otro tema a investigar, ¿verdad?.

Está claro que la naturaleza y sus caprichos suelen superar en muchos momentos los peores escenarios de continuidad de muchas compañías, pero mi pregunta es ¿existen al menos esos escenarios? ¿BS 25999 puede ser una base interesante para todas las compañías? ¿Que hay de una normativa o legislación de obligado cumplimiento para sistemas críticos o industriales?

Ya para finalizar, no quería perder esta oportunidad para “agradecer” a mi empresa suministradora, “E.ON España”, por dejarme más de 90 horas sin “luz” y darme la oportunidad de reflexionar sobre estos temas tan interesantes…

El pasado número de diciembre de ISSA Journal ha venido cargado de contenidos realmente interesantes que en cuanto tenga un hueco intentaré comentar aquí. Ese número venía dedicado a las “Amenazas Internas” y tiene artículos muy interesantes sobre ingeniería social y otras consideraciones más aplicables a las personas que a la tecnología. Muy interesante. Ya os iré contando.

En todo caso, sólo quería dejar aquí una pequeña reflexión (y sí, también vamos a hablar aquí del día Obama):

¿Cómo es posible que a las corporaciones, empresas, etc. les cueste tanto entender que no sólo deben protegerse contra las amenazas externas (con medios tecnológicos, etc.) sino que deben tener muy en cuenta a las amenazas internas?

Y digo esto, porque según parece (y ayer me dí cuenta) el juramento del cargo de VicePresidente de Estados Unidos incluye en su texto de forma explícita desde 1789 que “defenderá la Constitución de los Estados Unidos contra todos los enemigos, externos e internos“. Parece claro y obvio, verdad? Sin embargo en el mercado empresarial no se está aplicando como debiera.

El texto original completo (me gusta especialmente la última frase: “que Dios me ayude!” 😛 ):

“I, A— B—, do solemnly swear (or affirm) that I will support and defend the Constitution of the United States against all enemies, foreign and domestic; that I will bear true faith and allegiance to the same; that I take this obligation freely, without any mental reservation or purpose of evasion; and that I will well and faithfully discharge the duties of the office on which I am about to enter. So help me God.”

Descubro en los últimos días algunos posts interesantes sobre análisis de riesgos, destacando por su síntesis y claras ideas el de Joseba Enjuto titulado “¿Funcionan los Análisis de Riesgos?” que comenta muy bien Javier Cao.

Pues bien, de la mano de mi gran amigo Nacho Paredes (semilla origen de la reflexión) me permito lanzar aquí una cuestión para libre dicusión que quizás cree cierta controversia:

¿Es necesario siempre un Análisis de Riesgos?

Esta cuestión dentro del “pensamiento clásico” puede sonar como una llamada al anticristo, una pregunta de alguien que comienza en esto de la seguridad y no tiene ni idea, o incluso una locura, ya que probablemente la mayoría de los “encuestados” contestaría con un rotundo y sonoro SI, POR SUPUESTO.

Pues bien, permitidme que, ya que siempre me gusta hacer analogías, haga una con algo parecido en medicina. Un análisis de riesgos no deja de ser una especie de diagnóstico médico de un paciente para conocer qué necesidades o problemas tiene y cómo tratarlos de la forma más adecuada. Ante un paciente, probablemente cualquier médico asegure que es totalmente necesario realizar un diagnóstico para poder afrontar un proceso de mejora adecuado.

¿Pero qué pasaría si tenemos un grupo numeroso de pacientes con las mismas carencias que ya conocemos de antemano? Por ejemplo, una vecindad que ha estado bebiendo agua con altos índices de plomo, o un poblado en Africa que lleva en situación de inanición meses o años. ¿La situación de todos esos pacientes no sería muy similar en lo más crítico (sus carencias)? Si esa población es numerosa (por ejemplo de 1000 personas o de 1 millón), ¿qué es más lógico si queremos mejorar el nivel de salud general en el menor tiempo posible (antes de que haya más muertes)?, ¿identificar las carencias comunes a todos los pacientes y quizás hacer un muestreo de la salud de 10 de ellos o realizar un diagnóstico personalizado de los 1000 o del millón?.  Probablemente todos estemos de acuerdo que en este caso, el diagnóstico personalizado de los 1000 pacientes no ofrecería ventajas importantes respecto al otro escenario, sino más bien retrasaría la mejora del nivel global de salud e incurriría en mayores costes (de todo tipo, desde vidas humanas hasta de profesionales de la medicina).

Vayámonos pues ahora a nuestro campo. La seguridad. ¿Existe algún colectivo de organizaciones con carencias comunes y muy identificadas similares a las que planteábamos en la analogía anterior?. Sí, yo creo que sí: las PYMES (y algunas organizaciones con niveles de madurez similares, pero dejemos ese caso para otro día).

Sabemos que más del 95% del tejido empresarial está compuesto por estas empresas, es decir tenemos una cantidad importante y sabemos además cuáles son sus principales carencias. Incluso con un pequeño estudio o muestreo podemos asegurar cuáles son sus carencias con más de un 90% de efectividad por grupos de empresa o nichos (por tamaño, por ejemplo las micropymes, o por sector).

Si queremos mejorar el nivel general de la seguridad en un grupo de este tipo de empresas (por ejemplo de 10.000 🙂 ), ¿cómo lo conseguiremos de manera más eficiente? ¿incorporando el proceso de análisis de riesgos en todas y cada una de ellas o identificando de forma previa sus carencias generales (siii, un análisis de riesgos general de aproximación) y dedicando más recursos a elevar su nivel de seguridad… a curarlos?

Dejo abierta la pregunta, mi respuesta ya la intuís.

Por tanto, ¿Es necesario siempre un Análisis de Riesgos? No, no siempre. 🙂 … al menos como estamos acostumbrados a realizarlos…

Se abre la veda 😉 (Gracias Nacho por la idea!)