Aunque lo parezca, no voy a escribir sobre las predicciones en seguridad que no se van a cumplir para el año que viene.

Hoy quiero hablaros de algo de lo que no hablaba desde hace tiempo (eso que os habéis ahorrado). Y es que recientemente me he visto involucrado en asuntos sucios como cumplimiento del ENS o… el motivo del post de hoy, el análisis de riesgos.

Pero esta vez no voy a quejarme demasiado sino que os voy a contar de la forma más directa posible qué pienso realmente de las metodologías de análisis de riesgos: sólo sirven para predecir lo obvio.

ni un análisis de riesgos para implantar lo obvio

Veamos, lanzo la pregunta abierta siguiente: ¿para qué necesito un análisis de riesgos? Yo pienso que sólo sirven : para decirme cosas que ya sé.

No necesito un análisis de riesgos para que me diga que tengo que poner en alta disponibilidad el cortafuegos, es obvio.

No necesito un análisis de riesgos para saber que tengo que cumplir la legislación o tarde o temprano me pillarán, es obvio.

No necesito un análisis de riesgos para implantar copias de seguridad o algún día perderé algo importante, es obvio.

No necesito que un análisis de riesgos me diga que tengo que hacer auditorías de seguridad web, si no lo hago, alguien encontrará las vulnerabilidades por mí, es obvio.

No necesito un análisis de riesgos para saber que hay que intentar concienciar a los usuarios, es obvio.

No necesito un análisis de riesgos para obligar a los usuarios a elegir contraseñas que no sean fáciles de adivinar, es obvio.

(…)

Entonces… ¿para qué hago un análisis de riesgos? ¿Para convencer a alguien cuadriculado para que suelte el dinero para esas cosas? Igual, pero entonces es mejor elaborar un informe descriptivo en el que se analice la situación y no liarse a rellenar valores aleatorios en una aplicación de pseudociencia.

Lo que no niego es que el análisis de riesgos genera en los ‘gestores’ cierta fascinación, como si de verdad estuvieran desvelando el secreto de la naturaleza a través de ese análisis que les descarga de la necesidad de decidir en base a opiniones de ‘expertos’, cosa que, aparentemente, está muy mal vista.

¿Hay alguien que, de verdad, haya sacado partido de este tipo de análisis? (Mañas, tú no vales que ya sabemos qué partido sacas de todo esto).