Evaluación de riesgos y la condición humana


Cinco lecciones que la pandemia de coronavirus puede enseñar a los profesionales de seguridad a evaluar, monitorear, administrar y mitigar mejor el riesgo organizacional.

Cuando estaba en la escuela de posgrado, mi profesor de estadística repetidamente le dijo a la clase: «Las personas son muy malas para evaluar el riesgo». La pandemia de COVID-19 es una excelente oportunidad para comprender este punto en el contexto de los acontecimientos actuales.

A finales de mayo, el cantidad de personas asesinadas por el coronavirus en los EE. UU. rondaba los 100.000. Supongamos que estas muertes ocurrieron durante un período de dos meses (de abril a mayo). En foundation a esa suposición, podemos extrapolar que el número de muertes anualizadas será de alrededor de 600,000 personas.

Por supuesto, 600,000 es una estimación muy conservadora, ya que es muy posible que la pandemia ya haya alcanzado su punto máximo en los EE. UU. Y la tasa de nuevas muertes disminuirá drásticamente. Un modelo de corona predice el número de muertes hasta principios de agosto en 143,360. Si extrapolamos eso, llegamos a un whole anual de muertes de aproximadamente 300,000. La mitad del número de muertos llegamos extrapolando los datos de dos meses.

A modo de comparación, echemos un vistazo a la principales causas de muerte en los EE. UU., junto con el número de personas asesinadas, según los CDC:

● Enfermedad cardíaca: 647,457
● Cáncer: 599,108
● Accidentes (lesiones no intencionales): 169,936
● Enfermedades crónicas de las vías respiratorias inferiores: 160,201
● Accidente cerebrovascular (enfermedades cerebrovasculares): 146,383
● enfermedad de Alzheimer: 121,404
● Diabetes: 83,564
● Influenza y neumonía: 55,672
● Nefritis, síndrome nefrótico y nefrosis: 50,633
● Autolesión intencional (suicidio): 47,173

COVID puede terminar en algún lugar en el medio de ese gráfico, aunque el tiempo lo dirá. Pero a pesar de lo que indican los números, es probable que la cantidad de personas que tienen miedo de ir a Ikea en este momento debido a COVID-19 sea mucho mayor que la cantidad de personas que tienen miedo de comer alimentos poco saludables y omitir su entrenamiento, aunque eso es estadísticamente mucho más mortal.

Mirando más allá de la pandemia true, podemos encontrar fácilmente ejemplos adicionales de cómo las personas luchan para evaluar adecuadamente el riesgo. Si eres como yo, has conocido a personas que temen volar. Sin embargo, no creo haber conocido a nadie que tenga miedo de viajar en automóvil.

¿Es eso racional? Echemos un vistazo a los números: un promedio de Murieron 102 personas por día (37.461 por año) en accidentes automovilísticos en 2016. Por otro lado, 393 personas murieron en accidentes de aviación civil en 2018

A pesar de estos números, algunas personas tienen miedo de volar en aviones, mientras que esas mismas personas pueden no tener problemas para conducir, a menudo imprudentemente o mientras están distraídos o somnolientos. ¡Este es el caso a pesar de que su probabilidad de morir en un accidente aéreo es 95 veces menor que su probabilidad de morir en un accidente automovilístico!

Podría seguir, pero creo que entiendes mi punto. Quizás se pregunte qué tiene que ver esto con la seguridad de la información. Esa es una pregunta razonable. La pandemia de coronavirus nos brinda una oportunidad única de aprender una importante lección de seguridad: como personas, somos malos para evaluar y comprender el riesgo. Si luchamos con él en el mundo cinético, ¿qué nos hace estar tan convencidos de que tendremos éxito en el ámbito de la seguridad?

Esta es una mentalidad importante a tener en cuenta al trabajar para evaluar, monitorear, administrar y mitigar el riesgo en su organización. En este espíritu, he identificado cinco estrategias para mantener a los profesionales de seguridad objetivos y honestos cuando se trata de riesgos:

Muéstrame el dinero: Cuando se trata de riesgos, debemos comenzar observando qué amenazas enfrenta la empresa y cuál es el daño potencial de estas amenazas. Esto generalmente se decrease al dinero. El tipo de declaraciones que deberíamos buscar construir son: si ocurre la amenaza X, le costará a Y el daño. Eso nos permite cuantificar objetivamente el daño potencial de cada amenaza. Ese es el primer paso para tratar de superar nuestra naturaleza humana irracional cuando se trata de evaluación de riesgos.

Modelo: Una vez que se ha cuantificado el daño, se pueden desarrollar modelos para evaluar y cuantificar el riesgo. Esto, a su vez, nos permite priorizar nuestros recursos. Los modelos nos permiten comprender el impacto potencial que las diferentes amenazas tienen en el negocio, así como también cómo las diferentes variables y condiciones pueden afectar ese riesgo. Los modelos son muy útiles a medida que cambia el panorama de amenazas. En individual, cuando surge una amenaza de alta publicidad, los modelos nos permiten desconectar el ruido y las exageraciones para enfocarnos mucho más objetivamente en el riesgo.

Medida: Cuando se busca monitorear el riesgo, las métricas son extremadamente importantes. Para cada riesgo clave, se deben desarrollar métricas para vigilar de cerca ese riesgo. Asegúrese de que cada métrica sea objetiva, relevante y proporcione una medida precisa del riesgo contra el que está diseñada. Agrupe o agregue métricas en familias que le permitan monitorear diferentes clases o familias de riesgos. Asegúrese de que sus métricas estén diseñadas de forma modular, de modo que puedan acumularse de diferentes maneras para diferentes audiencias.

Usa las matemáticas: Las matemáticas no tienen nada que temer cuando se trata de seguridad. De hecho, puede ser nuestro mejor amigo cuando se trata de gestionar el riesgo. Desarrolle rangos objetivos para sus métricas. Califique las métricas regularmente contra estos rangos. Cuando ciertos riesgos comienzan a alejarse demasiado del alcance, busque mitigarlos.

Reporte: No importa cuán objetiva y precisa sea su práctica de riesgos, necesitará algo para mantenerse honesto. Informe de manera normal y objetiva a diferentes audiencias para asegurarse de que tiene una lectura precisa de la imagen del riesgo, así como la información adecuada de las partes interesadas. Esto asegura que no dejará que su subjetividad humana se infiltre en su práctica de gestión de riesgos.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Josh (Twitter: @ananalytical) es un líder experimentado en seguridad de la información que trabaja con empresas para madurar y mejorar sus programas de seguridad empresarial. Anteriormente, Josh se desempeñó como VP, CTO – Tecnologías emergentes en FireEye y como Director de seguridad de … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial