En el mundo de la gestión de riesgos, las matrices de colores y los cálculos semicuantitativos son herramientas porque permiten tener una visión rápida de amenazas y priorizar acciones. Sin embargo, cuando llega el momento de hablar con la dirección de la empresa, esos gráficos suelen quedarse cortos.
FAIR es una metodología desarrollada por Jack Jones a principios de los 2000 y hoy respaldada por el FAIR Institute, cuya propuesta consiste en traducir el riesgo en términos económicos cuantificables.
En lugar de decir “este riesgo es alto”, FAIR propone decir:
“Este riesgo podría costarnos entre 200 mil y 1.2 millones de euros al año, con un promedio probable de 600 mil”.
De esa manera, los riesgos pueden compararse entre sí y, más importante aún, puede justificarse la inversión en seguridad frente a la dirección de la empresa.
¿Cómo funciona? El corazón de FAIR está en descomponer el riesgo en factores medibles y, dado que es profunda, vamos a centrarnos en lo importante:
Riesgo = Frecuencia de pérdida × Magnitud de pérdida
- Frecuencia de pérdida (Loss Event Frequency, LEF): ¿con qué probabilidad ocurrirá un evento?
- Magnitud de pérdida (Loss Magnitude, LM): si ocurre, ¿cuánto dinero perderemos?
FAIR va más allá del binomio y divide estos factores en componentes como:
- Amenaza (Threat Event Frequency): con qué frecuencia nos atacan.
- Vulnerabilidad: qué tan probable es que esos ataques tengan éxito.
- Impacto primario: costos directos como multas, recuperación técnica, tiempo de inactividad.
- Impacto secundario: costos indirectos como daño reputacional, pérdida de clientes o demandas legales.
El resultado es, por tanto, un modelo que combina estadísticas y datos históricos con el contexto específico de cada organización, cambiando el enfoque de las conversaciones:
- De “El riesgo es alto, necesitamos más presupuesto”
- A “Si invertimos 500 mil dólares en seguridad, reduciremos una exposición financiera probable de 2 millones. Eso es un ROI positivo”.
Por poner un ejemplo práctico, imagina que una compañía evalúa el riesgo de un ataque de ransomware.
- Los analistas calculan que podrían sufrir un ataque exitoso una vez cada 3 años.
- El costo promedio de cada ataque sería de 1 millón de euros (entre rescate, downtime y daños reputacionales).
Con FAIR, se proyecta que el riesgo anual esperado ronda los 333 mil euros.
Con esa cifra en mano, la dirección puede preguntarse:
- ¿Vale la pena invertir 200 mil euros en nuevas defensas que reduzcan el riesgo a la mitad?
- ¿O es más eficiente comprar un seguro cibernético?
De pronto, las decisiones se apoyan en números. Ahora bien, FAIR no es una varita mágica y hay que tener en cuenta factores de riesgo si nos aferramos a ella:
- Requiere datos de calidad (y no todas las empresas los tienen, por lo que debe tomarse como un proyecto a medio/largo plazo).
- La incertidumbre estadística no desparece, pues los números son estimaciones, no certezas.
- Un ataque no solo implica dinero, pues puede significar pérdida de confianza, desgaste emocional del equipo, daño a la marca o impacto en clientes vulnerables.
- Si la discusión se reduce a ROI inmediato, se pueden ignorar riesgos que rara vez se materializan pero que, si lo hacen, son catastróficos.
En definitiva, la metodología FAIR es una herramienta poderosa para llevar la gestión de riesgos a un nivel más maduro, poniendo cifras donde antes había colores y sensaciones, pero también es importante recordar que, aunque cuantifiquemos, seguimos trabajando con estimaciones.