¿Quién no ha escuchado nunca en una reunión o comité afirmaciones como “tenemos un riesgo en el servidor”, “el ransomware es un riesgo creciente”, o incluso “los usuarios son el mayor riesgo”?. Estas expresiones, aunque bien intencionadas, revelan una confusión fundamental entre lo que constituye un riesgo y lo que no lo es.
Desde un enfoque metodológico, especialmente el que ofrecen marcos como ISO/IEC 31000 o el NIST Risk Management Framework, un riesgo es el resultado de la interacción entre una amenaza (que se compone de un actor, un método y uno o varios vectores de entrada), una vulnerabilidad y un posible impacto negativo sobre los activos. En otras palabras, el riesgo no es un objeto tangible o una situación estática, sino una posibilidad condicional que no se produce si no hay amenaza; si no hay vulnerabilidad; y sobre todo, no hay riesgo si no hay nada que perder.
Esto posiblemente se vea mejor con un ejemplo. En una reunión de IT se traslada que tener FTP habilitado en un servidor era un “riesgo” si bien ese servidor no está expuesto a Internet, no contiene datos sensibles y no hay usuarios que lo usen. Entonces, ¿es un riesgo? No. Es una mala práctica, sí, pero no un riesgo mientras no haya una amenaza plausible y un impacto relevante.
Lo cierto, es que gran parte de los errores en la gestión de ciberseguridad provienen de la atribución de la categoría de “riesgo” a elementos que, si bien son relevantes, no lo son per se.
- «Se rompe lo que se golpea, no lo que está roto.». Una base de datos mal configurada, una contraseña débil o un sistema sin parches no representan un riesgo por sí solos sin tener nada con lo que ser explotados por una amenaza concreta. Evaluar el riesgo requiere preguntarse: ¿quién podría explotar esta debilidad? ¿Con qué motivación y recursos? ¿Qué pasaría si lo hiciera?
- “Ofende quien puede, no quien quiere”. Ransomware, phishing, actores estatales o hacktivistas son amenazas, pero no representan un riesgo directo hasta que se considera si hay caminos viables de ataque y qué consecuencias tendría un incidente.
- «Ventana abierta no trae ladrones sin barrio peligroso.». Estar conectado a Internet, usar tecnologías en la nube o permitir el teletrabajo no son riesgos en sí, sino condiciones que pueden habilitar ciertos vectores de ataque, por lo que su tratamiento no debe ser alarmista sino proporcional al nivel de exposición frente a amenazas reales.
- «No llevar paraguas no hace que llueva.». Tampoco se debe asumir que la presencia de un firewall, un antivirus o una política de contraseñas fuertes elimina el riesgo, ya que los controles lo reducen, lo mitigan o lo trasladan, pero nunca lo eliminan por completo.
Más allá del chascarrillo, lo cierto es que la falta de precisión conceptual tiene consecuencias graves, como es una mala priorización de las inversiones, destinando presupuestos a mitigar “riesgos” que no han sido evaluados rigurosamente, mientras se descuidan amenazas reales que no se perciben como tales, o la ineficacia en la comunicación entre los equipos técnicos y la alta dirección, puesto que si todo es un riesgo, nada lo es.
En definitiva, llamar riesgo a todo lo que nos incomoda, preocupa o técnicamente parece incorrecto es un error común, pero profundamente dañino y la ciberseguridad no puede permitirse ser gestionado desde el instinto, el miedo o la jerga mal empleada, pues requiere de una comprensión rigurosa del contexto, de los elementos que conforman un riesgo real y de aquellos que solo lo parecen.