Las evaluaciones de riesgo en los libros parecen procesos ordenados y lógicos. La realidad es bastante más desordenada.
Un consultor con ocho años de experiencia describe su proceso típico. Primero necesita conseguir que la gente le responda correos. Eso puede tomar semanas. Los dueños de sistemas críticos están ocupados y la evaluación de riesgos no es su prioridad. Cuando finalmente consigue reuniones, descubre que nadie tiene documentación actualizada sobre la arquitectura del sistema. Termina dibujando diagramas en pizarras mientras tres personas discuten sobre cómo funcionan realmente las cosas.
La parte de identificar amenazas tampoco es tan directa. Los catálogos estándar listan cientos de amenazas posibles. En la práctica, se enfoca en las diez o quince más relevantes para ese contexto específico. Usa datos de incidentes previos cuando existen. Si no, recurre a estadísticas de la industria o experiencia personal. Admite que hay cierto nivel de intuición involucrado que las metodologías formales no reconocen.
Calcular el impacto es donde todo se complica. Para sistemas que procesan transacciones financieras, puede estimar costos directos. Pero cómo cuantificas el daño reputacional si se filtra información de estudiantes? Terminan usando escalas cualitativas de bajo, medio, alto porque no hay forma realista de poner números precisos.
Lo que realmente determina el éxito de una evaluación no es seguir perfectamente una metodología. Es conseguir que las personas correctas participen, hacer las preguntas adecuadas y documentar las decisiones de forma que sean útiles seis meses después cuando alguien pregunte por qué priorizaron ciertos controles. Las plantillas y frameworks ayudan, pero no reemplazan el trabajo de hablar con gente y entender cómo funcionan realmente los sistemas.