Una herramienta de 6 partes para clasificar y evaluar los riesgos
Por Luke Bencie y Sami Araboghli
Harvard Business Review
Gestión de riesgos
Una de las expresiones más utilizadas en exceso por los aspirantes a "Wall Street Rambos" es que el negocio es la guerra. Pero a veces las tácticas de guerra realmente pueden ayudar en los negocios.
Entre estas tácticas se encuentra CARVER, un sistema para evaluar y clasificar amenazas y oportunidades. Desarrollado durante la Segunda Guerra Mundial, CARVER (entonces una letra más corta y conocida como CARVE) fue utilizado originalmente por los analistas para determinar dónde los pilotos de bombarderos podían lanzar sus municiones con mayor eficacia sobre objetivos enemigos. Puede ser tanto ofensivo como defensivo, lo que significa que puede usarse para identificar las debilidades de sus competidores y para la auditoría interna. Además, muchos expertos en seguridad lo consideran la herramienta de evaluación definitiva para la protección de activos críticos. De hecho, el Departamento de Seguridad Nacional de EE. UU. Lo ha recomendado como una metodología de evaluación preferida. (Uno de nosotros, Luke, está tan entusiasmado con CARVER que coescribió un libro sobre él).
Más recientemente, CARVER ha convertido a una nueva comunidad de creyentes en el mundo de los negocios, incluidos los CEO, analistas financieros y planificadores de gestión de riesgos, sin mencionar a ningún número de directores de seguridad de Fortune 500. Dado que se basa en datos tanto cualitativos como cuantitativos, CARVER se puede aplicar en casi cualquier escenario que se analice y discuta de una manera organizada y lógica. Puede ser muy útil si necesita, por ejemplo, defender una solicitud de presupuesto o un plan estratégico para el liderazgo de la compañía. Debido a que le ayuda a articular una historia eficiente utilizando valores numéricos, CARVER se puede utilizar para aclarar los objetivos de la misión, ya sea en el campo de batalla o en la sala de juntas. Podría decir que CARVER es un análisis FODA de esteroides.
CARVER es un acrónimo que significa:
Aquí hay un ejemplo. Digamos que el director de seguridad de una compañía de petróleo y gas está decidiendo cómo asignar su presupuesto en múltiples ubicaciones y activos. A nivel estratégico, la OSC podría usar CARVER para analizar los factores involucrados en cada ubicación y luego asignar recursos para cada instalación.
Para comenzar, la OSC haría una serie de preguntas relacionadas con los criterios de CARVER. Comenzando con Criticality, podrían preguntar: "¿Cuán crítico es el oleoducto en Abuja, Nigeria, para las operaciones generales de la compañía?" Debido a que Criticality se basa en la importancia del activo (en este caso, el pipeline), el CSO necesitaría determinar si la destrucción o el compromiso de este activo tendría un impacto significativo en el rendimiento, la misión o el funcionamiento de la empresa. El CSO clasificaría Criticidad así:
5 - La pérdida de la tubería detendría las operaciones
4 - La pérdida reduciría considerablemente las operaciones
3 - La pérdida reduciría las operaciones
2 - La pérdida puede reducir las operaciones
1 - La pérdida no afectaría las operaciones
Obviamente, cuanto mayor sea el número, más perjudicial será la pérdida del activo para la organización. Cuanto menor sea el número, menos perjudicial será la pérdida, o podría haber redundancias en su lugar - otras tuberías, por ejemplo. (Esos despidos también afectarían el puntaje de Recuperabilidad del activo).
Para evaluar la capacidad de recuperación de esa misma tubería (tal vez después de un desastre natural, sabotaje o ataque terrorista), el CSO lo clasificaría así:
5 - Extremadamente difícil de reemplazar; tiempo de inactividad prolongado
4 - Difícil de reemplazar; tiempo de inactividad prolongado
3 - Se puede reemplazar en un tiempo relativamente corto
2 - Fácilmente reemplazado en poco tiempo
1 - Se puede reemplazar inmediatamente; corto o sin tiempo de inactividad
El CSO luego continuaría clasificando el ducto de Abuja en los otros cuatro criterios. Si la tubería recibió un 5 por Criticidad y Recuperabilidad, por ejemplo, parece probable que sería un buen candidato para recibir más del presupuesto de la OSC.
Para considerar otro ejemplo, digamos que un fondo de cobertura busca adquirir una empresa de tecnología que dice tener una tecnología de punta. Además de simplemente auditar los libros de la compañía, los analistas podrían realizar una evaluación de CARVER para determinar qué tan cerca está la competencia de ponerse al día con esta tecnología, equilibrando así el riesgo de la inversión. La compañía de tecnología puede tener un puntaje bajo (es decir, bueno) en Criticidad y Recuperabilidad, pero puntuar alto (es decir, malo) en Accesibilidad y Efecto. Esa puntuación de Accesibilidad podría significar que un competidor podría vencer al producto al mercado, y el Efecto podría ser el resultado de una polémica campaña de marketing.
Una pregunta que los analistas podrían hacer al efecto es: "¿Cuál es el efecto sobre nosotros si los competidores de la compañía de tecnología nos ganan en el mercado?"
5 - Impacto económico, político o social muy alto en la organización
4 - Alto impacto económico, político o social
3 - Impacto moderado
2 - Poco impacto
1 - Sin impacto desfavorable
Lo importante para recordar es que este ejercicio se lleva a cabo para identificar, categorizar y priorizar activos de alto riesgo; para evaluar vulnerabilidades; y hacer recomendaciones sobre el riesgo. Una vez que se ha completado una evaluación de CARVER, y se han identificado riesgos y amenazas importantes, los profesionales de seguridad y gestión de riesgos pueden determinar el mejor enfoque a seguir. Incluso la diferencia más pequeña en las puntuaciones de CARVER podría influir en si abre una tienda en una ubicación o en otra, o si lo ayuda a decidir entre actualizar una línea de productos existente y optar por crear algo nuevo.
Las decisiones estratégicas se toman en las salas de juntas en todas partes, por ejecutivos que buscan cualquier ventaja sobre la competencia. Los líderes empresariales están buscando números duros para proporcionarles una ventaja en su proceso de toma de decisiones. CARVER puede proporcionar una justificación cuantificada para respaldar o abandonar una decisión o iniciativa.
Luke Bencie es el Director General de Security Management International. Ha trabajado en más de 100 países para el Departamento de Defensa, la comunidad de inteligencia de EE. UU. Y más de dos docenas de compañías Fortune 500. Es autor del libro The CARVER Target Analysis and Vulnerability Assessment Methodology, así como Among Enemies: Counter-Espionage for the Business Traveler. Él puede ser contactado en lbencie@smiconsultancy.com
Sami Araboghli es un Asociado Junior en Security Management International. También es reservista de la Marina de los EE. UU. Él puede ser contactado en saraboghli@smiconsultancy.com
Harvard Business Review
Gestión de riesgos
Una de las expresiones más utilizadas en exceso por los aspirantes a "Wall Street Rambos" es que el negocio es la guerra. Pero a veces las tácticas de guerra realmente pueden ayudar en los negocios.
Entre estas tácticas se encuentra CARVER, un sistema para evaluar y clasificar amenazas y oportunidades. Desarrollado durante la Segunda Guerra Mundial, CARVER (entonces una letra más corta y conocida como CARVE) fue utilizado originalmente por los analistas para determinar dónde los pilotos de bombarderos podían lanzar sus municiones con mayor eficacia sobre objetivos enemigos. Puede ser tanto ofensivo como defensivo, lo que significa que puede usarse para identificar las debilidades de sus competidores y para la auditoría interna. Además, muchos expertos en seguridad lo consideran la herramienta de evaluación definitiva para la protección de activos críticos. De hecho, el Departamento de Seguridad Nacional de EE. UU. Lo ha recomendado como una metodología de evaluación preferida. (Uno de nosotros, Luke, está tan entusiasmado con CARVER que coescribió un libro sobre él).
Más recientemente, CARVER ha convertido a una nueva comunidad de creyentes en el mundo de los negocios, incluidos los CEO, analistas financieros y planificadores de gestión de riesgos, sin mencionar a ningún número de directores de seguridad de Fortune 500. Dado que se basa en datos tanto cualitativos como cuantitativos, CARVER se puede aplicar en casi cualquier escenario que se analice y discuta de una manera organizada y lógica. Puede ser muy útil si necesita, por ejemplo, defender una solicitud de presupuesto o un plan estratégico para el liderazgo de la compañía. Debido a que le ayuda a articular una historia eficiente utilizando valores numéricos, CARVER se puede utilizar para aclarar los objetivos de la misión, ya sea en el campo de batalla o en la sala de juntas. Podría decir que CARVER es un análisis FODA de esteroides.
CARVER es un acrónimo que significa:
- Criticidad: qué tan esencial es un activo o sistema crítico para su empresa
- Accesibilidad: qué tan difícil sería para un adversario acceder o atacar el activo
- Recuperabilidad: qué tan rápido podría recuperarse si algo le sucediera al activo
- Vulnerabilidad: qué tan bien (o no) el activo podría resistir el ataque de un adversario
- Efecto: cuánto impacto tendría en su empresa si algo le sucediera al activo
- Reconocimiento: qué tan probable es que un adversario reconozca el activo como un objetivo valioso
Aquí hay un ejemplo. Digamos que el director de seguridad de una compañía de petróleo y gas está decidiendo cómo asignar su presupuesto en múltiples ubicaciones y activos. A nivel estratégico, la OSC podría usar CARVER para analizar los factores involucrados en cada ubicación y luego asignar recursos para cada instalación.
Para comenzar, la OSC haría una serie de preguntas relacionadas con los criterios de CARVER. Comenzando con Criticality, podrían preguntar: "¿Cuán crítico es el oleoducto en Abuja, Nigeria, para las operaciones generales de la compañía?" Debido a que Criticality se basa en la importancia del activo (en este caso, el pipeline), el CSO necesitaría determinar si la destrucción o el compromiso de este activo tendría un impacto significativo en el rendimiento, la misión o el funcionamiento de la empresa. El CSO clasificaría Criticidad así:
5 - La pérdida de la tubería detendría las operaciones
4 - La pérdida reduciría considerablemente las operaciones
3 - La pérdida reduciría las operaciones
2 - La pérdida puede reducir las operaciones
1 - La pérdida no afectaría las operaciones
Obviamente, cuanto mayor sea el número, más perjudicial será la pérdida del activo para la organización. Cuanto menor sea el número, menos perjudicial será la pérdida, o podría haber redundancias en su lugar - otras tuberías, por ejemplo. (Esos despidos también afectarían el puntaje de Recuperabilidad del activo).
Para evaluar la capacidad de recuperación de esa misma tubería (tal vez después de un desastre natural, sabotaje o ataque terrorista), el CSO lo clasificaría así:
5 - Extremadamente difícil de reemplazar; tiempo de inactividad prolongado
4 - Difícil de reemplazar; tiempo de inactividad prolongado
3 - Se puede reemplazar en un tiempo relativamente corto
2 - Fácilmente reemplazado en poco tiempo
1 - Se puede reemplazar inmediatamente; corto o sin tiempo de inactividad
El CSO luego continuaría clasificando el ducto de Abuja en los otros cuatro criterios. Si la tubería recibió un 5 por Criticidad y Recuperabilidad, por ejemplo, parece probable que sería un buen candidato para recibir más del presupuesto de la OSC.
Para considerar otro ejemplo, digamos que un fondo de cobertura busca adquirir una empresa de tecnología que dice tener una tecnología de punta. Además de simplemente auditar los libros de la compañía, los analistas podrían realizar una evaluación de CARVER para determinar qué tan cerca está la competencia de ponerse al día con esta tecnología, equilibrando así el riesgo de la inversión. La compañía de tecnología puede tener un puntaje bajo (es decir, bueno) en Criticidad y Recuperabilidad, pero puntuar alto (es decir, malo) en Accesibilidad y Efecto. Esa puntuación de Accesibilidad podría significar que un competidor podría vencer al producto al mercado, y el Efecto podría ser el resultado de una polémica campaña de marketing.
Una pregunta que los analistas podrían hacer al efecto es: "¿Cuál es el efecto sobre nosotros si los competidores de la compañía de tecnología nos ganan en el mercado?"
5 - Impacto económico, político o social muy alto en la organización
4 - Alto impacto económico, político o social
3 - Impacto moderado
2 - Poco impacto
1 - Sin impacto desfavorable
Lo importante para recordar es que este ejercicio se lleva a cabo para identificar, categorizar y priorizar activos de alto riesgo; para evaluar vulnerabilidades; y hacer recomendaciones sobre el riesgo. Una vez que se ha completado una evaluación de CARVER, y se han identificado riesgos y amenazas importantes, los profesionales de seguridad y gestión de riesgos pueden determinar el mejor enfoque a seguir. Incluso la diferencia más pequeña en las puntuaciones de CARVER podría influir en si abre una tienda en una ubicación o en otra, o si lo ayuda a decidir entre actualizar una línea de productos existente y optar por crear algo nuevo.
Las decisiones estratégicas se toman en las salas de juntas en todas partes, por ejecutivos que buscan cualquier ventaja sobre la competencia. Los líderes empresariales están buscando números duros para proporcionarles una ventaja en su proceso de toma de decisiones. CARVER puede proporcionar una justificación cuantificada para respaldar o abandonar una decisión o iniciativa.
Luke Bencie es el Director General de Security Management International. Ha trabajado en más de 100 países para el Departamento de Defensa, la comunidad de inteligencia de EE. UU. Y más de dos docenas de compañías Fortune 500. Es autor del libro The CARVER Target Analysis and Vulnerability Assessment Methodology, así como Among Enemies: Counter-Espionage for the Business Traveler. Él puede ser contactado en lbencie@smiconsultancy.com
Sami Araboghli es un Asociado Junior en Security Management International. También es reservista de la Marina de los EE. UU. Él puede ser contactado en saraboghli@smiconsultancy.com
No hay comentarios:
Publicar un comentario