Una herramienta de 6 partes para clasificar y evaluar los riesgos

Desarrollado durante la Segunda Guerra Mundial, CARVER es una herramienta para evaluar y clasificar las amenazas y las oportunidades. Puede ser tanto ofensivo como defensivo, lo que significa que se puede utilizar para identificar los puntos débiles de la competencia y para realizar auditorías internas. CARVER puede ayudar al profesional de la gestión de riesgos a analizar la criticidad, la accesibilidad, la recuperabilidad, la vulnerabilidad, el efecto y la capacidad de reconocimiento de un activo. Como se basa en datos cualitativos y cuantitativos, CARVER se puede aplicar en casi cualquier escenario que se analice y discuta de forma organizada y lógica. Puede resultar muy útil si necesita, por ejemplo, defender una solicitud de presupuesto o un plan estratégico ante los líderes de la empresa. Como le ayuda a articular una historia eficaz mediante valores numéricos, CARVER se puede utilizar para aclarar los objetivos de la misión, ya sea en el campo de batalla o en la sala de juntas.

••• Una de las expresiones más utilizadas por el aspirante a «Wall Street Rambos» es _los negocios son la guerra_. Pero a veces las tácticas de guerra realmente pueden ayudar en los negocios. Entre estas tácticas se encuentra CARVER, un sistema para evaluar y clasificar las amenazas y las oportunidades. Desarrollado durante la Segunda Guerra Mundial, los analistas utilizaron originalmente el CARVER (que entonces era una letra más corto y se conocía como CARVE) para determinar dónde los pilotos de los bombarderos podían lanzar sus municiones sobre objetivos enemigos de la manera más eficaz. Puede ser tanto ofensivo como defensivo, lo que significa que se puede utilizar para identificar los puntos débiles de la competencia y para realizar auditorías internas. Además, muchos expertos en seguridad consideran que es la herramienta de evaluación definitiva para proteger los activos críticos. De hecho, el Departamento de Seguridad Nacional de los Estados Unidos lo ha recomendado como metodología de evaluación preferida. (Uno de nosotros, Luke, está tan entusiasmado con CARVER que coescribió un libro sobre él.) Más recientemente, CARVER ha convertido a una nueva comunidad de creyentes en el mundo empresarial, que incluye directores ejecutivos, analistas financieros y planificadores de gestión de riesgos, sin mencionar a varios directores de seguridad de la lista Fortune 500. Como se basa en datos cualitativos y cuantitativos, CARVER se puede aplicar en casi cualquier escenario que se analice y discuta de forma organizada y lógica. Puede resultar muy útil si necesita, por ejemplo, defender una solicitud de presupuesto o un plan estratégico ante los líderes de la empresa. Como le ayuda a articular una historia eficaz mediante valores numéricos, CARVER se puede utilizar para aclarar los objetivos de la misión, ya sea en el campo de batalla o en la sala de juntas. Se podría decir que CARVER es un análisis FODA con esteroides. CARVER es un acrónimo que significa: - Criticidad: qué tan esencial es un activo o un sistema crítico para su empresa - Accesibilidad: qué tan difícil sería para un adversario acceder al activo o atacarlo - Recuperabilidad: qué tan rápido podría recuperarse si algo le pasara algo al activo - Vulnerabilidad: qué tan bien (o no) el activo podría resistir el ataque de un adversario - Efecto: cuánto impacto tendría en su empresa si algo le pasara algo al activo - Reconocibilidad: qué probabilidad hay de que un adversario reconozca el activo como un objetivo valioso Para usar CARVER, ya sea que esté evaluando un sistema, un objetivo empresarial o cualquier otra cosa, asigne puntuaciones del 1 al 5 (siendo 5 «lo más esencial», «lo más probable», etc.) a cada uno de los seis criterios anteriores. La suma de las seis puntuaciones es la puntuación total de lo que esté evaluando. Una vez que haya calculado las puntuaciones totales de algunas cosas, podrá compararlas. Por ejemplo, podría utilizar CARVER para comparar dos oportunidades de negocio; la que tenga la puntuación más alta probablemente sea la mejor opción. He aquí un ejemplo. Supongamos que el director de seguridad de una empresa de petróleo y gas decide cómo asignar su presupuesto a varios lugares y activos. A nivel estratégico, el CSO podría usar CARVER para analizar los factores involucrados en cada ubicación y, luego, asignar los recursos a cada instalación. Para empezar, la CSO haría una serie de preguntas relacionadas con los criterios CARVER. Empezando por Criticality, podrían preguntarse: «¿Qué importancia tiene el oleoducto de Abuja (Nigeria) para las operaciones generales de la empresa?» Como la criticidad se basa en la importancia del activo (en este caso, el oleoducto), el CSO tendría que determinar si la destrucción o el compromiso de este activo tendría un impacto significativo en la producción, la misión o el funcionamiento de la empresa. El CSO clasificaría la criticidad de la siguiente manera: 5 — La pérdida del oleoducto interrumpiría las operaciones 4 — La pérdida reduciría las operaciones considerablemente 3 — La pérdida reduciría las operaciones 2 — La pérdida puede reducir las operaciones 1 — La pérdida no afectaría a las operaciones Obviamente, cuanto más alta sea la cifra, más perjudicial será la pérdida del activo para la organización. Cuanto menor sea el número, menos perjudicial será la pérdida o podría haber despidos, por ejemplo, en otros oleoductos. (Esos despidos también afectarían a la puntuación de recuperabilidad del activo). Para evaluar la recuperabilidad de ese mismo oleoducto (quizás después de un desastre natural, un sabotaje o un ataque terrorista), la CSO lo clasificaría de la siguiente manera: 5 — Extremadamente difícil de reemplazar; tiempo de inactividad prolongado 4 — Difícil de reemplazar; tiempo de inactividad prolongado 3 — Se puede sustituir en un tiempo relativamente corto 2 — Se sustituye fácilmente en poco tiempo 1 — Se puede sustituir inmediatamente; tiempo de inactividad breve o nulo La CSO seguiría clasificando el oleoducto de Abuja según los otros cuatro criterios. Si la cartera recibiera un 5 en Criticidad y capacidad de recuperación, por ejemplo, parece probable que sea una buena candidata para recibir una parte mayor del presupuesto del CSO. Para poner otro ejemplo, supongamos que un fondo de cobertura quiere adquirir una empresa de tecnología que afirma tener una tecnología de vanguardia. Además de simplemente auditar los libros de la empresa, los analistas podrían realizar una evaluación CARVER para determinar qué tan cerca podría estar la competencia de ponerse al día con esta tecnología y, así, equilibrar el riesgo de la inversión. La empresa de tecnología puede obtener una puntuación baja (es decir, buena) en Criticidad y recuperabilidad, pero una puntuación alta (es decir, mala) en Accesibilidad y Efectos. Esa puntuación de accesibilidad podría significar que un competidor podría superar el producto en el mercado y el efecto podría ser las consecuencias de una controvertida campaña de marketing. Una pregunta que los analistas podrían hacerse para Effect es: «¿Cuál es el efecto en nosotros si los competidores de la empresa de tecnología se nos adelantan en el mercado?» 5 — Impacto económico, político o social muy alto en la organización 4 — Alto impacto económico, político o social 3 — Impacto moderado 2 — Poco impacto 1 — Sin impacto desfavorable Lo importante que debe recordar es que este ejercicio se lleva a cabo para identificar, categorizar y priorizar los activos de alto riesgo, evaluar las vulnerabilidades y hacer recomendaciones en torno al riesgo. Una vez finalizada la evaluación CARVER y se hayan identificado los riesgos y amenazas materiales, los profesionales de la seguridad y la gestión de riesgos pueden determinar el mejor enfoque a seguir. Incluso la más mínima diferencia en las puntuaciones de CARVER podría influir en si abre una tienda en un lugar o en otro, o ayudarlo a decidir entre mejorar una línea de productos existente o optar por crear algo nuevo. Las decisiones estratégicas las toman en las salas de juntas de todo el mundo, los ejecutivos que buscan cualquier ventaja sobre la competencia. Los líderes empresariales buscan números concretos que les den una ventaja en el proceso de toma de decisiones. CARVER puede proporcionar una justificación cuantificada para mantener (o abandonar) una decisión o iniciativa.