Mi aportación principal es mostrar una forma de ver los riesgos no sólo como la parte negativa que puede impactarnos. Todos los riesgos provienen de un habilitador que nos permite (o permitió) cumplir objetivos o perseguir oportunidades; el libro ayuda a ver los riesgos con respecto de ese beneficio generado para poder determinar el esfuerzo que se hará para tratarlo, implementando controles.
El texto busca conciliar visiones con respecto de los riesgos financieros y otros riesgos relacionados con consecuencias positivas, contra aquellos riesgos que están principalmente relacionados con consecuencias negativas, —principalmente los existentes en las tecnologías de la información—.
Para algunos ha sido difícil entender ciertos elementos como la probabilidad o posibilidad y su cálculo; a lo largo del libro se establecen criterios y ejemplos que deben ayudar a entender mejor estos conceptos. En un riesgo financiero o en los riesgos de empresas de seguros es fácil evaluar la incidencia y derivar una probabilidad por la cantidad de eventos y porque las consecuencias se "diluyen" entre un gran número de casos. Eso hace distintos a los riesgos en los sistemas informáticos, y busco explicar cómo se definen, se miden, pero sobre todo cómo se establecen criterios que lleven de forma efectiva al tratamiento y no sólo a llenar tablas y generar cargas de trabajo que no aportan nada. Describo este tipo de riesgos con algunos conceptos formulados por mí, como la disincronía que existe entre el momento y el tipo de beneficio que provino de un riesgo al momento de tomarlo —cuando se obtuvieron sus beneficios—, contra un segundo momento cuando se materializan las consecuencias negativas y que las “pérdidas” pueden presentarse en una "moneda de cambio" distinta a los beneficios obtenidos.
Un ejemplo sobre mis aportaciones: en los análisis de riesgo típicos se califica cada activo con respecto de su confidencialidad, integridad y disponibilidad; posteriormente se combinan estos valores (en ocasiones por medio de sumas, multiplicaciones u otras operaciones matemáticas) en uno solo para determinar un nivel de riesgo, pero muchas veces no se aprovecha esa información para tomar decisiones sobre: si un activo es calificado con confidencialidad media, necesita los controles X y Y, pero si la confidencialidad es alta, además de esos necesita el control Z (como agregar un segundo factor de autenticación, un biométrico o un cifrado más robusto). Pero esos controles ligados a la confidencialidad son distintos a los de la disponibilidad, así que si la calificación de disponibilidad fue alta se necesitan los controles N, M y O. De esta forma el análisis de riesgos que combina los valores para confidencialidad, integridad y disponibilidad desaprovechó información valiosa que no ayuda a la toma de decisiones sobre los controles que se necesitan ni a que se documenten dentro del mismo proceso de gestión de riesgos, sino que dependan de la experiencia de la gente o de las prácticas a las que está obligada la organización.
Otro ejemplo está en el cálculo de la posibilidad de los eventos de riesgo. La mayoría de las veces la posibilidad está calculada con información incompleta, sesgada o sin antecedentes de los eventos de riesgo. En el mejor de los casos cuando los miden con métodos estocásticos o bayesianos, considerar ese valor para disminuir el nivel del riesgo lleva a subestimarlo, —sobre todo en eventos de 0-day o black swan—. Para ello propongo una forma de considerar estos valores para las posibilidades y las consecuencias por separado, para tomar decisiones específicas sin subestimar los riesgos.