Las 4 fases para la gestión de riesgos en el ciberespacio (parte I)
El principal deber de la ciberseguridad es gestionar los riesgos en el ciberespacio a los que están expuestos los servicios, los sistemas y la información de las organizaciones, esta tarea incluye su identificación y su mitigación. Es necesario considerar que la eficacia de las políticas, la implementación de controles, la asignación de recursos y la preparación para prevenir y responder ante incidentes de ciberseguridad dependen de la comprensión de los riesgos y de las amenazas que enfrenta una organización.
El uso de un enfoque basado en riesgos permite una toma de decisiones más informada para su protección, de esa manera se podrá invertir de buena forma el presupuesto y asignar los recursos, que de antemano sabemos, son limitados.
Tomando como referencia las normas ISO/IEC 31000:2018 directrices para la gestión de riesgos e ISO/IEC 27005:2018 Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información, podemos señalar que la gestión de ciber riesgos es un proceso cíclico compuesto de cuatro fases:
- Identificación.
- Evaluación.
- Respuesta y Mitigación.
- Control, Monitoreo y Reporte.
Primera fase: la identificación de los riesgos.
Existe una tensión natural entre la funcionalidad de un sistema y su seguridad. Veámoslo de este modo, un edificio sin puertas ni ventanas es bastante seguro, pero así no sirve para nada. Asimismo, una aplicación o un sistema sin entradas ni salidas de datos es muy seguro, aunque no puede prestar un servicio. Cuantos más productos ofrece una organización, más vías de entrada y salida de su sistema habrá que proteger. Por lo tanto, para cada servicio hay que calcular su valor frente a las implicaciones de seguridad que conlleva su operación.
El riesgo puede calcularse en términos cuantitativos o cualitativos. Sin embargo, la naturaleza fundamental de la gestión del riesgo es que aborda las probabilidades de que ocurra algún evento (probabilidad) y lo que significaría para la organización si ese evento ocurriera (consecuencias). En los primeros intentos de definir el riesgo se observó que la probabilidad de que algo sucediera era una combinación de dos cosas: de la existencia de un adversario interesado en un objetivo determinado (amenaza) y si ese objetivo era susceptible al ataque del adversario (vulnerabilidad).
A medida que el estudio de riesgos maduró, se comenzó a distinguir entre las consecuencias y como afectan estas a las actividades que generaban importancia para la organización (impacto). Ahora es común distinguir entre diferentes tipos de amenazas, valorarlos sobre la base de activos que pudieran atacar y evaluarlos en términos de sus debilidades que podrían ser explotadas. Cuando se identifica cómo se utilizan estos activos dentro de la organización, es posible cuantificar algún impacto sobre ellos en términos de pérdida de productividad y otras medidas específicas de valor, lo cual es útil por dos razones:
En primer lugar, para el grupo directivo es más fácil establecer un valor monetario de las pérdidas totales en las que están dispuestos a incurrir, término conocido como apetito de riesgo, que definir qué consecuencias son o no aceptables en una docena o más de áreas diferentes de la organización.
En segundo lugar, conocer las pérdidas potenciales asociadas a los riesgos proporciona una base para decidir cómo responder a ellos.
El riesgo es una parte fundamental de cualquier negocio, por eso asumir un peligro excesivo puede conducir a una mayor probabilidad de fracaso de una organización y a pérdidas monetarias. El grupo directivo debe dar una declaración clara sobre cuánta inseguridad puede asumir y a qué oportunidades se conviene renunciar.
Un escenario de riesgo es la descripción de un posible evento cuya ocurrencia tendrá un impacto incierto para la organización, este puede ser positivo o negativo. El desarrollo de escenarios de riesgo se basa en la descripción de un evento potencial y en la documentación de los factores y áreas que pueden verse afectados por este. Cada escenario debe estar relacionado con un objetivo de la organización. Los sucesos de riesgo pueden incluir fallos en los sistemas, pérdida de personal clave, robos, interrupciones en la operación, ciberataques, cortes de energía o cualquier otra situación que pueda afectar los procedimientos y la misión de la organización.
La clave para desarrollar escenarios efectivos es centrarse en eventos de riesgo potenciales reales y relevantes, por lo que se requiere creatividad, reflexión, consulta y cuestionamiento. Los incidentes ocurridos con anterioridad pueden servir de base para la elaboración de escenarios de riesgo, siendo importante que se exploren a fondo con la intención de prevenir que se repitan.
Los escenarios de riesgo pueden desarrollarse desde una perspectiva "top-down" impulsada por los objetivos de la organización y la afectación que tendrían al ocurrir algún evento, o desde una perspectiva "bottom-up" basada en la descripción de riesgos de ciberseguridad, en procesos o servicios específicos de la organización.
Segunda fase: la evaluación de los riesgos.
Durante la identificación del riesgo, se desarrollan los escenarios que se utilizan para identificar y describir posibles eventos de inseguridad. Estos escenarios son útiles para comunicarse con la organización y recopilar la información necesaria para comprender el impacto potencial o probable del evento si llegara a ocurrir.
El impacto de un evento es difícil de calcular con cierto grado de precisión porque hay muchos factores que afectan su resultado. Por lo que, es necesario que se detecte rápidamente y se tomen las medidas adecuadas para contener el incidente, el impacto puede minimizarse y el proceso de recuperación puede ser bastante rápido. Sin embargo, si la organización no es capaz de detectar pronto el incidente, este podría causar graves daños y ocasionar costos de recuperación muy elevados.
Cuando se dispone de datos claros y estadísticamente sólidos, la probabilidad puede calcularse en términos cualitativos. Tal es el caso de los fenómenos meteorológicos o de las catástrofes naturales. Sin embargo, a veces no se dispone de datos históricos o precisos, como suele ocurrir con los eventos e incidentes de ciberseguridad. En ese caso se ocupan los cálculos cualitativos estableciendo categorías como: "Alto, Medio y Bajo" o "Seguro, Muy Probable, Poco Probable, Imposible". En este último caso, es muy importante definir el significado de cada categoría y utilizar esa definición de manera consistente a lo largo del proceso de evaluación.
Para cada riesgo identificado debe determinarse también el impacto o la magnitud del daño que pudiera resultar de un evento, estos podrían tener consecuencias en los ámbitos operativos, financieros, legales o reputacionales. En el área de la ciberseguridad, los impactos también se pueden evaluar en función de la pérdida de confidencialidad, integridad y disponibilidad.
Y al igual que con las probabilidades, los impactos pueden identificarse de manera cualitativa o cuantitativa. En la evaluación de riesgos de ciberseguridad, las clasificaciones cualitativas son las más utilizadas.
Por: Mtro. Luis Julián Zamora Abrego, Coordinador del diplomado de Ciberseguridad. CISM, CRISC, CDTP, ISO/IEC 27001 LA, ITIL e ITIL OSA.