La gestión del riesgo
Introducción
Antes de nada, debemos comprender el motivo primigenio de la existencia de la ciberseguridad (también llamada seguridad informática), y sus matices versus la seguridad de la información.
La ciberseguridad, si bien es cierto que en muchas ocasiones el término se utiliza de forma holística, hace referencia a técnicas, mecanismos y servicios para proteger la información, como puede ser criptografía, redes y protocolos, o aplicaciones de software.
El segundo, seguridad de la información, se aplica también a aspectos sistémicos como son los relativos a GRC (Governance, Gestión de Riesgos, y Cumplimiento normativo): implementación y mantenimiento de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 o el Esquema Nacional de Seguridad (ENS) por ejemplo, planes de continuidad de negocio (basados en ISO 22301), Planes Directores de Seguridad, observancia de RGPD y otras disposiciones legales, etc.
Veamos antes de avanzar, una serie de definiciones:
- Sistema de Información (SI): conjunto de componentes interrelacionados para recoger, almacenar, procesar y distribuir información para dar soporte a la toma de decisiones y control dentro de una organización. Incluye SW, HW, medios humanos, procedimientos…
- Riesgo: posibilidad de ocurrencia de un evento o amenaza no deseada. Existen también riesgos positivos, cuya ocurrencia supondría un beneficio para la organización.
- Amenaza: peligro potencial para un recurso (por ejemplo, un desastre natural).
- Fuente: agente de la amenaza, algo o alguien con capacidad potencial para materializar la amenaza (pirata informático, malware…).
- Vulnerabilidad: debilidad o fallo en un recurso, de configuración, diseño o implementación (como la archiconocida en log4j).
- Exposición: oportunidad para que una amenaza cause daño.
El fin último, es proteger los activos de las organizaciones, aquello que tiene valor para ellas. El valor de los activos, es la propiedad de los mismos que representa su importancia. Una infravaloración implicará riesgos quizás no asumibles, y una sobrevaloración, ineficiencia en la gestión o los costes.
Tradicionalmente se considera que lo más valioso para una organización, además de su capital humano, son los datos y los servicios (sus SI, en general). Son los considerados activos primarios (información de proveedores, clientes, empleados, otros stakeholders, productos y servicios, propiedad intelectual…). Esto se encarna en documentos en papel, ficheros informáticos, dispositivos electrónicos, servicios de TI, etc.
Toda esta información será vital para el negocio, la gobernanza del mismo y la toma de decisiones, y como tal, debe ser protegida.
Dicha información siempre ha estado amenazada, desde tiempos inmemoriales, y ha sido objeto de históricas disputas. De ahí surgió la necesidad de medidas de control y salvaguarda, algunas atemporales, como el cifrado César de sustitución alfabética simple en la época romana, que lógicamente evolucionaron con el tiempo hacia variantes más robustas y modernas.
La información es de naturaleza inmaterial. Reside en la documentación, los sistemas informáticos y las propias personas. Con la digitalización, y el incremento en el uso de las TIC aumenta el número de amenazas, y la probabilidad de materialización de las mismas. Esos riesgos, deben ser analizados y mitigados.
Preguntas clave
Hay una serie de preguntas básicas que debemos hacernos, para proteger adecuadamente la información.
1. Qué.
De los activos, debemos garantizar las dimensiones básicas de la seguridad:
- Confidencialidad: propiedad o característica que posibilita que la información no sea conocida por entidades (ya sean personas, organizaciones o procesos), sin la autorización necesaria para ello.
- Integridad: propiedad o característica consistente en que la información no sea transformada ni modificada de forma no autorizada por alguna entidad, durante el procesamiento, transporte, o almacenamiento. Y cuando están autorizadas, esa transformación o modificación se realizará conforme a diseño.
- Disponibilidad. Garantía de que la información puede ser consumida por las entidades autorizadas para ello, en el momento en que tienen necesidad de ella, tal y como se haya acordado en el diseño.
Las anteriores, constituyen las propiedades o dimensiones básicas de la seguridad, la tríada C-I-D. Adicionalmente, se consideran otras dimensiones:
- Trazabilidad, garantía de que en todo momento se podrá determinar quién hizo qué, y en qué preciso instante de tiempo.
- Autenticidad. Propiedad o característica consistente en que puede conocerse con garantías la identidad genuina de un usuario, entidad o proceso, que origina cierta información. Permite saber quién envía una información de manera específica, y evita el repudio.
Otras características importantes, pero ya no consideradas dimensiones de seguridad como tales:
- Conservación de la información. Junto a utilización y acceso a la misma, forman parte de su ciclo de vida. La información reside en determinados soportes, con una vida útil asociada, y deben emplearse los más adecuados para las diferentes fases del ciclo de vida. En cuanto al formato: debe ser de poder ser legible e interpretable a pesar del paso del tiempo. Y aunque dicho formato llegase a quedar obsoleto, conservará sus características.
- Acceso: capacidad de poder utilizar los recursos de los sistemas TIC que permiten obtener la información.
2. Dónde.
En los sistemas de información y comunicaciones, que almacenan, procesan y transmiten los datos. Un conjunto interrelacionado de medios materiales, electrónicos, humanos, y procedimientos, dedicados al procesado y la gestión de la información, y que una organización necesita para alcanzar los objetivos de negocio.
Hay que proteger estos componentes de la organización frente a las amenazas a que se expone, teniendo en cuenta sus características y vulnerabilidades.
3. Cómo.
Las amenazas a que se exponen los activos, se contrarrestan mediante implantación de salvaguardas o controles que actúan de diferentes modos:
- Minimizan la probabilidad de materialización de la amenaza.
- Minimizan el impacto en la organización, si no se evita su ocurrencia.
- Establecen procedimientos de recuperación del servicio y/o restauración de daños sufridos.
- Mediante mecanismos de modificación de salvaguardas previos, tras el feedback recogido de otros incidentes o la experiencia (mejora contínua).
4. Cuándo.
En todo el ciclo de vida de la información: captura, almacenamiento, procesado, transmisión, uso, y eliminación.
Gestión del riesgo
Garantizar la seguridad la información en los aspectos mencionados arriba, debe ser un objetivo prioritario de cualquier organización. Para ello, es fundamental llevar a cabo un ejercicio de gestión del riesgo, uno de los pilares de la ciberseguridad.
Consiste en un conjunto de procesos de identificación, análisis y evaluación de riesgos (basados en ISO 31000 e ISO 27005), para tomar decisiones de asunción, mitigación o transferencia de los mismos en materia de seguridad la información, en los diferentes ciclo de mejora de procesos y sistemas.
Hablamos de ciclos, porque es muy importante destacar que la ciberseguridad es un proceso continuo. Las políticas y controles para protección de la información, deben revisarse y adecuarse constantemente. No hay ningún SI 100% seguro, y menos, para siempre.
Además, existen herramientas de análisis de riesgos en tiempo real, que permiten que las decisiones se puedan tomar con frecuencia superior a la anual (pues el entorno interno y externo de las organizaciones, está en permanente cambio).
A alto nivel, esta actividad de Gestión del riesgo, consistirá en:
- Identificar los activos más importantes para la organización.
- Determinar su nivel de criticidad.
- Inventariar las amenazas principales sobre dichos activos, su probabilidad de ocurrencia e impacto potencial.
- Determinar el nivel de riesgo de cada amenaza.
- Llevar a cabo el tratamiento del riesgo.
Preguntas clave de cara a la gestión de riesgos, serían las siguientes:
- Que podría suceder (eventos indeseados o amenazas)?
- Si se dan, cuán malo puede ser impacto?
- Con qué frecuencia puede ocurrir (frecuencia de ocurrencia la amenaza)?
- Cuán seguros estamos de los 3 anteriores (reconocimiento de la incertidumbre)?
Una vez los riesgos están analizados y evaluados, veríamos:
- Qué se puede hacer (mitigación de riesgos).
- Cuánto va a costar (estimación del coste por intervalos, por ejemplo, anuales).
- Es rentable (análisis de coste beneficio)?
Además, debe tenerse en cuenta que la gestión del riesgo, debe llevarse a cabo desde el punto de vista:
- Legal: regulaciones internacionales, nacionales y regionales que protegen la privacidad y los derechos de las personas individuales.
- Técnico: desarrollo, análisis, configuración y despliegue de mecanismos técnicos (HW, SW, redes..) con características de seguridad.
- Organizativo: considera la seguridad como elemento fundamental para el negocio. Se basa en análisis de riesgos.
En lo anterior, resaltar que siempre tendremos en cuenta el ratio coste/beneficio, puesto que no tendrá sentido implantar controles de seguridad para mitigar un riesgo, cuyo coste sea superior al impacto potencial de la materialización de su amenaza asociada.
Reflexiones finales
La seguridad de la información, implica la protección de activos necesarios para que la organización cumpla su misión, frente al daño o destrucción. Es una actividad crítica, y cuyo pilar fundamental es el análisis de riesgos. Pero no hay un nivel perfecto de seguridad, es un ejercicio racional de coste-beneficio, y decisión de gestión de cada organización. La ciberseguridad es un servicio continuo!
Desgraciadamente, todavía en una gran parte del tejido empresarial, la ciberseguridad se ve como un obstáculo, o un coste innecesario (hasta que se sufre un incidente serio). Debe realizarse mucha labor de concienciación y formación, si bien es cierto que se aprecia de un tiempo a esta parte más proactividad por parte los empresarios.
En un próximo post, veremos cómo llevar a la práctica un análisis de riesgos. El resultado final del ejercicio, será determinar qué medidas deben ser implantadas (a nivel técnico-organizativo), de cara a permitir que el nivel de riesgo global de la organización esté dentro de umbrales tolerables por la misma, en base a su apetito de riesgo.
Cada organización tendrá sus activos particulares, amenazas, riesgos, y umbrales de tolerancia propios, y por tanto las estrategias de ciberseguridad serán diferentes. Sí, hay una serie de principios básicos fundamentales que encajarán en cualquier organización… pero el café para todos, en ciberseguridad, no es eficiente ni eficaz.
Suscríbete sin compromiso para recibir nuevos posts, y recibirás acceso gratuito a una Masterclass acerca de qué es la ciberseguridad, por qué es tan importante, y cómo acceder a un puesto en dicho sector. Si estás pensando en formarte en ese ámbito o reciclarte, te vendrá estupendamente.
En las ediciones futuras de la newsletter, iremos pivotando entre temas más técnicos de ciberseguridad, y GRC.
Comparte con quien consideres que pueda resultarle relevante! Si quieres contactar por privado: oscar.iglesias@daferrasecure.com.
Gracias por leernos. Stay secure!
ETD