Los pilares de la tierra (II)

La gestión del riesgo, guía práctica

En el post anterior #01. Los pilares de la tierra, vimos algunas nociones básicas de ciberseguridad, su misión, y la importancia de la Gestión del Riesgo como piedra angular de la protección de los activos de las organizaciones.

Sintetizando mucho, se trataba de proteger los activos de los Sistemas de Información en sus dimensiones principales de seguridad (fundamentalmente, confidencialidad, integridad y disponibilidad). Resguardarlos frente a amenazas potenciales que pudieran causar un perjuicio (social, económico, reputacional), evaluando estos riesgos, tratándolos, y en su caso, implementando controles para mitigarlos y mantenerlos en unos niveles asumibles.

Eso sí, siempre teniendo un ojo puesto en el coste/beneficio de nuestras acciones, y de manera cíclica y continua en el tiempo. La ciberseguridad es un proceso continuo, no nos cansaremos de repetirlo.

Veamos hoy cómo aterrizar esto en la práctica, con una metodología concreta a modo de ejemplo. Y digo ejemplo, porque no hay una técnica universal y única para llevar a cabo esta actividad, sino que la ISO 31000 (Gestión del riesgo, en general) y la ISO 27005 (Gestión del riesgo en Seguridad de la Información), indican qué debe hacerse, pero otorgando cierta libertad en el cómo.

Comentar también que en ciertos casos, indico tecnologías, prácticas o herramientas a utilizar; esto no quiere decir que sean las únicas, ni las más adecuadas en un contexto dado.

Vayamos al grano.

Resumen

Nuestro objetivo será llevar a cabo la evaluación del riesgo (usando terminología ISO 31000:2018), de una serie de procesos de negocio de una compañía ficticia.

  1. Contexto, activos y relaciones.

Inicialmente se describiría el modelo de arquitectura empresarial planteado. Para ello, emplearía el estándar TOGAF, y definiría el diagrama mediante el lenguaje de modelado Archimate. Se listarán los componentes asociados a cada capa de la jerarquía, y ahí veríamos a nivel gráfico cuáles son los activos principales, y sus interrelaciones.

  1. Evaluación B.I.A. de criticidad de activos.

Evaluaremos qué criticidad tiene cada componente para el negocio, de manera directa o indirecta, evaluando el riesgo con metodología B.I.A. (Business Impact Analysis).

  1. Metodología de risk assessment

Tras lo anterior llevaremos a cabo el proceso de Apreciación y tratamiento del riesgo, en terminología de ISO 31000. Además del riesgo que hemos definido a nivel de negocio (criticidad o valoración de los activos), definiremos la metodología de risk assessment, que nos permitirá fijar cómo realizar las tareas posteriores.

  1. Identificación de amenazas.

Identificaremos sucesos (amenazas) que pueden tener un impacto negativo en las dimensiones de seguridad de nuestros activos.

  1. Análisis y evaluación de escenarios.

Para las amenazas anteriores, determinaremos el ratio de degradación sobre los activos con una probabilidad estimada, y determinaremos si tenemos una pérdida total o parcial de los activos, en un marco temporal determinado (y según las condiciones de contorno definidas por la Dirección de la organización).

  1. Tratamiento del riesgo.

Una vez valorado si el riesgo es o no asumible, se determinará su tratamiento si procede. Con esto último, se mitigarán los riesgos, de cara a que estas amenazas conocidas, se encuentren para la compañía dentro de unos umbrales con los que su Dirección se sienta cómoda.

Contexto, activos y relaciones

Como se indicó, se trata de describir el modelo de arquitectura empresarial planteado. Para ello, emplearía el estándar TOGAF, y definiría el diagrama mediante el lenguaje de modelado Archimate, utilizando por ejemplo SandasGRC. Se listarán los componentes asociados a cada capa de la jerarquía, y ahí veríamos a nivel gráfico cuáles son los activos principales, y sus interrelaciones.

Listaríamos todos los activos indicando en qué capa se encuentran:

  • Negocio (información, contratos, servicios, funciones de negocio, personal, ubicaciones…).
  • Aplicación (sistemas de información, bases de datos, aplicaciones…).
  • Tecnología (hypervisors, hosts, clusters, servicios de almacenamiento…).

A cada activo, asociamos su nombre, tipo, capa y con qué otros activos se relaciona. Como digo, en las herramientas de gestión del riesgo esto se puede hacer en un diagrama que representa la arquitectura empresarial, pero en su defecto… Excel es nuestro amigo.

Evaluación B.I.A. de criticidad de activos

Para valorar la importancia o criticidad de cada activo, se pueden tener en cuenta los criterios de la guía del Centro Criptológico Nacional CCN-STIC 803. Realmente su ámbito de aplicación son las organizaciones sujetas al Esquema Nacional de Seguridad (esto dará para otro capítulo), pero es una buena referencia igualmente.

Se valora la importancia para el negocio, de manera directa o indirecta, con metodología BIA (Business Impact Analysis). Para ello se tendrá en cuenta la magnitud de pérdida potencial y la frecuencia de la misma, en base a la escala de valoración del framework de Gestión del Riesgo Magerit V3 (N/A, muy bajo, bajo, medio, alto, muy alto), en dos ejes:

  • Las cinco dimensiones de seguridad: confidencialidad, integridad, autenticidad, disponibilidad y trazabilidad (conforme al ENS).
  • Y los cinco aspectos de evaluación de impacto de ISO 27005 (punto de vista de negocio, legal, estatutario, regulatorio, y contractual).

En este sentido, se valora la criticidad de activos en los dos ejes indicados, teniendo en mente la repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de los propios activos, el cumplimiento de sus obligaciones contractuales, el respeto de la legalidad, y los derechos de sus clientes y proveedores.

Tendríamos, para cada activo, una matriz 5×5 con valores del 0 al 5 (representarían desde N/A a muy alto, respectivamente).

Cuando se realiza este ejercicio, es importante justificar el razonamiento detrás de las valoraciones asignadas. Ocurrirá también que ciertos activos son muy similares, y por tanto su valoración es idéntica.

Un punto a favor de herramientas como Sandas GRC, es que permite que se hereden las criticidades automáticamente para activos dependientes.

Metodología de risk assessment

Se considerarán en alcance todos los activos y procesos de la organización para la evaluación del riesgo. El propósito, es realizar un análisis global de cara a conducir inversiones en materia de seguridad en un plan a varios años (típicamente tres), para robustecer aquellos aspectos que se consideren relevantes.

Para la identificación de escenarios de riesgo se empleará metodología tipo MAGERITv3 (pares activo-amenaza), pero las tipologías de amenaza no necesariamente serán las estándares del catálogo de dicha metodología (que conforman una buena base para comenzar).

El enfoque de impact assessment, puede ser en base a los escenarios más probables, para optimizar las inversiones.

A la hora de analizar la frecuencia de materialización de consecuencias de las amenazas, se empleará una escala personalizada de 5 niveles:

  • Muy baja: ocurrencia 1/10 años.
  • Baja: 1/ 365 días.
  • Media: 1/30 días.
  • Alta: 1/7 días.
  • Muy alta: diaria.

Se usa de esta manera, una graduación semicuantitativa. Hay una celda, cubo, o frecuencia relativa normal (media: una vez al año), y las cinco de la escala guardan entre sí distancias no del todo proporcionales pero casi, buscando un compromiso con que sean fácilmente comprensibles en unidades de tiempo de uso común.

El valor inferior de probabilidad de ocurrencia, debería alinearse (en orden de magnitud), con el marco temporal de las inversiones a realizar.

Se usará una función matricial para cuantificar el nivel de riesgo en función de su probabilidad de ocurrencia, y su impacto más probable. La matriz se puede retocar ligeramente para ponderar con más énfasis los eventuales “cisnes negros” (perdónenme los Talebianos por la imprecisión), o estresar más otra zona de la matriz jugando con los pesos, a conveniencia, según la aversión al riesgo de la Dirección.

Matriz de riesgo ponderada

Para la evaluación de los escenarios, se empleará la técnica ALARP: 3 regiones, desde amenaza ampliamente tolerable, a tolerable, o inaceptable.

En la imagen anterior se pueden apreciar tanto los valores individuales para cada par frecuencia-impacto, así como las zonas de aceptación (polígono verde ampliamente aceptable, rojo intolerable).

Se clasificarán todos los escenarios o bien como ampliamente tolerables (aceptados de antemano), tolerables (revisión), o inaceptables, para su tratamiento (estos últimos deben ser mitigados).

En cuanto a los criterios de aceptación del riesgo que considera la organización, hay que definirlos de antemano. Por ejemplo:

  1. Nivel máximo de riesgo considerado directamente como ampliamente aceptable.Nivel 3 en la matriz de riesgo. Se considera que el perjuicio potencial puede ser aceptado sin poner en riesgo la viabilidad de la organización, y por tanto dichos riesgos no serán a priori tratados, a no ser que en la distribución del presupuesto de Seguridad a tres años haya holgura, en cuyo caso se valoraría su tratamiento ordenadamente según el nivel de riesgo y el coste potencial de tratamiento de las amenazas.
  2. Nivel mínimo de riesgo considerado directamente como inaceptable.Nivel 6 de la matriz de riesgo. Supone un nivel de riesgo superior al apetito del mismo por parte de la organización, cuya dirección no está dispuesta a soportar la incertidumbre a nivel operativo o financiero de una desviación de más de un 20% en los KPIs de seguimiento actuales.Adicionalmente, todos aquellos escenarios que se declaren como cisnes negros en base a la definición anteriormente mencionada, serán igualmente tratados (se identificarán de modo automático en base a la matriz de riesgo modificada). Ídem con aquellos que puedan suponer un daño reputacional o pérdidas económicas importantes (nuevamente, de impacto de más de un 20% de la cartera de clientes, proveedores, o ingresos).En esta organización concreta, los riesgos que caigan en la franja de tolerables se asignarán a la de inaceptables para su tratamiento, por la aversión al riesgo de la compañía y la escasez de controles actual (se asume que está arrancando su actividad).

Identificación de amenazas

Inventariaremos pares activo-amenaza. Tantos como podamos identificar.

Como se mencionó anteriormente, en Magerit v3 libro II, se incluye un catálogo de elementos. En el capítulo 5 del documento, hay un buen listado de partida con varias decenas de potenciales amenazas que pueden aplicar a nuestra organización (por ejemplo desastres naturales, amenazas de origen industrial, errores y fallos no intencionados, o ataques intencionados de diversa índole).

Esta lista debemos enriquecerla con aquellas amenazas que identifiquemos y surjan del brainstorming, y análisis del contexto interno y externo de la organización. Esto es fundamental. No debemos centrarnos sólo en amenazas a nivel técnico, sino también las que provengan de la situación político/económica/regulatoria, stakeholders, etc.

Análisis y evaluación de escenarios

Análisis

En base a la metodología y el enfoque indicado en Metodología, se determinan la frecuencia de ocurrencia de las amenazas con la escala personalizada, su degradación potencial en las cinco dimensiones de seguridad definidas, y la justificación para ello.

Aquí debemos tener en cuenta las posibles medidas de control ya implantadas previamente, que por lógica, habrán atenuado las probabilidades de ocurrencia o impacto de las eventualidades.

De este ejercicio de definición detallada del escenario de amenaza, junto a la valoración inicial del activo que la sufre, se derivará el impacto de la amenaza.

Con ello, automáticamente en base a la matriz de riesgo, junto con la probabilidad del evento, se derivará el nivel de riesgo resultante de cada escenario activo-amenaza, para su evaluación posterior.

Evaluación

Tras el análisis de los escenarios, ponderando mediante la matriz de riesgo y los umbrales de máximo riesgo ampliamente aceptable y mínimo de inaceptable (3 y 6 respectivamente en nuestro ejemplo), se derivan tanto los niveles de riesgo de cada amenaza, como su ubicación en las tres franjas a considerar (ampliamente aceptable, aceptable, intolerable).

De los intolerables, y los aceptables que se determine, se debe realizar el tratamiento del riesgo.

Tratamiento del riesgo

Para cada escenario que requiera tratamiento, habrá que determinar las medidas propuestas a llevar a cabo, así como las probabilidades y degradaciones residuales resultantes caso de llevarse las acciones a término.

En cuanto a medidas: como referencia, la ISO 27002 proporciona un listado con 114 controles para Sistemas de Información, como pueden ser los relativos a los dominios políticas de seguridad, control de accesos, cifrado, o seguridad en la gestión de los recursos humanos.

El objetivo de estas actuaciones es verificar que en cada caso, los riesgos residuales se encontrarían dentro de la franja de tolerable/ampliamente tolerable.

Las acciones, pueden ser de diversa índole:

  • Implementar medidas para mitigar el riesgo.
  • Externalizar o transferir el riesgo (mediante seguros, outsourcing de servicio y responsabilidad…). No siempre es posible.
  • Evitar el riesgo. Dejar de usar ciertos recursos, o cesar la actividad asociada al mismo. Esta opción, no suele ser realista.
  • Asumir el riesgo, sin más. Se suele hacer cuando el coste del control a implementar, es superior en principio al causado por la materialización del riesgo.

De nuevo, aparece el concepto de costes. Recordemos que siempre debe estar presente el ratio coste/beneficio, no podemos matar moscas a cañonazos.

Una vez trazado el Plan de Tratamiento, habría que hacer la implantación, seguimiento, y mejora continua asociada a la Gestión de Riesgo según la ISO 31000. Habitualmente estas actuaciones se enmarcarán en un programa más amplio asociado al Plan Director de Seguridad.

Como hemos visto, la ciberseguridad no es solo cosa de techies; el buen mantenimiento de los sistemas de información requiere de políticas y procedimientos como las asociadas a la gestión del riesgo. Éstos deben observarse escrupulosamente para mantener la confidencialidad, integridad y disponibilidad de los activos de la organización, con un nivel de incertidumbre suficientemente bajo.


Suscríbete sin compromiso para recibir nuevos posts, y recibirás acceso gratuito a una Masterclass acerca de qué es la ciberseguridad, por qué es tan importante, y cómo acceder a un puesto en dicho sector. Si estás pensando en formarte en ese ámbito o reciclarte, te vendrá estupendamente.



Comparte esto con quien consideres que puede estar interesado!

Si quieres contactar por privado: oscar.iglesias@daferrasecure.com.

Gracias por leernos. Stay secure!

ETD

Deja un comentario