8 pasos para la evaluación de riesgos de ciberseguridad de una empresa

Noticias y Novedades

En esta serie compartimos lo que hay que hacer a la hora de evaluar los riesgos de seguridad de una organización, con una lista de ocho pasos para evaluar riesgos de seguridad según el enfoque de OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

Esta guía para evaluar riesgos de seguridad en 8 pasos fue desarrollada por SEI (Software Engineering Institute) y cuenta con documentación disponible de forma gratuita.

 

Criterios para analizar y evaluar el riesgo

Un enfoque muy común en seguridad de la información consiste aplicar controles de seguridad como resultado de la evaluación y tratamiento de riesgos. El uso del modelo de OCTAVE Allegro (y de otros modelos similares) permite trabajar de forma preventiva para hacer frente a los riesgos de seguridad que continuamente se presentan en una organización, ya que tienen como objetivo anticiparse a la materialización de amenazas identificadas.

Según este método, el desafío consiste en considerar todas las amenazas que podrían afectar de manera negativa los objetivos de una organización para hacer un análisis de riesgos e intentar reducirlos hasta un nivel aceptable. Para esto se puede utilizar, por ejemplo, una metodología como MAGERIT.

A continuación se describen los primeros cuatro pasos de OCTAVE Allegro. Al final de esta publicación encontrarán el enlace a la segunda parte de esta publicación con los cuatro pasos restantes.



Ocho pasos para realizar un análisis de riesgo en seguridad



1. Establecer criterios de medición del riesgo

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

  • •   Reputación/confianza del cliente
  • •   Financiera
  • •   Productividad
  • •   Seguridad/salud
  • •   Multas/penas legales

Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa.

Hoja

Imagen 1. En la siguiente imagen se observa un ejemplo de un área de impacto para los criterios de “Reputación y confianza del cliente”

 

Una característica de OCTAVE Allegro es que emplea hojas de trabajo para registrar toda la información que se genera durante su aplicación. Esto se traduce en una ventaja, ya que algunos estándares de seguridad requieren que el proceso de evaluación de riesgos sea documentado.

Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la organización, por lo que el orden puede variar de una empresa a otra. La categoría más importante recibe el puntaje más alto y la menos importante recibe la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de impacto y solo utiliza las descritas en OCTAVE Allegro:

Hoja7

Imagen 2. Evaluación de riesgos: prioridades de las áreas de impacto

 

2. Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información; es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

También se debe asignar un custodio a cada uno de estos activos de información y se debe asignar el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

 

3. Identificar contenedores de activos de información

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos. Por lo tanto, también son los lugares donde se aplican los controles de seguridad.

De acuerdo con este método, pueden ser del tipo técnicofísico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

 

4. Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso 2.

Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

 

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Arbol

Imagen 1.

 

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

 

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

 

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:

Puntaje

Imagen 2.

 

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

 

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Matriz

Imagen 3.

 

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

 

El método OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

 

 

×