Metodologías de evaluación de riesgos cibernéticos

Salir de excursión sin un mapa o una idea clara de a dónde vas probablemente terminará en una experiencia agotadora y estresante. El mismo problema ocurre si una empresa se embarca en una evaluación de riesgos sin la preparación suficiente. Incluso si ya realiza evaluaciones de riesgos con regularidad, surgen nuevas metodologías y mejores prácticas a medida que los expertos analizan los ataques pasados. La formulación de una metodología de evaluación de riesgos de seguridad de TI es una parte clave de la construcción de un programa sólido de gestión de riesgos de seguridad de la información.

Aquí hay una guía avanzada sobre la ejecución e implementación de evaluaciones de riesgos cibernéticos para aquellos que ya están familiarizados con la metodología de evaluación de riesgos cibernéticos.

¿Qué es una evaluación de riesgos?

Una evaluación de riesgos es un proceso que tiene como objetivo identificar los riesgos de ciberseguridad, sus fuentes y cómo mitigarlos a un nivel aceptable de riesgo.

El proceso generalmente comienza con una serie de preguntas para establecer un inventario de activos de información, procedimientos, procesos y personal.

Esto permite que tu organización comprenda cuáles son sus activos de información clave y cuáles representan el mayor riesgo. El riesgo generalmente se calcula como el impacto de un evento multiplicado por la frecuencia o probabilidad del evento.

Independientemente de si tu organización utiliza un proceso de evaluación de riesgos cualitativo o cuantitativo, se requiere cierto nivel de toma de decisiones. Por lo general, esto se presenta en forma de un análisis de coste / beneficio para determinar qué riesgos son aceptables y cuáles deben mitigarse.

Un proceso de evaluación de riesgos sólido se centrará en todos los aspectos de la seguridad de la información, incluidos los controles físicos y ambientales, administrativos y de gestión, así como los controles técnicos.

Este es un proceso laborioso para los evaluadores que requiere sólidas habilidades de control de calidad y gestión de proyectos, y se vuelve más difícil a medida que tu organización crece. Impulsado por el ritmo cada vez mayor de los sistemas de información, los procesos y el cambio de personal, así como la introducción de nuevas amenazas cibernéticas, vulnerabilidades y proveedores externos.

Alcance

Aunque es tentador realizar una evaluación de riesgos en cada aplicación, función o proceso dentro de una empresa, simplemente no es factible. La determinación de un límite de evaluación muestra a los equipos dónde distribuir los recursos y dónde se adaptarían mejor las diferentes metodologías.

Para establecer el límite operativo de una evaluación de riesgos, revisa las siguientes preguntas:

  • ¿Qué sistemas son críticos para las operaciones?
  • ¿Los sistemas son internos o externos?
  • ¿Qué tan sensible es la información que maneja cada sistema?

A partir de estas preguntas, las empresas obtienen la información necesaria para planificar un cronograma de evaluación y potencialmente reducir el límite del plan de evaluación de riesgos inicial. Al hacerlo, ahorrarás tiempo y dinero y minimizarás el esfuerzo desperdiciado.

¿Cuándo se deben realizar las evaluaciones de riesgos?

Las evaluaciones de riesgos deben realizarse a lo largo del ciclo de vida de los activos de información, a medida que cambian las necesidades comerciales y surgen nuevos vectores de ataque.

Al emplear un enfoque de evaluación de riesgos continua, las organizaciones pueden identificar los riesgos y controles de ciberseguridad emergentes que deben implementarse para abordarlos.

Al igual que con cualquier otro proceso, la seguridad debe supervisarse, mejorarse y tratarse continuamente como parte de la calidad general del producto / servicio.

Considera realizar una evaluación de riesgos siempre que se encuentren brechas de seguridad o exposiciones a riesgos, así como cuando decidas implementar o eliminar un determinado control o un proveedor externo.

Al igual que con cualquier proceso de gestión de riesgos de la información, esto se basa en gran medida en la tríada CIA (confidencialidad, integridad y disponibilidad) y tus necesidades comerciales.

Para agilizar el proceso de evaluación de riesgos, las organizaciones deben tener políticas y estándares de seguridad internos que exijan requisitos, procesos y procedimientos de seguridad en toda la organización y sus proveedores, por ejemplo, utilizando solo proveedores externos con garantía SOC 2 y una calificación de seguridad superior a 850.

Categorías de riesgo

El término «riesgo» se refiere a algo más que la facilidad con la que un pirata informático puede infiltrarse en un sistema. Aunque la información robada es a menudo el riesgo principal que viene a la mente, hay cinco categorías generales de riesgo que las organizaciones deben conocer antes de formular un plan de evaluación de riesgos o elegir una metodología de evaluación de riesgos cibernéticos.

Estratégico

El riesgo estratégico considera el panorama completo y cómo las decisiones o la implementación afectarán los objetivos generales de tu empresa. Por ejemplo, si una empresa planea expandirse a un nuevo sector, una evaluación de riesgo estratégico puede centrarse en qué riesgos impedirían, ralentizarían o anularían por completo esos planes de expansión.

Reputacional

Todas las empresas valoran su reputación, pero algunas confían en ella más que otras. Cualquier riesgo con el potencial de arrojar una luz negativa sobre una empresa se incluye en esta categoría. Por ejemplo, marcas como Apple y Patagonia tienen seguidores sólidos por lo que representan sus marcas: privacidad y respeto al medio ambiente, respectivamente. Cualquier compromiso que ponga en duda la veracidad de tales afirmaciones pone en peligro las ventas y el compromiso del cliente.

Operacional

Las pérdidas resultantes de procesos, personas o sistemas fallidos ponen en peligro los ingresos y la retención de clientes. Hacer que los clientes esperen las entregas u obligarlos a navegar por sistemas mal optimizados presenta un riesgo operativo sustancial. Considera cómo el sistema de USPS luchó con el aumento en el tráfico debido a Covid-19. USPS se ahogó durante la temporada navideña con una demanda exponencial, lo que generó el descontento de los clientes y subraya que el riesgo no siempre es malicioso.

Transaccional

Cada vez que se lleva a cabo un proceso o la entrega de un producto o se procesa un pedido en línea, representa un riesgo transaccional, pero las acciones comerciales específicas pueden aumentar ese riesgo. Por ejemplo, el sitio web legal Lexology señala cómo las adquisiciones presentan un aumento en los riesgos transaccionales ya que las empresas pasan por alto los procesos mientras intentan integrar los nuevos sistemas / procesos de la empresa con los existentes.

La industria de la salud, que experimenta numerosas adquisiciones, se encuentra cada vez más como un objetivo principal debido a la información de recetas, registros médicos y números de seguridad social. Además, los consumidores brindan cada vez más información sobre su salud a través de plataformas digitales y aplicaciones para rastrear y contactar a sus proveedores de atención médica.

Cumplimiento

El cumplimiento presenta un riesgo más sencillo de entender para las empresas. O una empresa sigue los estándares y regulaciones establecidos para su industria, o no lo hace. Estas normas requieren o recomiendan altamente evaluaciones de riesgo en diferentes términos lingüísticos. Otra ocurrencia común es que la porción de riesgo se desglose por categoría dentro de una norma, lo que significa que sería aplicable realizar una evaluación de riesgos exhaustiva y ayudaría a cumplir con varias secciones de la norma.

Comprometer la certificación de cumplimiento aumenta el riesgo ya que cada violación podría resultar en repercusiones monetarias, la revocación de una licencia o límites en las operaciones.

¿Por qué es importante un proceso de evaluación de riesgos?

La ciberseguridad tiene que ver principalmente con la mitigación de riesgos. En el momento en que te conectas a Internet, confías en la nueva tecnología de la información o incorporas un nuevo proveedor externo, presenta cierto nivel de riesgo.

Las evaluaciones de riesgo identifican los activos de información clave, cuál es su valor (cualitativo o cuantitativo) para la organización, así como para sus clientes y socios.

Con esta información, la administración puede comprender mejor su perfil de riesgo y si los controles de seguridad existentes son adecuados.

Esto se está volviendo cada vez más importante debido al aumento de la subcontratación y la creciente dependencia de los proveedores para procesar, almacenar y transmitir datos confidenciales, así como para entregar bienes y servicios a los clientes.

Combine esto con una creciente regulación centrada en la protección y divulgación de información de identificación personal (PII) e información de salud protegida (PHI) y la necesidad de una metodología clara de evaluación de riesgos nunca ha sido tan grande.

Comprende que cada pieza de tecnología, proveedor y empleado es un vector de ataque potencial, ya sea de ataques de ingeniería social como phishing y spear phishing o ataques basados ​​en tecnología como los exploits de vulnerabilidades enumeradas en CVE, ataques man-in-the-middle, ransomware y otros tipos de malware.

Para minimizar la pérdida potencial y permanecer operativo, todos los niveles de tu organización deben comprender los requisitos de seguridad y una metodología sólida de evaluación de riesgos puede hacer mucho para mitigar los riesgos identificados.

Como resultado de las evaluaciones de riesgos, el personal se vuelve más consciente de las amenazas cibernéticas y aprende a evitar las malas prácticas que podrían ser perjudiciales para la seguridad de la información, la seguridad de los datos y la seguridad de la red, lo que aumenta la conciencia sobre la seguridad y ayuda a planificar la respuesta a incidentes.

Evaluación de riesgos cuantitativa o cualitativa: ventajas e inconvenientes

Los dos tipos más populares de metodologías de evaluación de riesgos que utilizan los evaluadores son:

  • Análisis de riesgo cualitativo: una metodología que utiliza diferentes escenarios de amenaza-vulnerabilidad para intentar responder preguntas del tipo «qué pasaría si». Estas evaluaciones son de naturaleza subjetiva.
  • Análisis cuantitativo de riesgos: asigna un valor numérico a los diferentes componentes de la evaluación de riesgos. Los evaluadores tienen como objetivo cuantificar todos los elementos (valor de los activos, frecuencia de las amenazas, efectividad de la protección, incertidumbre y probabilidad) para responder preguntas como «¿Cuánto nos costaría una violación de datos ?» y «¿Cuánto tiempo es aceptable sin conexión antes de que necesitemos iniciar nuestro plan de respuesta a incidentes ?».

Existen pros y contras de las metodologías de evaluación de riesgos cuantitativas y cualitativas. La mejor organización de su clase emplea un enfoque híbrido que tiene en cuenta los insumos cuantitativos y cualitativos.

La gestión de riesgos se centra en tomar decisiones ajustadas al riesgo para permitir que tu organización opere de manera eficiente, mientras asume tanto o tan poco riesgo como considere aceptable.

Y la única forma de hacerlo es comprender qué riesgos tienes, qué estás dispuesto a aceptar y cuáles deseas transferir, mitigar o evitar. Por ejemplo, puedes optar por ignorar un riesgo alto con una probabilidad extremadamente baja.

Por el contrario, una organización diferente con una tolerancia al riesgo menor puede decidir combinar dos proveedores de servicios en la nube para mitigar el riesgo.

Independientemente de tu perfil de riesgo, siempre existe un riesgo residual, ya que no es rentable mitigarlo todo.

Análisis cualitativo

Los principales beneficios e inconvenientes del análisis cualitativo son:

  • El análisis cualitativo es un enfoque de evaluación más simple, no hay cálculos complejos
  • Determinar el valor monetario de los activos no siempre es necesario o posible para valorar activos intangibles como la reputación y la buena voluntad del cliente.
  • No es necesario cuantificar la frecuencia de las amenazas.
  • Es más fácil involucrar al personal que no es de seguridad ni técnico
  • De naturaleza subjetiva
  • Los resultados y la calidad de la evaluación dependen de la experiencia y la calidad del equipo de gestión de riesgos.
  • Esfuerzo limitado para comprender el valor monetario de los activos.
  • Sin análisis de coste / beneficio para las técnicas de mitigación de riesgos, por ejemplo, el coste de implementar controles de seguridad y políticas de seguridad.

Análisis cuantitativo

Como ventajas e inconvenientes del análisis cuantitativo destacamos:

  • El análisis cuantitativo se basa en procesos y métricas objetivos, eliminando la subjetividad.
  • El valor de los activos y las opciones de mitigación de riesgos se comprenden bien.
  • Las evaluaciones de coste / beneficio se emplean en gran medida, lo que ayuda a la alta dirección a mitigar las actividades de alto riesgo en primer lugar.
  • Los resultados pueden expresarse en un lenguaje específico de la gestión (por ejemplo, valor monetario y probabilidad).
  • Los enfoques cuantitativos pueden ser complejos y requerir mucho tiempo.
  • Históricamente, solo funciona bien con una herramienta de gestión de seguridad automatizada reconocida y una base de conocimientos asociada.
  • Requiere trabajo preliminar para recopilar y cuantificar información de riesgo diferente.
  • Por lo general, no se enfoca en el nivel del personal, la capacitación en concientización sobre seguridad puede pasarse por alto.

Metodologías de evaluación de riesgos cibernéticos

El uso de metodologías al realizar una evaluación de riesgos permite a los evaluadores trabajar con los expertos correctos durante cada fase de la evaluación, determinar mejor los umbrales y establecer sistemas de puntuación fiables.

Análisis de riesgo

El análisis de peligros produce clasificaciones generales de riesgo. En otras palabras, determina la clasificación de peligro de un producto o proceso en función de la probabilidad y la gravedad del ataque. A diferencia de la clasificación de las herramientas de seguridad, este método aborda el riesgo desde un nivel más estratégico. Los equipos de evaluación de riesgos utilizan dos metodologías principales al analizar los peligros:

  • Análisis preliminar de peligros (PHA): PHA no requiere una base de conocimiento detallada de cómo funciona el producto o proceso en cuestión. Involucrar a las PYME en todo el proceso llena cualquier laguna de conocimiento que surja. Las empresas a menudo realizan PHA cerca del comienzo de la etapa de desarrollo porque cualquier hallazgo resultante será más barato de mitigar. Una PHA no sirve como una evaluación de riesgos en profundidad; en cambio, ofrece información sobre qué áreas pueden requerir mayor atención.
  • Análisis de peligros y puntos críticos de control (HACCP): un HACCP se basa en un PHI al analizar de cerca los puntos críticos de control. Los puntos críticos de control limitan o monitorizan las actividades, el acceso o el uso. La realización de un HACCP requiere un conocimiento profundo de los sistemas o procesos involucrados.

Ranking de riesgo básico

La clasificación de riesgos, hasta cierto punto, ocurre en casi todas las metodologías de riesgo cibernético. Lo que varía es la profundidad de las calificaciones y cómo se calculan. La clasificación de riesgo más básica no incluye puntuaciones numéricas. En cambio, el proceso clasifica los riesgos en función de lo que plantea las amenazas más importantes para las metas u objetos de una empresa. En otras palabras, es un enfoque macro para la clasificación de riesgos.

Pasos para la clasificación básica de riesgos

  • Examina tus activos y realiza una lluvia de ideas desde la perspectiva de un atacante. ¿Qué le interesaría a un ciberdelincuente? ¿Cuáles son las vulnerabilidades de los activos identificados?
  • Determina si las amenazas internas o externas representan el mayor riesgo.
  • Revisa los vectores de ataque y verifica que los servicios, el software y las políticas se revisen de manera constante. En cuarto lugar, considera el impacto comercial de las amenazas identificadas.
  • Prioriza los riesgos y categorízalos en preocupaciones inmediatas (es decir, aquellas que podrían afectar gravemente tu negocio) a conciertos latentes (es decir, aquellos que serían inconvenientes pero que no causarían daños irreparables).

Árboles de ataque

Los árboles de ataque ayudan a identificar la probabilidad de posibles ataques mediante el análisis de quién, cómo, por qué y cuándo de los ataques teóricos. Un diagrama de árbol coloca al objetivo principal como la raíz, y las ramas y hojas son los caminos potenciales que un atacante podría seguir para lograr ese objetivo. Dado que cada árbol solo tiene una raíz, los equipos de evaluación suelen crear varios árboles si utilizan esta metodología. El Instituto SANS sugiere cinco pasos para construir un árbol de ataque integral:

  • Identifica a todos los atacantes potenciales, como competidores, empleados descontentos, script kiddies, etc.
  • Determina los objetivos plausibles de cada actor de amenazas desde el paso uno y crea una raíz para cada objetivo.
  • Teoriza las formas en que se podría lograr el objetivo fundamental. Este es el paso para ser creativo y considerar todas las posibilidades. En este proceso, debes identificar subobjetivos o paradas en el camino hacia el objetivo principal.
  • A continuación, repite el paso tres pero para los subobjetivos.
  • Por último, revisa todos los árboles y considera la probabilidad de cada uno. Las cosas a considerar serían la dificultad de los subobjetivos, el tiempo necesario y la habilidad requerida para cada ataque potencial.

Modelo de canalización

El modelo de canalización analiza los procesos necesarios para completar una transacción; por lo tanto, esta metodología es ideal para evaluar el riesgo transaccional. Por ejemplo, una canalización típica revisaría procesos activos, procesos de comunicación, procesos de datos estables, procesos de consulta y procesos de control de acceso.

  • Activo: el software necesario para completar la transacción
  • Comunicación: tránsito de datos a través de la red
  • Datos estables: cómo se agrega y estabiliza la información a la tubería
  • Consulta: cómo se extraen los datos de la canalización
  • Control de acceso: control del acceso de las personas a la tubería.

OCTAVE

Desarrollado por el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon para el DoD, la Evaluación de vulnerabilidades, activos y amenazas operacionalmente críticas (OCTAVE).

El método se centra en los riesgos operativos y menos en la tecnología. El método de tres fases y ocho procesos establece el estado actual de la seguridad a través de conversaciones en profundidad con empleados de diferentes departamentos y ayuda a dirigir mejor las estrategias de seguridad futuras. Estas fases son:

  • Identificar la información relevante de los activos, identificar las medidas de seguridad que actualmente protegen esos activos, analizar las amenazas a los activos.
  • Evaluar la infraestructura del sistema de información.
  • Formular un plan de mitigación de riesgos basado en los hallazgos de las fases uno y dos.

Las metodologías anteriores representan solo algunas de la multitud a disposición de las empresas. Si bien es fácil elegir una para realizar una evaluación de riesgos eficaz, las empresas deben utilizar una metodología desde cada perspectiva: estratégica, operativa y táctica. Otras metodologías de evaluación de riesgos cibernéticos para futuras investigaciones incluyen simulación / juegos de guerra, auditoría de activos y análisis de coste-beneficio.

Planificación de una evaluación de riesgos

Una empresa tiene tres opciones sobre cómo realizar una evaluación de riesgos:

  • Elegir una evaluación de riesgos interna, en la que solo se utilizan recursos y personal interno.
  • Contratar consultores para ayudar a un equipo interno a realizar una evaluación de riesgos.
  • Optar por utilizar un equipo externo para supervisar y llevar a cabo todo el proceso de evaluación de riesgos.

Cada opción ofrece algunos beneficios y también tiene varios inconvenientes.

Si una empresa elige utilizar solo empleados internos, pueden ahorrar dinero, pero requerirá más tiempo por parte de los empleados para realizar la evaluación y sus tareas habituales. El uso de un equipo interno también requiere una mayor conciencia de la perspectiva para evitar subjetividad y descuidos.

Contratar a un consultor proporciona una perspectiva nueva y puede ayudar a las empresas a evitar sesgos no intencionales.

Contratar a un equipo externo para iniciar, realizar y proporcionar recomendaciones puede parecer la mejor opción, pero ten en cuenta que requiere una comunicación y cooperación inequívocas entre las PYMES internas y los evaluadores. Supón que los empleados no brindan la información adecuada a los evaluadores que no están familiarizados con la infraestructura y los procesos de tu empresa. En ese caso, la evaluación de riesgos puede prolongarse durante más tiempo de lo planeado o proporcionar información mínima sobre los riesgos potenciales.

Obstáculos para una gestión de riesgos eficaz

Una queja común de los equipos de administración de seguridad es que no tienen tiempo para realizar evaluaciones de riesgos en profundidad.

Incluso para aquellos que lo hacen, a menudo les cuesta saber por dónde empezar. Esto se debe a que no existe un estándar de la industria que todos acepten como mejor práctica.

Además, la mayoría de las pautas, como ISO 27001 y NIST Security Self Assessment Guide for Information Technology Systems, SP 800-26, son de naturaleza general y no proporcionan suficientes detalles sobre cómo realizar una evaluación de riesgos adecuada.

Esto ha llevado a muchas organizaciones a subcontratar el proceso de gestión de riesgos a proveedores externos que tienen experiencia en la realización de evaluaciones de riesgos adecuadas. También pueden ayudar a crear políticas efectivas, como una política de gestión de proveedores y un marco de gestión de riesgos de terceros.

Sin embargo, a medida que las organizaciones crecen en tamaño y complejidad y aumenta el número de proveedores externos, la subcontratación se vuelve costosa. Tampoco deseas que tu organización dependa de un proveedor externo para tomar decisiones comerciales importantes y de mitigación de riesgos.

Esta es la razón por la que cada vez más organizaciones están incorporando sus programas de gestión de riesgos y gestión de riesgos de proveedores.

Las herramientas de clasificación de seguridad cibernética pueden ayudar a escalar tu equipo de gestión de riesgos al monitorizar y evaluar automáticamente la postura de seguridad de primera, tercera y cuarta parte. Esto permite que tu equipo de gestión de riesgos se centre primero en las soluciones de mayor impacto y riesgo y aumenta exponencialmente la cantidad de proveedores externos que una persona puede gestionar.

Las evaluaciones de vulnerabilidad permiten que los equipos pequeños escalen y comprendan el riesgo de terceros en tiempo real.

Si tu organización carece de experiencia en gestión de riesgos o simplemente deseas ampliar tu equipo de gestión de riesgos, considera invertir en una herramienta que pueda automatizar la gestión de riesgos de los proveedores, proporcionar plantillas de cuestionarios de evaluación de riesgos de proveedores y supervisar el riesgo de origen y las credenciales filtradas.