Matriz de Análisis de Amenazas y Vulnerabilidades en Ciberseguridad

By /

La evaluación es una parte crucial del programa general de ciberseguridad de la organización para salvaguardar la información confidencial, los sistemas de información y otros activos críticos frente a las amenazas cibernéticas. Un análisis riguroso de los riesgos es una buena garantía del éxito de cualquier proyecto, al tratar de protegerse de los peligros inherentes al mismo. El riesgo es un concepto económico: ¿la probabilidad de pérdidas financieras para la organización es alta, media, baja o nula? Los procesos de evaluación y gestión de riesgos de seguridad informática son el núcleo de la ciberseguridad que debe integrarse en todos los proyectos informáticos.

Esquema de las etapas de una evaluación de ciberseguridad

Importancia de la Evaluación de Ciberseguridad

El proceso de evaluación comienza con la identificación de activos críticos, incluidos hardware, software, datos confidenciales, redes e infraestructura de TI, y la catalogación de posibles amenazas y vulnerabilidades. Estas amenazas pueden provenir de diversas fuentes, como hackers, malware, ransomware, amenazas internas o desastres naturales. Las evaluaciones de ciberseguridad facilitan el intercambio de información sobre riesgos potencialmente altos a las partes interesadas y ayudan a los líderes a tomar decisiones más informadas con respecto a la tolerancia al riesgo y las políticas de seguridad.

La evaluación permite a las organizaciones identificar los riesgos para sus datos, redes y sistemas. Un enfoque proactivo de la ciberseguridad ayuda a desarrollar un plan de respuesta y recuperación ante posibles ciberataques, mejorando la resiliencia general de la organización. Este enfoque mejora la optimización al identificar claramente formas de fortalecer la gestión de vulnerabilidades. Al salvaguardar los activos de información críticos, las organizaciones pueden fortalecer la seguridad de los datos, mantener la continuidad del negocio y proteger su beneficio competitivo.

Beneficios de una Evaluación de Riesgos de Ciberseguridad

Una evaluación de riesgos de ciberseguridad proporciona varios beneficios significativos para una organización:

  • Mejora de la postura de seguridad: Permite una visión clara de las debilidades.
  • Disponibilidad mejorada: Al prevenir incidentes, se asegura la continuidad operativa.
  • Riesgo regulatorio minimizado: El cumplimiento de normativas es más sencillo.
  • Recursos optimizados: Se asignan eficientemente a las áreas de mayor riesgo.

Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida. En el contexto de un Plan Director de Seguridad (PDS), que busca definir y priorizar proyectos de seguridad para reducir riesgos a niveles aceptables, el análisis de riesgos es fundamental. Este análisis nos permite centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS, mitigando la posibilidad de incidentes de ciberseguridad.

Fases del Análisis de Riesgos y Vulnerabilidades

Las fases principales del análisis de riesgos, con recomendaciones prácticas para maximizar su valor en el PDS, son:

Fase 1: Determinar el alcance de la evaluación

El primer paso es establecer el alcance del estudio. Se recomienda que el análisis de riesgos cubra la totalidad del alcance del PDS, donde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. También es posible definir un alcance más limitado, atendiendo a departamentos, procesos o sistemas específicos (por ejemplo, procesos del departamento de Administración o sistemas TIC relacionados con la página web de la empresa).

🔵Cómo DISEÑAR la MATRIZ de IDENTIFICACIÓN de Peligros y VALORACIÓN de Riesgos

Fase 2: Identificar y priorizar los activos

Una vez definido el alcance, se deben identificar los activos más importantes que guardan relación con el departamento, proceso o sistema objeto del estudio. Los activos incluyen servidores, información de contacto de clientes, documentos confidenciales de socios, secretos comerciales, etc. Es crucial colaborar con usuarios y el equipo de TI para listar todos los activos valiosos. Dado que la mayoría de las organizaciones disponen de un presupuesto limitado, probablemente tendrá que limitar el alcance del proyecto a los activos de misión crítica, definiendo una norma para determinar su importancia. Los criterios típicos incluyen el valor monetario de los activos, su estatus legal y su importancia para la organización. Una clasificación de los activos en función de su valor, situación jurídica e importancia empresarial es fundamental.

Fase 3: Identificar amenazas cibernéticas y vulnerabilidades

Habiendo identificado los principales activos, el siguiente paso es identificar las amenazas a las que estos están expuestos. Una amenaza es cualquier cosa que pueda aprovecharse de una vulnerabilidad para violar la seguridad y perjudicar a su organización. Estas amenazas pueden ser:

  • Catástrofes naturales: Inundaciones, huracanes, terremotos, incendios pueden destruir datos, servidores y equipos.
  • Fallos del sistema: La probabilidad depende de la calidad y antigüedad de los ordenadores.
  • Interferencia humana accidental: Errores como borrar archivos, hacer clic en enlaces maliciosos o dañar físicamente dispositivos.
  • Humanos malintencionados: Hackers, malware, ransomware, amenazas internas.

En tercer lugar, se deben identificar las vulnerabilidades, que son puntos débiles que una amenaza puede explotar. La realización de pruebas en el sistema informático ayuda a identificarlas. Es posible reducir las vulnerabilidades del software y gestionar los parches adecuadamente, pero no se deben descuidar las vulnerabilidades físicas.

Fase 4: Evaluar y analizar los riesgos

La siguiente fase consiste en estudiar las características de los activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, sistemas antivirus no actualizados o activos sin soporte del fabricante. También se analizarán y documentarán las medidas de seguridad implantadas, como sistemas de alimentación ininterrumpida (SAI).

Fase 5: Calcular la probabilidad y el impacto de los riesgos

Con esta información, se está en condiciones de calcular el riesgo. Para cada par activo-amenaza, se estimará la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando criterios tanto cuantitativos como cualitativos. Al estimar la probabilidad y el impacto, se deben tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto, pero si existe una solución de alta disponibilidad, el impacto podría ser medio.

El riesgo se representa mediante una fórmula matemática, que es un concepto lógico. Por ejemplo, si se desea evaluar el riesgo asociado a una amenaza de piratería informática que comprometa un sistema concreto, y la red es muy vulnerable (sin cortafuegos o antivirus) y el activo es crítico, el riesgo es alto. Hay tres factores que determinan el riesgo: la naturaleza de la amenaza, la vulnerabilidad del sistema y el tamaño del activo que podría resultar dañado o dejar de estar disponible.

Fase 6: Priorizar los riesgos en función del análisis de costos y beneficios

Una vez calculado el riesgo, se deben tratar aquellos riesgos que superen un límite establecido. Los riesgos pueden ser:

  • Riesgo Bajo: Se acepta con monitoreo.
  • Riesgo Medio: Se debe elaborar un plan de acción correctiva en un plazo razonable.
  • Riesgo Alto: Requiere acciones inmediatas de mitigación.

Se pueden implementar medidas para mitigarlo, eliminarlo, transferirlo o, justificadamente, asumirlo. Como este análisis de riesgos se realiza en el contexto de un PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo, clasificándolas y priorizándolas junto con otros proyectos.

Fase 7: Implementar controles de seguridad

Analizar los controles existentes o previstos para minimizar, transferir o eliminar la posibilidad de que una amenaza explote una vulnerabilidad del sistema. Los controles pueden aplicarse por medios técnicos (equipos, software, cifrado, detección de intrusos, autenticación) o no técnicos (políticas de seguridad, medidas administrativas, mecanismos físicos y ambientales). Tanto los controles técnicos como los no técnicos pueden ser preventivos o detectivos. Los controles preventivos buscan anticipar y detener ataques, como los dispositivos de cifrado y autenticación.

Matriz de Análisis de Riesgos y Vulnerabilidades Informáticas

La Matriz para el Análisis de Riesgo es una herramienta clave para analizar y determinar los riesgos en el manejo de datos e información. Una matriz de riesgo es una herramienta muy útil para estimar el riesgo según criterios de confidencialidad, integridad y disponibilidad.

Ejemplo de matriz de riesgo con probabilidad e impacto

Estructura de la Matriz de Riesgo

Una Matriz de riesgo detallada es un trabajo extenso y consumidor de tiempo, que requiere comprobar todos los posibles daños de cada recurso contra todas las posibles amenazas. La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, relacionado con el recurso más vulnerable de los elementos de información, aunque usado para todos los elementos. Este proceder introduce algunos resultados con riesgos demasiado altos, que posteriormente deben corregirse.

La Matriz se basa en una hoja de cálculo con varias sub-hojas:

  • 1_Datos: Se valoran los riesgos para los Elementos de Información "Datos e Informaciones", llenando los campos "Magnitud de Daño" y "Probabilidad de Amenaza" (valores entre 1 y 4). Los campos de "Clasificación" (Confidencialidad, Obligación por ley, Costo de recuperación) no afectan el resultado, pero pueden justificar el valor de Magnitud de Daño estimado.
  • 2_Sistemas: Se valora el riesgo para los Elementos de Información "Sistemas e Infraestructura", llenando solo los valores de Magnitud de Daño, ya que los valores de Probabilidad de Amenaza se copian automáticamente desde la hoja "1_Datos".
  • 3_Personal: Se valora el riesgo para los Elementos de Información "Personal", llenando solo los valores de Magnitud de Daño, al igual que en "2_Sistemas".
  • Análisis_Promedio: Muestra el promedio aritmético de los diferentes riesgos, en relación con los diferentes grupos de amenazas y daños, para ilustrar dónde hay mayor o menor peligro.
  • Análisis_Factores: Muestra el promedio aritmético de los grupos en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Daño. La línea amarilla marca el traspaso de la zona de Bajo Riesgo a Mediano Riesgo, y la roja de Mediano Riesgo a Alto Riesgo.

Estas colecciones de amenazas y elementos de información representan una aproximación a la situación común de una organización. Si es necesario adaptar la Matriz a la situación real, solo hay que ajustar los valores de las Amenazas en la hoja "1_Datos" y los Elementos de información en su hoja correspondiente.

Metodologías y Marcos Populares

Metodologías y marcos populares, como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. y la Organización Internacional de Normalización (ISO) 2700, ofrecen enfoques estructurados para realizar estas evaluaciones. También se pueden desarrollar marcos personalizados para adaptar a las necesidades específicas de la organización.

Diseñar una matriz de riesgo de activos de información basada en la norma ISO 27001 implica identificar los activos, evaluar las amenazas y vulnerabilidades asociadas a cada uno, y calcular el nivel de riesgo. Se determina el impacto que tendría la materialización de la amenaza sobre el activo en términos de confidencialidad, integridad y disponibilidad. Se estima la probabilidad de que ocurra cada amenaza, teniendo en cuenta las vulnerabilidades existentes. Finalmente, se combina el impacto y la probabilidad para obtener el nivel de riesgo para cada activo. Se puede crear un mapa de calor utilizando una tabla donde el eje horizontal representa la probabilidad y el eje vertical el impacto.

Para implementar esta matriz y mapa de calor en un entorno real, se requiere un análisis detallado y datos específicos que deben ser ingresados y calculados con precisión.

Plantillas para la Gestión de Riesgos en Ciberseguridad

Existen plantillas diseñadas para facilitar el proceso de evaluación y gestión de riesgos:

  • Plantilla simple de evaluación de riesgos de ciberseguridad: Permite identificar y evaluar fácilmente el riesgo, personalizar la clasificación de riesgos y determinar el nivel aceptable de riesgo.
  • Plantilla de evaluación de riesgos de seguridad de la información con ISO 27001: Incluye una columna para la norma ISO 27001, permitiendo aplicar sus catorce pasos a cada riesgo. Permite ingresar identificación del riesgo, descripción, impacto, nivel de probabilidad, prioridad y estrategia de mitigación.
  • Plantilla de informe de evaluación de riesgos de ciberseguridad: Incluye todo lo necesario para evaluar amenazas y crear un plan de mitigación, con secciones como propiedad del proyecto, proceso de gestión de riesgos, impacto financiero, monitoreo de riesgos, categorías de riesgos y matriz de evaluación de riesgos.
  • Plantilla de matriz de plan de mitigación de riesgos de ciberseguridad: Permite a analistas de seguridad, equipos de respuesta a incidentes, personal de detección de intrusiones, personal de evaluación de vulnerabilidades y criptólogos listar riesgos, describir el impacto potencial, evaluar la probabilidad, designar una respuesta adecuada, un plan de contingencia y asignar un propietario.
  • Plantilla de diagrama de estructura de desglose de riesgos de ciberseguridad: Identifica proactivamente los riesgos y determina su probabilidad y gravedad potencial con elementos visuales dinámicos. Incluye secciones prediseñadas como seguridad de aplicaciones, seguridad de la información, planificación para la recuperación ante desastres, seguridad de la red, seguridad del usuario final y seguridad operativa.

Modelado de Amenazas

El modelado de amenazas es esencial para fortalecer la postura de seguridad de una organización. El primer paso del proceso de modelado de amenazas consiste en definir de manera clara el alcance y los objetivos del análisis. El segundo paso en el modelado de amenazas es la caracterización del sistema, lo cual implica desarrollar una visión general de la arquitectura y el comportamiento del sistema a evaluar. El siguiente paso en el proceso consiste en realizar el modelado del sistema, cuyo objetivo principal es responder a la pregunta: ¿Qué se está construyendo? Durante esta fase, el analista de inteligencia de amenazas descompone la arquitectura del sistema en sus módulos o componentes básicos, en función de áreas tradicionales de vulnerabilidades. Los DFD (Diagramas de Flujo de Datos) permiten representar de forma abstracta y de alto nivel el flujo de información dentro del sistema. Una vez modelado el sistema, un analista de inteligencia de amenazas determina e identifica las amenazas, vulnerabilidades y vectores de ataque teniendo en cuenta el sistema que se está evaluando.

Existen diversas metodologías y enfoques para el modelado de amenazas:

  • STRIDE: Una metodología de modelado de amenazas compuesta por siete etapas. Su propósito es simular ataques contra aplicaciones de TI mediante el análisis estructurado de amenazas, su origen, el impacto potencial y las medidas de mitigación.
  • PASTA (Process for Attack Simulation and Threat Analysis): Simula ataques potenciales para entender las rutas de explotación más probables. Durante esta fase se modelan escenarios de ataque a partir de las amenazas identificadas, con el objetivo de visualizar cómo un actor malicioso podría comprometer activos clave del sistema.
  • DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability): Es una metodología utilizada para identificar, evaluar y gestionar los riesgos asociados a los activos de TI.
  • VAST (Visual, Agile, and Simple Threat Modeling): Un enfoque automatizado y visual para la identificación y gestión de amenazas, diseñado para ser ágil y directo.

El modelado de amenazas debe entenderse como un proceso continuo y dinámico. A medida que cambian la arquitectura, los requisitos del sistema o el entorno de amenazas, será necesario actualizar el modelo para reflejar estos cambios.

Integración de la Seguridad en el Ciclo de Vida del Desarrollo (OWASP)

Es un proceso estructurado y cíclico que guía el desarrollo de software desde la planificación hasta su retiro, integrando prácticas de seguridad en cada etapa:

  • Planificación y Análisis: Se lleva a cabo el proceso de recopilación de requisitos.
  • Diseño: Se definen los detalles de la implementación, cuyo resultado suele ser un diagrama que describe los flujos de datos y la arquitectura general del sistema. Esta fase representa una oportunidad clave para realizar el modelado de amenazas e incorporar consideraciones de seguridad.
  • Desarrollo: Se validan las suposiciones y decisiones tomadas durante las fases anteriores; también es donde se evidencian errores específicos de la implementación.
  • Prueba: Se confirma que el software funciona correctamente y que sus resultados sirven como indicadores para tomar decisiones de seguridad. Se pueden realizar pruebas automáticas y manuales.
  • Lanzamiento: Las funcionalidades ya han sido bien planificadas, codificadas y verificadas. Se enfoca en aspectos como la configuración del sistema, su capacidad de recuperación ante fallos y su monitorización continua.

Elaboración de Perfiles de Amenazas

La elaboración de perfiles de amenazas constituye una actividad esencial dentro del proceso de modelado de amenazas. Esta práctica consiste en recolectar y analizar información detallada sobre los actores de amenaza con el fin de construir un perfil estructurado del adversario. Dicho perfil proporciona una visión integral de los aspectos técnicos, tácticos y estratégicos del atacante, incluyendo sus objetivos, motivaciones, capacidades y comportamientos. Amenazas persistentes como las APT (Amenazas Persistentes Avanzadas), malware, o botnets pueden permanecer latentes en un sistema durante períodos prolongados, operando de forma encubierta dentro de la actividad legítima, lo que dificulta su detección y rastreo. Para desarrollar un perfil de amenaza eficaz, los analistas de inteligencia de amenazas recopilan toda la información disponible sobre la amenaza y la organizan en un formato analítico y comprensible. Esto permite no solo comprender mejor las amenazas del sistema, sino también anticipar técnicas de ataque similares en el futuro. En esta etapa, el analista de inteligencia de amenazas clasifica las amenazas identificadas en función del nivel de riesgo que cada una podría representar para los activos de una organización.

Estrategias de Tratamiento del Riesgo

En función del nivel de riesgo, se determinan las medidas a tomar:

  • Mitigar: Implementar controles o medidas que reduzcan la probabilidad de ocurrencia de la amenaza, el impacto que podría generar, o ambos.
  • Eliminar: Modificar el diseño del sistema, eliminar una funcionalidad o descontinuar el uso de un componente para suprimir completamente la exposición al riesgo.
  • Transferir: Reasignar la responsabilidad del riesgo a un tercero, como un proveedor, aseguradora o cliente, mediante mecanismos como contratos, seguros o acuerdos de nivel de servicio (SLA).
  • Aceptar: Reconocer la existencia del riesgo y decidir no tomar acciones adicionales, ya sea porque el impacto es bajo, el coste de mitigación es desproporcionado, o existen restricciones de negocio que impiden aplicar otras estrategias.

Documentación y Revisión Continua

La documentación de todo el proceso de modelado de amenazas es fundamental para garantizar la trazabilidad, la comprensión compartida y la mejora continua. Es esencial que el modelo de amenazas y sus artefactos asociados (diagramas, matrices de riesgos, registros de sesiones, etc.) sean revisados de manera colaborativa por las partes interesadas, incluyendo equipos de desarrollo, seguridad, arquitectura y negocio. El último paso en el proceso de evaluación de riesgos es elaborar un informe de evaluación de riesgos que la dirección pueda utilizar para tomar las decisiones correctas sobre presupuesto, políticas, procedimientos, etc. Este informe debe describir, para cada amenaza, las vulnerabilidades correspondientes, los activos en riesgo, el impacto en la infraestructura de TI, la probabilidad de ocurrencia y las recomendaciones de control. El informe de evaluación de riesgos puede utilizarse para identificar medidas correctivas clave que reduzcan múltiples riesgos; por ejemplo, las copias de seguridad periódicas en un almacenamiento externo mitigan el riesgo de borrado accidental de archivos y, al mismo tiempo, el riesgo de inundación. Cada uno de estos pasos tiene un coste y debe tener un beneficio real de reducción del riesgo. Al pasar por este proceso, se tendrá una mejor idea de cómo funciona el proyecto, los activos de infraestructura implicados y las posibles mejoras.

tags: #matriz #de #analisis #de #amenaza #y

Publicaciones populares:

  • Atención Domiciliaria y Terapia Ocupacional
  • la danza guiada por una anciana
  • Información esencial sobre seguros colectivos
  • Beneficios y bienestar de Carabineros
  • Votación de Camila Vallejo