5 frameworks de evaluación de riesgos

0
28

Desde el punto de vista de la ciberseguridad, las organizaciones operan en un mundo de alto riesgo. La capacidad de evaluar y gestionar el riesgo quizá nunca haya sido tan importante. «Disponer de un frameworks o marco de gestión de riesgos es esencial, porque el riesgo nunca puede eliminarse totalmente; solo puede gestionarse con eficacia», afirma Arvind Raman, CISO de la empresa de telecomunicaciones Mitel Networks. «Cuando no lo es, las organizaciones probablemente se encontrarán en el blanco de una violación de datos o un ataque de ransomware, o serán vulnerables a cualquier número de otros problemas de seguridad».

La consideración más importante a la hora de seleccionar un marco de trabajo es asegurarse de que es «apto para el propósito» y el más adecuado para los resultados previstos, señala Andrew Retrum, director gerente de la práctica de ciberseguridad y privacidad de la empresa consultora Protiviti. «También es beneficioso seleccionar marcos que sean bien conocidos y comprendidos dentro de la organización», anota Retrum. «Esto permite un uso más coherente y eficiente del marco, y permite a los individuos de toda la organización hablar un lenguaje coherente».

No hay escasez de marcos de evaluación de riesgos que las organizaciones pueden aprovechar para ayudar a guiar a los ejecutivos de seguridad y riesgo. A continuación, se presentan algunos de los frameworks más destacados, cada uno de ellos diseñado para abordar áreas de riesgo específicas.

NIST Risk Management Framework
El Risk Management Framework (RMF) del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ofrece un proceso completo, repetible y medible de siete pasos que las organizaciones pueden utilizar para gestionar la seguridad de la información y el riesgo para la privacidad. Está vinculado a un conjunto de normas y directrices del NIST para apoyar la implementación de programas de gestión de riesgos y cumplir así con los requisitos de la Ley Federal de Modernización de la Seguridad de la Información (FISMA).

El RMF proporciona un proceso que integra las actividades de gestión de riesgos de seguridad, privacidad y cadena de suministro en el ciclo de vida de desarrollo del sistema, según el NIST. Puede aplicarse a los sistemas nuevos y heredados, a cualquier tipo de sistema o tecnología, incluidos los sistemas de control e Internet de las cosas (IoT), y dentro de cualquier tipo de organización, independientemente de su tamaño o sector. Los siete pasos del RMF son:

  1. Preparar, incluyendo las actividades esenciales para preparar a la organización para gestionar los riesgos de seguridad y privacidad.
  2. Categorizar, que implica clasificar los sistemas y la información que se procesa, almacena y transmite en base a un análisis de impacto.
  3. Seleccionar, que consiste en seleccionar el conjunto de controles del NIST SP 800-53para proteger los sistemas basándose en la evaluación de riesgos;
  4. Implementar, desplegando los controles y documentando cómo se despliegan.
  5. Evaluar, para determinar si los controles están en su lugar, operando según lo previsto, y produciendo los resultados deseados.
  6. Autorizar, donde un alto ejecutivo toma una decisión basada en el riesgo para autorizar el funcionamiento del sistema.
  7. Supervisar, lo que implica un seguimiento continuo de la aplicación de los controles y de los riesgos para los sistemas.

«El NIST RMF puede adaptarse a las necesidades de la organización», afirma Raman. Se evalúa y actualiza con frecuencia, y muchas herramientas son compatibles con las normas desarrolladas. Es vital que los profesionales de TI «entiendan que al desplegar el NIST RMF no se trata de una herramienta automatizada, sino de un marco documentado que requiere una estricta disciplina para modelar el riesgo adecuadamente».

El NIST ha elaborado varias publicaciones relacionadas con el riesgo que son fáciles de entender y aplicables a la mayoría de las organizaciones, comenta Mark Thomas, presidente de Escoute Consulting y ponente de la Asociación de Auditoría y Control de Sistemas de Información (ISACA). «Estas referencias proporcionan un proceso que integra las actividades de gestión de riesgos de la seguridad, la privacidad y la cadena de suministro cibernética que ayuda a la selección de controles y al desarrollo de políticas», afirma. «A veces considerados como guías para las entidades gubernamentales, los marcos del NIST son una poderosa referencia para las empresas gubernamentales, privadas y públicas».

OCTAVE
El Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), desarrollada por el Equipo de Preparación para Emergencias Informáticas (CERT, por sus siglas en inglés) de la Universidad Carnegie Mellon, es un marco para identificar y gestionar los riesgos de seguridad de la información. Define un método de evaluación integral que permite a las organizaciones identificar los activos de información que son importantes para sus objetivos, las amenazas a esos activos y las vulnerabilidades que podrían exponer esos activos a las amenazas.

Al reunir los activos de información, las amenazas y las vulnerabilidades, las organizaciones pueden empezar a entender qué información está en riesgo. Con este conocimiento, pueden diseñar y desplegar estrategias para reducir la exposición global al riesgo de los activos de información.

Existen dos versiones de OCTAVE. Una es OCTAVE-S, una metodología simplificada diseñada para organizaciones más pequeñas que tienen estructuras jerárquicas planas. La otra es OCTAVE Allegro, que es un marco más completo adecuado para organizaciones grandes o que tienen estructuras complejas.

«OCTAVE es un framework de evaluación de riesgos bien diseñado porque contempla la seguridad desde una perspectiva física, técnica y de recursos humanos», afirma Raman. «Identifica los activos que son de misión crítica para cualquier organización y descubre las amenazas y vulnerabilidades. Sin embargo, puede ser muy complejo de desplegar, y solo cuantifica desde una metodología cualitativa».

La flexibilidad de la metodología «permite que los equipos de operaciones y de TI trabajen juntos para abordar las necesidades de seguridad de la organización», afirma Thomas.

COBIT
Control Objectives for Information and related Technology (COBIT) de ISACA es un marco para la gestión y el gobierno de las TI. Está diseñado para centrarse en el negocio, y define un conjunto de procesos genéricos para la gestión de las TI. Cada proceso se define junto con las entradas y salidas del proceso, las actividades clave, los objetivos, las medidas de rendimiento y un modelo de madurez elemental.

La última versión, COBIT 2019, ofrece más recursos de implementación, orientación práctica y conocimientos, así como amplias oportunidades de formación, según ISACA. Dice que la implementación es ahora más flexible, lo que permite a las organizaciones personalizar su gobierno a través del marco.

COBIT es un «marco de alto nivel alineado con los procesos de gestión de TI y la ejecución de políticas», afirma Ed Cabrera, director de ciberseguridad del proveedor de software de seguridad Trend Micro y antiguo CISO del Servicio Secreto de Estados Unidos. «El reto es que COBIT es costoso y requiere un alto conocimiento y habilidad para implementarlo».

El framework «es el único modelo que aborda el gobierno y la gestión de la información y la tecnología de la empresa, lo que incluye un énfasis [en] la seguridad y el riesgo», afirma Thomas. «Aunque la intención principal de COBIT no está específicamente en el riesgo, integra múltiples prácticas de riesgo en todo el marco, y hace referencia a múltiples marcos de riesgo aceptados mundialmente».

TARA
Threat Assessment and Remediation Analysis (TARA) es una metodología de ingeniería utilizada para identificar y evaluar las vulnerabilidades de la ciberseguridad y desplegar contramedidas para mitigarlas, según MITRE, una organización sin ánimo de lucro que trabaja en la investigación y el desarrollo en dominios tecnológicos que incluyen la ciberseguridad.

El marco forma parte de una cartera de prácticas de ingeniería de seguridad de sistemas (SSE) de MITRE. «El enfoque de evaluación TARA puede describirse como estudios comerciales conjuntos, en los que el primero identifica y clasifica los vectores de ataque en función del riesgo evaluado, y el segundo identifica y selecciona las contramedidas en función de la utilidad y el costo evaluados», afirma la organización.

Los aspectos únicos de la metodología incluyen el uso de mapeos de mitigación almacenados en catálogos que preseleccionan posibles contramedidas para un rango dado de vectores de ataque, y el uso de estrategias de contramedidas basadas en el nivel de tolerancia al riesgo.

«Se trata de un método práctico para determinar las exposiciones críticas mientras se consideran las mitigaciones, y puede aumentar las metodologías formales de riesgo» para incluir información importante sobre los atacantes que puede dar lugar a un perfil de riesgo mejorado, afirma Thomas.

FAIR
Factor Analysis of Information Risk (FAIR) es una taxonomía de los factores que contribuyen al riesgo y cómo se afectan entre sí. Desarrollado por Jack Jones, antiguo CISO de Nationwide Mutual Insurance, el marco se ocupa principalmente de establecer probabilidades precisas para la frecuencia y la magnitud de los eventos de pérdida de datos.

FAIR no es una metodología para llevar a cabo una evaluación de riesgos empresarial o individual. Pero proporciona una forma de que las organizaciones entiendan, analicen y midan el riesgo de la información. Los componentes del marco incluyen una taxonomía para el riesgo de la información, una nomenclatura estandarizada para los términos de riesgo de la información, un método para establecer criterios de recopilación de datos, escalas de medición para los factores de riesgo, un motor computacional para calcular el riesgo, y un modelo para analizar escenarios de riesgo complejos.

FAIR «es una de las únicas metodologías que ofrece un sólido modelo cuantitativo para la seguridad de la información y el riesgo operativo», afirma Thomas. «Este enfoque pragmático de los riesgos proporciona una base sólida para evaluar los riesgos en cualquier empresa». Sin embargo, aunque FAIR ofrece una definición completa de amenaza, vulnerabilidad y riesgo, «no está bien documentada, lo que dificulta su aplicación», afirma.

El modelo difiere de otros marcos de riesgo «en que se centra en la cuantificación de los riesgos en dólares reales, en contraposición a la tradicional puntuación «alta, media, baja» de otros», sostiene Retrum. «Esto está ganando adeptos entre los altos dirigentes y los miembros del consejo de administración, ya que permite un debate empresarial más reflexivo al cuantificar mejor los riesgos de forma significativa».

Bob Violino CSOonline.com – CIOPeru.pe

Artículo anteriorPrincipales pasos que los analistas de negocios pueden seguir para ganar más
Artículo siguienteLas tecnologías inmersivas han llegado a un punto de no retorno