GRC: Gestión de ciberseguridad basada en riesgo
La seguridad de información de la plataforma tecnológica o ciberseguridad es asunto de seguridad nacional y de primera prioridad en todo el mundo. Basta ver los encabezados noticiosos de cualquier país industrializado para encontrar referencias espionaje, preparación de la defensa en el ciberespacio así como la habilitación de capacidades cibernéticas ofensivas contra a infraestructura y sistemas de monitoreo y control automatizados. Por si esto fuera poco las noticias de espionaje por parte de los diferentes gobiernos, los fraudes, acciones criminales en contra de colaboradores y altos funcionarios, los robos de información y el espionaje industrial se han vuelto cotidianos.
Actualmente para lograr los objetivos fundamentales de toda empresa: rentabilidad y competitividad, es necesario ocuparse de la Confiabilidad y Protección de la información, ya sea para la toma de decisiones o para la prestación de servicios. Se tiene la preocupación por parte del consejo directivo y de la dirección general respecto a la seguridad en la información y el cumplimiento de regulaciones nacionales e internacionales.
El problema de gestionar la seguridad de la plataforma tecnológica o ciberseguridad basados en el cumplimiento regulatorio es que el enfoque es de revisión por formulario en donde se obtiene una instantánea de la situación en un momento dado pero que generalmente no implica una mejora en el tiempo. Lo observado en ese momento en el tiempo tampoco representa necesariamente lo que día a día prevalece en la organización, pues en muchas ocasiones las organizaciones se “preparan” para la auditoría poco tiempo antes de la misma.
Para ejemplo, la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) estipula en su reglamento (capítulo III) la obligatoriedad de realizar un análisis de riesgos sobre la información personal que se tiene en la organización, para basado en los resultados definir el plan de trabajo para la implementación de medidas de protección. Tenemos también el Payment Card Industry Data Security Standard (PCI DSS) que en su versión actual estipula que debe haber una correlación de los niveles de riesgo con las medidas de remediación. Las reglas que establece el SAT para los Proveedores Autorizados de Certificación (PACs), aquellas empresas que ofrecen el servicios de timbrado de comprobantes fiscales digitales, establecen también la necesidad de contar con un análisis de riesgos, cumplir con la LFPDPPP así como realizar auditorías de vulnerabilidades cada tres meses.
El rol de las auditorías de vulnerabilidades
Efectivamente un paso muy importante en un programa de gestión de seguridad de la información es revisar periódicamente el nivel de seguridad real de la organización, en este caso específicamente en la plataforma tecnológica, esto nos mostrará donde nos duele sobre todo tomando en cuenta lo cambiante del entorno cibernético pues cada día surgen nuevas vulnerabilidades y amenazas.
Sin embargo, sin clasificar las vulnerabilidades encontradas en función del riesgo del negocio, los esfuerzos de remediación pueden aplicarse de manera que no se atienden oportuna o adecuadamente aquellas vulnerabilidades que pueden tener mayor impacto en el impedimento del cumplimiento de los objetivos organizacionales.
Gestión de ciberseguridad basada en Riesgo
El como realizar una Análisis de Riesgos es un tema por sí mismo merecedor de un extenso documento, a continuación se presentan algunos conceptos básicos que es necesario comprender para poder realizar dicho Análisis.
- Amenazas: Son elementos externos, del entorno, que pueden afectar negativamente la operación, en este caso de la plataforma tecnológica (Se identifican durante el Análisis de Riesgos).
- Vulnerabilidad: Una debilidad inherente de la plataforma tecnológica que la hace susceptible a que un ataque sea exitoso (Se identifican en la Auditoría de Vulnerabilidades).
- Accesibilidad: La facilidad con la que una de la plataforma tecnológica puede ser alcanzado por una amenaza y/o la facilidad con que se puede llegar hacia una vulnerabilidad de la plataforma tecnológica (Se identifica en la Auditoría de Vulnerabilidades)
- Compliance: La postura de la organización respecto al cumplimiento así como las consecuencias de no cumplir determinan el nivel de riesgo asociado (Se identifican las obligaciones en el trabajo de preparación para el Análisis de Riesgos).
- Materialización de riesgos: Cuando una amenaza afecta la plataforma tecnológica, cuando una vulnerabilidad es explotada o cuando se materializa una consecuencia por no cumplir.
- Impacto al negocio: La afectación hacia el negocio por la materialización de riesgos (Se determina durante el Análisis de Riesgos).
Como se ha planteado en el documento, una Auditoría de Vulnerabilidades es una herramienta en el programa de integral de Ciberseguridad, nos dará insumos de información para el Análisis de Riesgos, a continuación se presentan varios factores a considerar sobre las vulnerabilidades encontradas:
- Amenazas: ¿Existe una amenaza para la vulnerabilidad? Sin una amenaza presente la vulnerabilidad no puede ser explotada.
- Accesibilidad: ¿Qué tan alcanzable es la vulnerabilidad? Si la amenaza no puede llegar a la vulnerabilidad el riesgo asociado se reduce o elimina.
- Compliance: ¿Cuál es la postura de la organización respecto al cumplimiento? La postura de la organización respecto al cumplimiento así como las consecuencias de no cumplir determinan el nivel de riesgo asociado.
- Impacto al negocio: ¿Cuál es el impacto al negocio una vez respondidas las preguntas anteriores? ¿Cuáles vulnerabilidades afectan más al negocio? Las vulnerabilidades que afectan activos críticos representan un riesgo mucho más alto que aquellas que afectan a activos menos críticos.
La Accesibilidad es muy importante pues en algunas ocasiones una vulnerabilidad grave es inherente a un sistema y sin embargo el riesgo puede ser reducido de forma considerable a través de controles compensatorios implementados entre la amenaza y el sistema en cuestión, reduciendo o eliminando así la posibilidad de llegar a dicha vulnerabilidad (ej: Un firewall, Una actualización de sistemas, etc.).
Sin un entendimiento claro de la criticidad de un activo para la organización, la organización es incapaz de priorizar adecuadamente los esfuerzos de remediación lo que puede llevar a invertir de más en vulnerabilidades de bajo impacto y de menos en las de mayor impacto, o simplemente no remediar oportunamente lo que más impacta.
En algunas organizaciones donde ya hay conciencia sobre la necesidad de ciberseguridad o una exigencia regulatoria se realizan auditorías de vulnerabilidades, a veces incluso de manera periódica. Se tiene la creencia que al realizar una auditoría de seguridad y atender las vulnerabilidades encontradas se minimizará el riesgo una fuga o pérdida de confiabilidad de la información, la realidad es que depende.
Efectivamente un paso muy importante en un programa de gestión de seguridad de la información es revisar periódicamente el nivel de seguridad real de la organización, en este caso específicamente en la plataforma tecnológica, esto nos mostrará donde nos duele sobre todo tomando en cuenta lo cambiante del entorno cibernético pues cada día surgen nuevas vulnerabilidades y amenazas.
Sin embargo, sin clasificar las vulnerabilidades encontradas en función del riesgo del negocio, los esfuerzos de remediación pueden aplicarse de manera que no se atienden oportuna o adecuadamente aquellas vulnerabilidades que pueden tener mayor impacto en el impedimento del cumplimiento de los objetivos organizacionales.
La Gobernanza apoya los objetivos estratégicos de la organización. Es la estructura y todo lo que implica cómo debe operar una organización para lograr sus objetivos.
La Gestión de Riesgos va ligada al objetivo y al desempeño. En una organización existen diferentes tipos de riesgos: legales, operativos, tecnológicos, de reputación, entre otros; si no se atienden estos riesgos probablemente no se cumplirán los objetivos previamente establecidos. Se identifican los riesgos y se establece el orden en que éstos deben ser atendidos en función de cómo afecten el cumplimiento de objetivos organizacionales.
Tal como se identifica en la figura, Las empresas tienen claramente definido su modelo de negocios en función de sus estrategias, procesos, tecnología y fuerza de trabajo, sin embargo en su proceso de desarrollo se presentan ciertos riesgos que pueden convertirse en obstáculos para el logro de sus objetivos. GRC crea valor en las empresas cuando permite transformar esos riesgos en oportunidades o mitigarlos, dentro del marco normativo de leyes, regulaciones y estándares internacionales y cumpliendo siempre los compromisos con clientes, empleados, proveedores y socios.
Tomando el ámbito de Ciberseguridad y Protección de la Información como ejemplo, para poder transformar, mitigar o eliminar dichos riesgos es importante identificarlos implementando una cultura de seguridad y de control de procesos. Se inicia por realizar análisis de riesgos, auditorías de su seguridad/cumplimiento y de sus procesos para posteriormente implementar un plan de trabajo que puede incluir planes de recuperación en caso de desastres (DRP), un plan de continuidad de negocios (BCP) como parte de un sistema de gestión en seguridad a la información (SGSI).