viernes, 7 agosto 2020
Visitas totales a la web: 85932370

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

El análisis de riesgos en la ciberseguridad

Investigador principal de Seguridad y Defensa, Real Instituto Elcano

La calidad de las grandes decisiones sobre la ciberseguridad que tienen que ver con las medidas que se toman frente a los riesgos y amenazas que padecen las infraestructuras críticas, los sistemas y tecnologías de la información o los servicios públicos y privados que se prestan sobre ellas depende de la calidad de los análisis de riesgos utilizados. El sentido común no basta para decidir qué riesgos se afrontan y cuáles no, las prioridades de inversión o los riesgos que se desplazan hacia terceros. Los análisis de riesgos orientan a quienes tienen que aconsejar o tomar esas decisiones.

“el reto ahora es el de interconectar las distintas metodologías y disciplinas de análisis [de riesgos] para potenciar análisis transversales y transdisciplinares”.

Las metodologías de análisis en España se han desarrollado rápida y eficazmente, como se verá a continuación con algunos ejemplos, pero el objeto de análisis, la ciberseguridad, se ha ido complicando progresivamente debido al incremento de la complejidad de los factores tecnológicos, empresariales y regulatorios implicados. Cada sector empresarial o de la Administración ha respondido a la complejidad enriqueciendo los análisis cualitativos tradicionales con nuevos tipos de análisis cuantitativos que han aumentado el rigor y la objetividad de los resultados. Sin embargo, y a pesar del progreso analítico en cada sector individual –infraestructuras críticas, banca, seguros, operadores…–, el reto ahora es el de interconectar las distintas metodologías y disciplinas de análisis para potenciar análisis transversales y transdisciplinares.

Esta necesidad es más evidente en las grandes empresas y organizaciones, donde interactúan varios tipos de riesgos, que en las pymes, donde se reduce el ámbito de análisis. La complejidad no dispone de modelos de análisis adecuados porque la diversidad de riesgos, indicadores y metodologías ha impedido elaborar estándares y métricas de propósito general que facilitaran el desarrollo posterior de modelos de análisis sectoriales. Un reciente estudio de Science pone de relieve el daño que producen las barreras disciplinares en el análisis de ciberriesgos y las ventajas que generaría, por ejemplo, una colaboración entre los expertos en riesgos regulatorios y los expertos en computación o entre expertos en economía que evalúen los incentivos para reducir ciberriesgos y expertos en ciencias de la conducta humana1. A falta de esa colaboración transversal (entre sectores) y transdisciplinar (entre áreas de conocimiento), las decisiones importantes, como mudarse a la nube, el desarrollo de aplicaciones o la organización de la cadena de suministro, se adoptan sobre una débil base metodológica. Además, la falta de métricas relevantes –las que transmiten una idea de riesgo a los decisores no iniciados– dificulta el proceso de decisiones de los directivos y consejos de administración.

El Incibe ha desarrollado un análisis de riesgos básico a disposición de los empresarios para que elaboren su plan director de seguridad. El riesgo se determina combinando en una matriz la probabilidad de ocurrencia con el impacto potencial, proporcionando a los que tienen que adoptar decisiones un mapa de riesgos. Se apoya en la metodología Magerit de análisis y gestión de riesgos en los sistemas de información, desarrollada por el Centro Criptológico Nacional (CCN-CERT). Estas herramientas permiten a los responsables analizar el entorno del análisis de riesgo (EAR) para identificar los activos que proteger y las medidas más adecuadas para hacerlo. También aquí el CCN-CERT pone a disposición de los analistas algunas herramientas de análisis en diferentes versiones: íntegra (PILAR), simplificada para pymes y Administraciones locales (PILAR Basic), exprés (μPILAR) o personalizada (RMAT).

Las metodologías siguen los principios y directrices genéricas adoptados en la norma internacional ISO 31000 –actualizada por la ISO 31010–de la Organización Internacional de Normalización (International Standards Organization) para gestionar los riesgos genéricos de las organizaciones, que luego cada una tiene que adaptar a sus peculiaridades cibernéticas. Las directrices de la ISO 31000 también se aplican al Mapa de Ciberriesgos que acaban de publicar ISMS Forum y la Agencia Española de Gerencia de Riesgos y Seguros (AGER). El grupo de trabajo que ha estado detrás de su elaboración describe la metodología del mapa de riesgos y cómo se integran en una matriz las valoraciones de probabilidad e impacto para ayudar a tomar decisiones sobre la eliminación, transferencia, mitigación, explotación o aceptación de los riesgos –se incluyen dos casos prácticos para una mejor comprensión–.

Los ejemplos de metodologías sectoriales se multiplican y actualizan, constatando la consolidación de la función de análisis y de los perfiles profesionales de los analistas. Entre otras, se pueden mencionar las dedicadas a la seguridad industrial. Destaca el Modelo de Análisis de Riesgos Ligeros de Seguridad Integral de Ciberseguridad en Sistemas de Control Industrial (ARLI-CIB), a iniciativa del Esquema Nacional de Seguridad Industrial (ENSI), que aparece en la Figura 1.

Figura 1. Marco conceptual del modelo de análisis de riesgo sobre ciberseguridad en sistemas de control industrialFigura 1. Marco conceptual del modelo de análisis de riesgo sobre ciberseguridad en sistemas de control industrial. Fuente: ARLI-SI: Análisis de Riesgos Ligero de Seguridad Integral, Incibe-CERT
Fuente: ARLI-SI: Análisis de Riesgos Ligero de Seguridad Integral, Incibe-CERT.

La Autoridad Bancaria Europea (EBA, en sus siglas en inglés) también ha elaborado sus propias directrices para la evaluación de los riesgos de ciberseguridad en el marco del proceso de revisión y evaluación supervisora (PRES). Esta evaluación forma parte de un proceso de supervisión que tiene en cuenta diversas prioridades. Para 2020, las Prioridades de Supervisión Bancaria incluyen, entre otras, revisión de los modelos internos de capital, riesgos de mercado, criterios de suscripción, capital interno y adecuación de liquidez, modelos de negocio, gobernanza, prueba de estrés y, desde luego, la ciberseguridad. Este modelo de análisis compuesto sirve para reiterar la importancia de combinar los análisis verticales (prioridades) con los horizontales (interacciones), de forma que la supervisión final sea algo más que la yuxtaposición de análisis sectoriales, tal y como defendían los analistas en Science. Para abundar en su argumentación, mencionan el caso del riesgo residual en las grandes organizaciones, un riesgo que escapa al control de los análisis verticales y que planea sobre los directores de seguridad de la información (CISO o chief information security officer) y los directores de sistemas de información (CIO o chief information officer) sin que cuenten con un sistema de análisis que los respalde.

Otro caso de estudio que muestra la necesidad de articular sistemas de análisis transversales y transdisciplinares se encuentra en la Unión Europea. ENISA, la Agencia Europea de Seguridad de las Redes y de la Información, está tratando de articular modelos de análisis de ciberriesgos sectoriales a nivel europeo. Por ejemplo, y paralelamente a la implantación del Reglamento General de Protección de Datos (RGPD) y la Directiva NIS, ENISA comenzó a interesarse por la adaptación del sector de los seguros a la nueva realidad digital. Como resultado, elaboró en 2016 el estudio “Cyber Insurance: Recent Advances, Good Practices and Challenges” consultando al sector sobre sus métodos de análisis, un sector de difícil armonización, incluida la terminología de riesgos2  –aseguradoras como Lloyd’s han esperado hasta el 1 de enero de 2020 para declarar obligatoria en sus pólizas la cláusula de cobertura o exclusión de ciberriesgos–. Al igual que las instituciones oficiales mencionadas en España, ENISA colabora con los actores principales, los centros de investigación y los Estados miembros para desarrollar modelos de análisis o, como ha ocurrido con la controversia sobre las redes de quinta generación (5G), coordinar los análisis nacionales de riesgo. También analiza las limitaciones de los modelos, como las detectadas en la capacidad de usar inteligencia en el análisis de riesgos (“Exploring the opportunities and limitations of current Threat Intelligence Platforms”). Al hacerlo, se incrementa el acervo metodológico europeo para –algún día– disponer de los modelos transversales y transdisciplinares de análisis de riesgo que se proponían al principio de este comentario.

1 Gregory Falco et al. (2019), “Cyber risk research impeded by disciplinary research”, Science Policy Forum, vol. 366, nº 6464, 29/XI/2019.

2 ENISA ha complementado el informe anterior con otro sobre “Commonality of risk assessment language in cyber insurance” en 2017.

Fecha de publicaciónenero 14, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

UME, para servir

Uno se pregunta, al ver las estadísticas de bajas, por qué no funcionarán los gobernantes con la misma prontitud y eficacia que los militares. Circula un video en el que un general, a pesar de la mascarilla, explica claramente el funcionamiento de las Unidades militares; una perfecta organización en la que un estado mayor planea y dirige las operaciones en curso, mientras otro va programando las operaciones futuras. Todo un engranaje funcionando con eficacia, en silencio y sin alardes, donde cada elemento sabe lo que tiene que hacer y cómo hacerlo, sacando el máximo rendimiento de sus escasos medios, y a pesar de lo imprevisto y desconocido de un enemigo que dio la cara cuando ya estaba dentro.

Los 4 grandes pelotazos de las mascarillas y los test: la estafadora Mayra facturó 263 millones a Sanidad

Eric Casas, directivo de Hans Biomed Skymedic, ha ganado 38,7 millones con el mismo negocio. Mayra Dagá,...

Últimas noticias

95 gramos de CO2 El mayor reto en la historia del automóvil

Como si fuera obra de Greta Thumberg, las medidas anticontaminación se endurecen en la UE, por lo...

Dos historias de un chino que demuestran la cara y la cruz del reconocimiento facial

A un lado, los que apoyan esta tecnología en aras de la seguridad; al otro, quienes lo consideran un atraco a la...

El bikini, un traje de baño atómico

La presentación de esta prenda veraniega de dos piezas coincidió con los ensayos nucleares de Estados Unidos en el atolón Bikini

El Ejército frustró un atentado con bomba lapa en su base principal en Mali

Artificieros españoles frustraron un atentado en Koulikoro, donde se ubica la principal base en la que están desplegadas las tropas españolas en Mali....

Teletrabajo y coronavirus: lo que el mundo puede aprender de los Países Bajos sobre el trabajo desde casa

Si eres de los que ha tenido que colocar la laptop sobre una pila de libros de cocina durante la pandemia o...