Tag riesgos

Imagen 3

En esta segunda parte revisamos los últimos cuatro pasos del método OCTAVE Allegro para hacer una evaluación de riesgos de ciberseguridad.

En la primera parte de esta serie de dos artículos que llamamos “8 pasos para la evaluación de riesgos de ciberseguridad”, revisamos los primeros cuatro pasos para hacer la evaluación de riesgos de una empresa según el método OCTAVE Allegro. Una guía útil para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta segunda parte, continuamos con los últimos cuatro pasos que propone esta metodología.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Imagen 1.

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:

Imagen 2

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Imagen 3

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

El método OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

Fuente: www.welivesecurity.com

Ahora que las organizaciones están realizando ajustes para mejorar el modelo de trabajo híbrido que combina trabajar desde casa y desde la oficina, es más importante que nunca abordar los riesgos que puede representar una amenaza interna.

El viejo adagio “una cadena es tan fuerte como su eslabón más débil” se utiliza frecuentemente en discusiones sobre ciberseguridad, y no podría ser más adecuado. En el ámbito cibernético cada eslabón está representado por un empleado individual, lo que significa que existen muchos potenciales puntos débiles que los atacantes pueden investigar. Y de hecho lo hacen permanentemente. Lamentablemente, el cambio de manera masiva hacia el trabajo remoto durante la pandemia convirtió un problema de larga data en un desafío aún mayor para los equipos de ciberseguridad.

Ahora que las organizaciones están más preparadas para implementar un modelo híbrido que combina trabajar unos días desde casa y otros días en la oficina para la mayoría de los empleados, los desafíos del trabajo remoto es algo que ya no se puede ignorar. Simplemente porque lo que está en juego es demasiado importante.

El potencial impacto de una amenaza interna

Aunque las amenazas internas son un problema creciente, el mayor problema está relacionado con empleados negligentes o descuidados. Los seres humanos son los que hacen clic en los enlaces, crean contraseñas, configuran sistemas de TI y programan software. Lo que significa que son propensos por naturaleza a cometer errores y que pueden ser manipulados mediante ingeniería social. Por lo tanto, es natural que representen un riesgo cibernético central para las organizaciones y una gran oportunidad para los actores de amenazas. En un hipotético mundo libre de errores humanos, es difícil imaginar que exista una industria de ciberseguridad que valga los 156.000 millones de dólares estimados en la actualidad.

¿Cómo contribuye el error humano al riesgo de seguridad? Vale la pena destacar algunas estadísticas.

• El factor humano estuvo presente en aproximadamente el 85% de las brechas que ocurrieron en 2020, según Verizon
• Casi el 19% de las brechas involucraron “varios errores”
• En aproximadamente el 35% de las brechas estuvo involucrada la ingeniería social
• Los ataques de phishing aumentaron un 11% entre 2020 y 21
• Casi 2.000 millones de dólares se perdieron el año pasado en ataques del tipo Business Email Compromise (BEC), en cual los usuarios son engañados para que envíen fondos corporativos a estafadores
• Los dispositivos perdidos representan una amenaza importante pero que no está cuantificada. Más de 1.000 dispositivos fueron perdidos o robados de los departamentos gubernamentales del Reino Unido solo en 2020.

El impacto financiero de todas estas amenazas es muy debatido. Sin embargo, un reporte reciente afirma que una brecha interna significó para las organizaciones a nivel global un costo promedio cercano a los 11.5 millones en 2019 y esta cifra aumentó 31% con respecto a 2017.

Cómo los actores de amenazas se dirigen a los trabajadores remotos

Con la pandemia llegaron nuevas oportunidades para dirigirse a los empleados. Casi de la noche a la mañana, las organizaciones pasaron de sistemas de TI centralizados protegidos con políticas, procesos y tecnología probados a tener a la mayoría de su fuerza laboral distribuida. Los empleados no solo usaban redes y dispositivos domésticos potencialmente inseguros, sino que también pueden haber estado más distraídos por la vida en el hogar, especialmente aquellos que tenían compromisos de cuidado infantil. Incluso aquellos que no sufren tener que estar más aislados, el escenario hizo que sea más difícil poder verificar con colegas o el personal de TI cualquier correo sospechoso.

El estrés también puede haber tenido un papel importante aquí, aumentando el riesgo interno. Según un informe de ESET producido el año pasado con los especialistas en psicología empresarial The Myers-Briggs Company, el 47% de los encuestados estaban algo o muy preocupados por su capacidad para manejar el estrés durante la crisis. Los empleados estresados pueden ser más propensos a entrar en pánico y hacer clic en un enlace malicioso, o a no informar al equipo de TI acerca de un posible incidente, advirtió el informe. Las largas horas de trabajo pueden tener un efecto similar. Datos oficiales de la Oficina de Estadísticas Nacionales del Reino Unido revelaron que en 2020 los teletrabajadores estuvieron en promedio cinco horas más sentados frente al escritorio que sus colegas trabajando en la oficina.

Pero el informe de ESET tuvo hallazgos más preocupantes, que incluyen:

• Los CISO reportaron que el delito cibernético aumentó un 63% desde que comenzaron los confinamientos
• Aunque el 80% de los encuestados aseguró que contaba con una estrategia de trabajo remoto, solo una cuarta parte dijo que era efectiva.
• Alrededor del 80% dijo que el aumento del riesgo cibernético causado por factores humanos es un desafío.
• El 80% de las empresas dijo que el aumento del riesgo de la ciberseguridad por factores humanos planteaba algún tipo de desafío.

Junto con el phishing, otras amenazas alrededor del trabajo híbrido incluyen:

• Secuestro del RDP, el cual es cada vez más utilizado por los actores de ransomware. Esto es posible por el uso de credenciales débiles o que fueron previamente comprometidas
• Sistemas sin parches (por ejemplo, VPN, computadoras portátiles)
• Wi-Fi y/o dispositivos inteligentes de uso doméstico sin contraseñas seguras
• Uso compartido de los dispositivos, donde los convivientes de los empleados o sus hijos utilizan estos dispositivos para visitar sitios riesgosos y descargan involuntariamente software potencialmente malicioso

Cómo proteger el trabajo híbrido

Con un regreso parcial a la oficina, es de esperarse que algunos de estos desafíos retrocedan. Menos estrés y aislamiento puede que tengan un impacto positivo en los esfuerzos por reducir los riesgos. Pero también existe la posibilidad de que los trabajadores lleven consigo algunos malos hábitos aprendidos durante la etapa de confinamiento, o incluso algún malware escondido entre sus dispositivos. El transporte de computadoras portátiles entre el hogar y el trabajo también puede aumentar el riesgo de dispositivos perdidos o robados.

Sin embargo, hay cosas que los equipos de seguridad pueden hacer para minimizar los riesgos asociados a este modelo de trabajo híbrido. Por ejemplo:

• Exigir el uso de la autenticación multifactor (MFA) para todas las cuentas y dispositivos
• Directivas para requerir que se activen las actualizaciones automáticas para todos los dispositivos
• Contraseñas seguras para todos los dispositivos domésticos, incluidos los routers
• Pruebas psicométricas para ayudar a identificar dónde existen debilidades humanas. Esta información podría usarse para desarrollar mejores protocolos de seguridad y hacer que la capacitación sea más personalizada y efectiva.
• Investigación/auditoría estricta de los proveedores y sus capacidades para mitigar las amenazas internas
• Herramientas de prevención de pérdida de datos
• Segmentación de la red
• Restricción de los permisos de acceso bajo el principio de menor privilegio
• Adoptar un enfoque Zero Trust para limitar el daño que pueden causar los incidentes internos
• Modificar la cultura de trabajo para que los que están en casa no se sobrecarguen.

La gestión del riesgo interno consiste en tratar de proteger su eslabón más débil para evitar que sea el causante del compromiso. Con políticas y procesos de mejores prácticas respaldados por la tecnología adecuada, existe la esperanza de un lugar de trabajo híbrido más seguro.

Fuente: https://www.welivesecurity.com