Buscar

cyte - Infosec Technology Newsletter - Abril 2020, No 2

Actualizado: 5 de jun de 2020

Ciberseguridad y Riesgo Operacional


Uno de los términos más incomprendidos en nuestro me dio es quizás la palabra “ciberseguridad”. Aún cuando es término referido con frecuencia en Juntas Directivas y circulares del gobierno, en realidad el encargado de estos temas se encuentra con frecuencia sin guías de como abordar su responsabilidad. En esta nota se presenta desde el punto de vista de riesgo operacional una posible metodología de trabajo de los aspectos de ciberseguridad en una organización.


Lo difuso del término Ciberseguridad

por M. Quiroga


En efecto, al parecer, comprar un firewall, actualizar el antivirus o contratar hacking ético, cualquier cosa pareciera ser relevante para mostrar gestión en ciberseguridad. En el imaginario colectivo de ciberseguridad en muchas organizaciones aparece desde un atacante solitario en hoodie como el de la figura de arriba, hasta un “terminator” desplazándose por la carrera séptima disparando a todo lo que se mueva.


En realidad imaginar los escenarios de ciberguerra no requiere un esfuerzo tan grande de imaginación y en cambio puede llevar a riesgos y amenazas reales. Basta simplemente con recordar algunas operaciones bélicas en la historia y tratar de imaginar este tipo de operaciones en contextos “ciber”.


Operaciones Bélicas


En la Segunda Guerra Mundial el gobierno Alemán condujo una audaz operación bélica, conocida como la operación “Bernhard”. Para el momento de concebir esta operación, la aviación alemana rutinariamente bombardeaba Londres, sin que el pueblo inglés diera muestras de rendirse. El alto mando ideó una operación capaz de detener la economía inglesa y sin disparar una bala más... la operación consistía en inundar las calles londinenses con miles y miles de billetes de 5 libras esterlinas ¡falsos (https://en.wikipedia.org/wiki/Operation_Bernhard)... Hitler confiaba en que lo que no conseguía con las bombas, lo iba a conseguir con billetes falsos...Clausewitz decía que “la guerra es un acto de poder para doblegar el enemigo”... ¿qué más da si no son bombas sino presiones inflacionarias que lleven a la destrucción económica del enemigo?


Sun Tzu en “El Arte de la Guerra” escribió: “cien victorias en cien batallas no es lo ideal. Lo ideal es someter al enemigo sin luchar”.


Hay otro caso emblemático que es premonitorio de la ciberguerra... este caso sucedió en 1982 y se conoció como “la explosión del gasoducto Urengoy–Surgut–Chelyabinsk”. Al parecer en estos tiempos de la guerra fría, la antigua Unión Soviética era particularmente habilidosa espiando y robando tecnología de occidente. Narra Thomas C. Reed que la CIA procedió a realizar una operación encubierta en la cual escondió una bomba lógica en el software SCADA de control de oleoductos de la compañía Canadiense Telvent®, que luego la KGB soviética hábilmente robó.


Esta bomba lógica causó que un tiempo después el oleoducto en mención explotara con una violencia equivalente a 3 kilotones (https://en.wikipedia.org/wiki/At_the_Abyss).


En ambos casos aquí mencionados, se trató de actos bélicos, que sin embargo no fueron actos militares en el sentido tradicional. Es decir se trató de ataques contra infraestructura del adversario y que sin embargo no involucraron balas o bombas... Esos son precisamente los escenarios más frecuentes de ciberguerra, ataques “a través de bits” que persiguen un fin político. Es decir, si se dice que la guerra es una extensión de la política, la ciberguerra es simplemente un nuevo ámbito de la guerra. La ciberguerra busca producir una parálisis estratégica del aparato productivo del enemigo. Las armas de ciberguerra son simplemente armas de interrupción masiva.


El resto de la historia reciente de ciberguerra no es pertinente profundizar más en este espacio: una secuencia temporal que quizás inicia con ciberarmas como Stuxnet (2010),


Havex (2013), BlackEnergy (2015), CrashOverride (2016), Triton – Trisis (¿2018? ¿2019?)...


Solo resta resaltar un fenómeno curioso y poco comprendido. Las armas de ciberguerra pasan a la delincuencia común muy rápidamente. Por ejemplo, la tecnología de Stuxnet (https://en.wikipedia.org/wiki/Stuxnet) una ciberarma empleada contra Irán, a los pocos meses pasó a delincuencia común, encarnada en malware como Duqu (https:


//en.wikipedia.org/wiki/Duqu) y Flame (https://en.wikiped

ia.org/wiki/Flame_(malware)).


Sin embargo, es importante precisar que no es razonable suponer que las hostilidades a que estamos expuestos son escenarios “ciber” puros. Es claro que un escenario serio de ataque incluye actos no necesariamente “ciber”: históricamente una bala y un asesinato selectivo siempre ha sido un recurso bastante socorrido de efectividad comprobada


(https://www.cnet.com/news/irans-cyberwarfare-czar-is-allegedly-assassinated/).


Es decir, el modelamiento de amenazas de escenarios “ciber”, en realidad se trata de un espectro continuo de amenazas que debe incorporar adversarios como gobiernos extranjeros, empleados desleales, competencia deshonesta y espionaje industrial, delincuencia común, delincuencia organizada y también -por supuesto- seguridad física.


Resiliencia Operacional y Riesgo Operacional


Los acuerdos de Basilea (https://en.wikipedia.org/wiki/Basel_Committee_on_Banking_Supervision) definen un lenguaje común de gestión de riesgos para el sector financiero, que sin embargo puede ser adecuadamente extendido para cualquier organización.


Estos acuerdos de Basilea definen el riesgo operacional como el riesgo resultado de procesos de negocio internos fallidos o inadecuados, o de personas o de tecnología o de eventos externos (https://en.wikipedia.org/wiki/Operational_risk).


Estos conceptos son particularmente de interés, toda vez que se trata de un marco de trabajo ampliamente conocido en varios sectores económicos (hasta la misma Superintendencia Financiera tiene una circular de “Riesgo Operacional”) y por lo tanto se trata de términos compartidos, toda vez que ciertamente las amenazas de ciberseguridad están estrechamente vinculadas al riesgo operacional. Es decir, una hipótesis de trabajo propuesta en este texto se formula así: una organización es “resiliente” en ciberseguridad si es “resiliente” ante eventos de riesgo operacional.


Resiliencia y Riesgo Operacional


Conceptualmente una organización está formada por una jerarquía de Servicios, Procesos de Negocio y Activos, similar a la mostrada a continuación en la figura de abajo.


En ella podemos ver los Servicios de la organización, es decir aquel conjunto de actividades que realiza una organización para fabricar un producto o ofrecer un servicio a un cliente. Estos Servicios son elaborados en una serie de Procesos de Negocio, que a su vez se apoyan en un conjunto de Activos para su operación.


Estos Activos pueden ser -en general- de tres tipos: activos de tipo Personas que tienen que ver con la gente a cargo de operar el proceso de negocio, los activos de tipo Información que tienen que ver con los datos y conocimiento que


le permiten a la organización operar el proceso, los activos de tipo Edificios que tienen que ver con oficinas, bodegas y plantas de fabricación donde reside el proceso y finalmente los activos de tipo Tecnología que tienen que ver con el software, hardware, sistemas SCADA y equipos de automatización y en general la tecnología en la que se basa el proceso para

operar.


Con frecuencia -y cada vez más- las organizaciones se basan en terceros para operar sus Procesos de Negocio. Estos terceros resultan vitales hoy en día, ya que le permiten a las organizaciones concentrarse en sus competencias más importantes y dejar aquellas actividades no-vitales a terceros expertos. Por supuesto, también los terceros tienen la jerarquía de Servicios, Procesos de Negocio y Activos que tipifican en general una organización, como se muestra a continuación en la figura de abajo.


Así cada Servicio que ofrece una organización está basado en una serie de Procesos de Negocio, con su propia “misión”. Cuando se unen estos servicios individuales obtenemos colectivamente la Misión de la organización, como se muestra a continuación en la figura de abajo.


Ahora bien, si un Activo sensible de la organización, digamos un activo de tipo Tecnología falla, los Procesos de Negocio que apoya fallarán en consecuencia y por lo tanto es posible que algún(os) Servicio(s) fallen también, desencadenando incluso, lo que podría constituir una falla completa de la empresa para cumplir su Misión organizacional, como se muestra a continuación en la figura de abajo.


Es decir, la gestión de ciberseguridad de una organización tiene que ver con preservar la misión organizacional, mediante la gestión de la resiliencia de los activos de soporte de los procesos de negocio, aún ante escenarios adversos de amenazas de gobiernos extranjeros, empleados desleales, competencia deshonesta y espionaje industrial, delincuencia común, delincuencia organizada y seguridad física.


Si consideramos nuestro país y todo su aparato productivo como un gran mecanismo de relojería, podemos imaginar cómo los servicios que ofrece una organización, son incorpo- rados en los procesos de negocio de otra organización y de otra en otra y así sucesivamente todos los sectores de la economía están íntimamente conectados de manera que resultan ser co-dependientes entre si.


Y en este gran concierto de servicios, procesos de negocio y activos...... una falla en un activo en un proceso de negocio, en un servicio crítico de la organización X...... una falla orquestada por un adversario como un gobierno extranjero, un empleado desleal, un competidor deshonesto o delincuencia común / organizada...... puede hacer que la organización X no pueda cumplir su misión y además desencadenar una serie de fallas en toda la economía que incluso pueda afectar nuestra viabilidad como sociedad civilizada.


Este tipo de organizaciones que ofrecen servicios de los que dependemos vitalmente como sociedad son conocidas como infraestructura crítica y en cualquier escenario de ciberseguridad es muy importante tenerlas presente, toda vez que este tipo de organizaciones deben incorporar en sus operaciones todo el modelamiento de amenazas y análisis de riesgos que les permitan ser resilientes ante escenarios de ciberguerra.


En general los gobiernos han hecho algunos trabajos de identificación de infraestructura crítica y hay algunos trabajos de mesas sectoriales que han sido bastante claros identificando el “qué”... Sin embargo, en muchas ocasiones, tener claro el “qué”, no necesariamente lleva al “cómo”. Precisamente el “cómo” se puede encontrar en el modelo de gestión de resiliencia del Software Engineering Institute de Carnegie Mellon University.


Modelo Gestión de Resiliencia (CERT-RMM)


El Modelo de Gestión de Resiliencia (CERT-RMM) (https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=508 084) define un esquema de mejora continua de procesos que le permite a una organización conseguir Resiliencia Operacional (i.e. Resiliencia ante eventos relacionados con Riesgo Operacional).


Este modelo incluye un conjunto específico de actividades diferentes, agrupadas en torno a 26 grupos (conocidos como Process Areas), junto con un mecanismo de medida y autoevaluación basado en los modelos de madurez / capacidades que han sido tan transformadores para muchas industrias, especialmente la industria del software.


En estos 26 grupos de proceso aparecen por ejemplo, actividades relacionadas con:


  • Gestión de Riesgos,

  • Gestión de Continuidad,

  • Gestión de incidentes,

  • Gestión de Activos,

  • Gestión de logs, monitoreo y mediciones,

  • Seguridad en el ciclo de vida del software,

  • Gestión de terceros,

  • Gestión de identidades,

  • Gestión de acceso,

  • Gestión de vulnerabilidades.

Junto con una serie de automedidas para mejora continua en términos de niveles de capacidad (Nivel 0 - Realizado, Nivel 1 - Administrado, Nivel 3 - Definido), que buscan que la organización sea capaz de operar de una manera predecible, aún en momentos de stress como los causados por eventos de ciberseguridad.


Sin embargo, el beneficio más importante del modelo CERT-RMM consiste en que define una serie de actividades completas que incorporan todos los aspectos de riesgo operacional y ciberseguridad de una organización, junto con un mecanismo claro de medición de esfuerzos, que le permiten a la Alta Gerencia responder con certeza las siguientes preguntas:


¿Cuál es el estado actual de preparación de la organización en temas de ciberseguridad?


¿Qué tan efectivo ha sido el dinero que se ha empleado en la preparación de ciberseguridad?


¿Es la organización capaz de operar de manera predecible ante un evento de ciberseguridad?


¿Qué planes de mejora son los más adecuados para la organización a corto, mediano y largo plazo y por qué?


¿Cómo puedo incorporar la estrategia de ciberseguridad en mis planes de mejoramiento continuo de procesos?


Si mi rol es vigilar los esfuerzos de ciberseguridad de un grupo de organizaciones, ¿Cómo puedo definir un mecanismo de evaluación y medición simple y objetivo y que además le entregue valor a las organizaciones vigiladas?


Consúltenos en B info@cyte.co acerca de las preguntas que pueda tener acerca del uso de estas metodologías para mejora de sus procesos de negocios.


La primera y última imagen usadas en esta nota, fueron licenciadas de Shutterstock (https://www.shutterstock.com/es/image-photo/young-hacker-data-security-concept 561677989 y https://www.shutterstock.com/es/image-photo/businessman-hand-stop dominoes-continuous-toppled-172626641). Las demás imágenes fueron elaboradas por el Autor con el uso delícono de buzón tomado de http://www.iconarchive.com/show/outlineicons-by-iconsmind/Post-Mail-2-icon.html.\


#technology #ciberseguridad #riesgooperacional


4 vistas0 comentarios

Entradas Recientes

Ver todo
LINKS
NOSOTROS
SOCIAL

cyte

We-know-how®

info@cyte.co

soporte@cyte.co

Tel: +57 1 745-0272

Calle 24 #7-43 Oficina 704

Edificio Siete 24

Bogotá, Colombia

  • LinkedIn
  • YouTube

© Copyright Cyte 2020 | Estrategia Digital por EF