Tres pasos críticos que podría estar omitiendo al medir el riesgo de seguridad en su organización
¿Por qué el riesgo es un concepto tan importante en la seguridad de la información? El riesgo es un idioma común que permite a los equipos de seguridad de la información comunicarse con socios de otros ámbitos, como los equipos de ingeniería o de empresa. La gestión de riesgo condiciona las decisiones de coste/beneficio tomadas teniendo en cuenta las necesidades empresariales, de seguridad y de ingeniería. Sin una capacidad de gestión de riesgos de seguridad madura, el equipo de seguridad de la información lo tendrá difícil para lograr sus objetivos, incluso aunque las capacidades en otras áreas sean sólidas.
Un requisito para diseñar una capacidad de gestión de riesgos de seguridad madura es la capacidad de medir el riesgo. Lamentablemente, la medición de riesgos plantea retos. Hay numerosas perspectivas sobre cómo hacerlo, pero no hay un método ampliamente aceptado ni orientación a nivel general. El documento NIST SP 800-55 Rev. 1, "Performance Measurement Guide for Information Security" (Guía sobre medición del rendimiento de la seguridad de la información) es un punto de partida, pero se centra más en la medición del rendimiento que en el riesgo.
Yo tampoco puedo ofrecerle una solución o un proceso integrales. No obstante, la experiencia me ha enseñado tres pasos fundamentales que pueden aportar un elevado retorno de la inversión para mejorar su capacidad de medición de riesgos.
Paso 1: personalizar las puntuaciones de gravedad de la vulnerabilidad para su organización
"No es riesgo calculado si no lo ha calculado". - Naved Abdali, INVESTING — Hopes, Hypes, & Heartbreaks (Invertir: esperanzas, modas y desengaños)
Los equipos de Seguridad tal vez se centren exclusivamente en usar puntuaciones de gravedad de la vulnerabilidad externas y estáticas, y no tengan en cuenta las repercusiones de una vulnerabilidad en su entorno particular. Es comprensible que las organizaciones opten por esta posibilidad, ya que estas tienen numerosas vulnerabilidades y es más fácil usar una puntuación existente. Sin embargo, si los equipos usan solo puntuaciones de gravedad de la vulnerabilidad externas, tal vez asignen la prioridad equivocada a las actividades de seguridad y pongan en riesgo a su organización.
Por ejemplo, la mayoría de equipos de Seguridad usan registros CVE (Vulnerabilidades y exposiciones comunes) como fuente de vulnerabilidades de ámbito público. Estos CVE obtienen las puntuaciones de gravedad de la vulnerabilidad a partir del Sistema de puntuación de vulnerabilidades comunes (CVSS). Las puntuaciones del CVSS para los CVE suelen incluir diversas valoraciones de proveedores de software o de expertos en la materia basadas en la naturaleza general de la vulnerabilidad. Algunos equipos de seguridad solo usan esta puntuación para priorizar las vulnerabilidades. Sin embargo, esta estrategia ignora la naturaleza dinámica de la gravedad de las vulnerabilidades y las consecuencias específicas que estas tienen en el entorno de una organización.
Mientras que algunos usuarios de CVSS solo tienen en cuenta las mediciones de base para las vulnerabilidades de puntuación de riesgos, se necesitan las mediciones de los tres grupos para ofrecerle a su organización una puntuación de riesgos más exhaustiva. Estos componentes de la puntuación de desafíos y riesgos son análogos en muchas otras metodologías más allá de CVSS.
Recomendaciones
En Salesforce, el equipo de Seguridad de la información usa múltiples técnicas para pasar de aplicar simplemente una puntuación de gravedad a evaluar el riesgo de manera más exhaustiva, entre otros:
- Incorporar mediciones temporales a la puntuación de riesgo de vulnerabilidad a través de plataformas de inteligencia de amenazas y herramientas de gestión de la vulnerabilidad.
- Evaluar las características ambientales de los activos vulnerables, tales como requisitos de disponibilidad, nivel de confidencialidad de los datos y exposición de cara al cliente.
- Comenzar de forma sencilla y, con el tiempo, ir ajustando la estrategia de puntuación de riesgos de forma dinámica a medida que se dispone de más datos sobre factores de riesgo.
Paso 2: usar indicadores de riesgos clave para supervisar su riesgo
"Lo que mide quiénes somos es lo que hacemos con lo que tenemos". Vince Lombardi, las reglas de Lombardi
Los indicadores de riesgos clave, o KRI, se pueden definir como medidas de riesgo con objetivos o límites definidos por la organización. Los responsables de las organizaciones suelen definir los objetivos y los límites para representar el nivel a partir del cual el riesgo se vuelve inaceptable. Desde los más altos responsables de una organización hasta los responsables de seguridad de la gestión de riesgo, todos usan los KRI habitualmente para supervisar el riesgo de forma proactiva.
Hasta aquí todo bien, pero ¿cómo se crea un indicador de riesgo clave?
En primer lugar, la medición tiene que ir asociada al riesgo. Las mediciones de riesgo identifican qué podría suceder para aumentar la probabilidad o el impacto de un evento de seguridad adverso. Por ejemplo, la probabilidad de riesgo puede aumentar si los investigadores descubren una nueva vulnerabilidad de alto riesgo para el software del sistema. El impacto del riesgo puede aumentar si un sistema comienza a almacenar más datos confidenciales.
En segundo lugar, la medición debe tener un umbral asociado. Las organizaciones suelen definir el umbral del indicador de riesgo en función del apetito de riesgo y la tolerancia al mismo. El apetito de riesgo es, según el FAIR Institute, un "nivel objetivo de exposición a la pérdida que la organización considera aceptable, según unos objetivos y recursos empresariales dados". La tolerancia al riesgo es el "grado de variación del apetito de riesgo que la organización está dispuesta a tolerar". Por ejemplo, una organización puede determinar que no tolerará ninguna vulnerabilidad de categoría crítica en sus entornos de alto riesgo. Por tanto, el umbral para el KRI "Número de vulnerabilidades críticas en entornos de alto riesgo" es 0.
En tercer lugar, ¿qué hace que un indicador sea clave? Un equipo puede producir muchos indicadores de riesgo, pero los indicadores de riesgo clave son un subconjunto de indicadores de riesgo elegidos por su importancia para los responsables de toda la organización. Por ejemplo, algunos KRI pueden hacer referencia a ingeniería y TI, mientras que otros pueden estar relacionados con el producto y la empresa. Los KRI suelen ser compartidos y estar supervisados más allá del equipo de Seguridad de la información.
Recomendaciones
Hay muchas estrategias para desarrollar indicadores de riesgo clave. Entre los métodos que usa Salesforce, se incluyen:
- Coordinar los indicadores de riesgo con la estructura de la organización. P. ej., controles de seguridad, madurez de la seguridad, principales riesgos o amenazas usados en presentaciones a los responsables de la organización.
- Comenzar por introducir un número reducido de KRI piloto e ir introduciendo más en función de la respuesta obtenida y el valor para el público.
- Implicar a diversas partes interesadas en el desarrollo de indicadores de riesgo clave, incluidos representantes de público objetivo, expertos en la materia técnica y partes interesadas de ingeniería y empresa.
Paso 3: tener en cuenta los desconocidos conocidos
"El incidente de seguridad que más duele es aquel que no ves venir". Adaptado de un viejo dicho del mundo del boxeo.
El tercer paso, "Tener en cuenta los desconocidos conocidos", es el más evidente de los tres, y probablemente el más importante para algunas organizaciones. La mayoría de las organizaciones tienen desconocidos conocidos en su organización. Aquí se incluyen aplicaciones antiguas que no han sido sometidas a una revisión de seguridad en años, la deuda de seguridad que ha incrementado su riesgo debido a la evolución de las amenazas, los proyectos especiales con activos fuera del ámbito de evaluación normal de la seguridad o el código que el equipo de seguridad no tiene tiempo de revisar.
Estos desconocidos conocidos pueden pasar desapercibidos durante años y llegar a ser asumidos implícitamente en una organización. Lamentablemente, también pueden plantear los riesgos más elevados. La mejor forma de echar a andar en la buena dirección es asegurarse de que sus desconocidos sean al menos conocidos y romper el círculo de la aceptación implícita.
Recomendaciones
Salesforce emplea diversas estrategias para gestionar los desconocidos conocidos. Algunas de las que pueden ser de utilidad para otras organizaciones son:
- Plantéese crear uno o varios proyectos específicos para identificar a los desconocidos conocidos y asegurarse de que se incluyan en el ámbito de evaluaciones de seguridad habitual.
- Integrar a los desconocidos conocidos en su infraestructura de gestión de riesgos y dar prioridad a las correcciones junto con los "conocidos conocidos".
- Actualizar las políticas, los estándares y la orientación para abordar las fuentes de desconocidos conocidos y evitarlos de aquí en adelante.
La medición de riesgos no siempre es algo directo y transparente, pero la Seguridad es una maratón, no un esprint. ¿Y ahora qué? Compruebe las recomendaciones para cada paso (o cree las suyas propias) e identifique lo que puede hacer desde ahora mismo para medir mejor los riesgos de aquí en adelante. Si descubre algo que funciona, plantéese el compartirlo. A todos nos puede venir bien algo de ayuda en esta maratón.