La gestión de riesgos es una disciplina que tiene varias décadas. Fue desarrollada a partir del trabajo de los auditores, basado en las normativas internacionales como las Normas ISO 27.000 y el Marco NIST de Ciberseguridad, que sin embargo enfrenta constantemente nuevos desafíos.
Una adecuada gestión del riesgo comienza por establecer controles para ciertos procesos en seguridad informática, como por ejemplo la creación del registro de todos los usuarios con acceso a distintos sistemas y aplicaciones u otorgar o quitar permisos a las personas de una organización “La gestión del riesgo considera una suma de tareas relevantes que deben ser debidamente consignadas, y que de igual forma aplican al riesgo mismo, las que deben gestionarse y registrarse a través de controles paso a paso”, señala Cristian Bravo Lillo, Director del CSIRT de Gobierno.
Un riesgo es un problema potencial
Los dos elementos clave en un riesgo son la probabilidad de ocurrencia y el impacto que puede tener si ocurre. Un riesgo es un problema potencial: el riesgo puede ser poco o muy probable, y tener un bajo o alto impacto. “Hay riesgos que de llegar a transformarse en problemas tendrán un impacto menor, mientras que otros pueden resultar catastróficos, con todas las gamas intermedias”, indica Cristian Bravo.
Dentro de la gestión del riesgo, es usual la aplicación de escalas ordinales, que asignan valores del 1 al 5: 1 es muy poco probable y 5 es muy probable, y lo mismo en el caso del impacto; sin embargo, evidencias recientes demuestran que esta clasificación tiene más desventajas que aciertos.
Una de ellas, explica el director del CSIRT, es que los conceptos de probabilidad e impacto son relativos, subjetivos y particulares.. “La desventaja de usar una escala ordinal es que lo que alguien entiende como ‘muy malo’ es distinto para otros; por lo tanto, diferentes personas pueden clasificar un riesgo de manera muy distinta. Esto se relaciona también con el conocimiento y la experiencia. Por ejemplo, si en una institución los usuarios nunca se han enfrentado a un ransomware probablemente pensarán que se trata de un gran peligro; en cambio, quienes están acostumbrados a esta amenaza, lo clasificarán como algo menor; en otras palabras, el impacto tenderá a ser relativo. Es ahí donde radica la gran falencia de este método de clasificación de riesgo”.
En busca del mejor método
Frente a la necesidad de avanzar y dar paso a una clasificación de riesgos más certera, el CSIRT propone medir las probabilidades no con escalas ordinales sino con porcentajes, clasificando la probabilidad de ocurrencia de 0% a 100% o de 0 a 1. Proponen también medir el impacto con estimaciones monetarias, calculando cuánto le puede costar a una institución o empresa resolver el problema.
“La clasificación del riesgo es más útil cuando se estima en porcentajes y costos, y también cuando se trabaja analizando escenarios posibles, por ejemplo, considerando los ciberataques ocurridos a organizaciones y compañías que sirven como punto de partida para calcular la probabilidad de ocurrencia y el nivel de daño. Es la base para trabajar la gestión del riesgo en ciberseguridad”, explica Bravo Lillo.
En ese sentido, una de las labores que el CSIRT tendrá en el futuro es proporcionar listas de riesgos categorizadas de acuerdo a su nivel de probabilidad. A partir de ese catálogo de riesgos y a su realidad y contexto, cada servicio público podrá evaluar sus riesgos más probables y con más impacto, y decidir cuánto invertir para mitigarlos.
Este listado elaborado por el CSIRT está basado en el sistema FAIR (Factor Analysis of Information Risk; https://www.fairinstitute.org/what-is-fair), desarrollado en Estados Unidos y considerado en la actualidad uno de los mejores modelos de riesgos a nivel mundial, ya que orienta con claridad sobre cuáles son los riesgos verdaderamente relevantes, descartando el resto.
Riesgos y Ciberseguridad: dos tareas distintas pero totalmente complementarias
La misión más importante de un grupo de ciberseguridad en cualquier institución es disminuir la exposición al riesgo. En este sentido, es fundamental utilizar KPIs claves; entre ellos, el tiempo que demora una institución en corregir las vulnerabilidades que le afectan, para ser capaces de determinar con exactituden cuantos días puede resolverlas.
Para Cristian Bravo, es vital que un organismo cuente con un encargado de riesgos y que sea distinto al de ciberseguridad. Se trata de roles diferentes y de tareas de distinta magnitud. “Uno de los objetivos del líder de ciberseguridad es balancear costos de medidas preventivas contra la probabilidad de ataque, mientras que el líder de riesgos debe visibilizarlos para que la dirección tome las decisiones que estime conveniente. Finalmente, la misión del gerente de ciberseguridad es proteger y la del responsable de riesgos es visibilizar”.
Cuando solo una persona lleva a cabo ambas tareas, considerando que en su gran mayoría los organismos públicos no cuentan con dos personas, el catálogo de riesgos del CSIRT entrará en juego, ya que permite que los organismos lo adapten a su realidad, establezcan un plan de prevención y definan la inversión que harán para mejorar su nivel de protección.
El CSIRT proyecta seguir ayudando en esta misión con más y mejores herramientas; entre ellas, una plataforma de amenazas permanentemente actualizada, de acceso público y tan dinámica como lo es la ciberseguridad.
Para el director del CSIRT de Gobierno, una recomendación es lograr que las áreas de gestión de riesgos se comuniquen fluidamente con las de ciberseguridad y juntas profundicen en las implicancias de cada riesgo para su institución. Esto implica reunirse frecuentemente, y hacer costumbre conversar sobre qué nuevos riesgos se están presentando y de qué manera se les está haciendo frente. “Hoy la ciberseguridad y los riesgos, así como la ciberseguridad y la operación, van de la mano. No se pueden entender de manera separada”.