Resumen de “madurez en la identificación y evaluación de riesgos en ciberseguridad”
Angel Marcelo Rea Guaman
Ciberseguridad es un término ampliamente utilizado que habla de la seguridad de los sistemas de información y los datos, y se define como la “protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Por lo tanto, es una disciplina que involucra tecnología, personas, información y procesos para permitir operaciones seguras.
Una forma de comenzar a abordar la ciberseguridad es analizar la situación en que se encuentra la organización, a través de la implantación de modelos de madurez relativos a ciberseguridad. Las etapas de madurez van desde una etapa inicial, donde una organización apenas haya comenzado a considerar la ciberseguridad, hasta un escenario dinámico, donde una organización es capaz de adaptarse rápidamente a los cambios en el panorama de la seguridad cibernética en lo relativo a las amenazas, las vulnerabilidades, los riesgos, la estrategia económica o el cambio de las necesidades organizacionales.
Existen una serie de modelos de madurez que utiliza la industria para medir el nivel de una organización. Los principales modelos que son utilizados en los estudios de artículos científicos, identifican a la gestión de riesgos de ciberseguridad como un elemento básico en el nivel inicial de madurez. Los elementos necesarios para gestión de riesgos se describen mediante modelos conceptuales, sin embargo, cada modelo lo hace según su enfoque particular.
Por todo lo anterior, esta tesis doctoral tiene un doble objetivo. En primer lugar, demostrar la necesidad de contar con un marco de trabajo de gestión de riesgos en ciberseguridad, en base de un modelo conceptual que incluya todos los elementos de la gestión de riesgos, sea sencillo de aplicar en distintos ámbitos, empresas de cualquier naturaleza, y que ayude a la organización en la identificación y evaluación de riesgos en ciberseguridad. En segundo lugar, cubrir esta necesidad, desarrollando un marco de trabajo que ofrezca un modelo de proceso genérico, aplicable sobre distintas áreas para la gestión de riesgos en ciberseguridad, que deba seguir una serie de actividades y tareas para que sea eficaz y cumpla adecuadamente su función.
El proceso del marco de trabajo propuesto para la identificación y evaluación de riesgos en ciberseguridad, AVARCIBER (Activos – Vulnerabilidades – Amenazas – Riesgos CIBERseguridad), describe una serie de actividades y tareas secuenciales. Las actividades descritas son: definir un catálogo de los elementos que participan en el modelo conceptual, identificar y evaluar activos, evaluar el nivel de daño que van a producir las vulnerabilidades en cada uno de los activos, identificar las amenazas de ciberseguridad, medir el riesgo, e identificar contramedidas.
Para validar el marco de trabajo descrito anteriormente, se ha implementado un caso de estudio en el Instituto Ecuatoriano de Seguridad Social (IESS) de la ciudad de Quito – Ecuador. La identificación y evaluación de riesgos incluyó identificar y evaluar los eventos inciertos que puedan afectar los recursos de tecnología de la información. Una vez obtenida la línea base, se ha aplicado el marco de trabajo AVARCIBER. Esto ha permitido conocer las ventajas/desventajas y las posibles mejoras del marco de trabajo frente a la forma de trabajar actual (denominada línea base), por lo que podemos indicar que la identificación y evaluación de riesgos en ciberseguridad utilizando el modelo conceptual AVARCIBER, ha permitido: tener una mejor visión de las relaciones que pueden tener los elementos de la gestión de riesgos en ciberseguridad, tomar decisiones en la criticidad de los riesgos e identificar acertadamente las contramedidas que se deben aplicar.
