Madurez en la identificación y evaluación de riesgos en ciberseguridad

Resumen

Ciberseguridad es un término ampliamente utilizado que habla de la seguridad de los sistemas de información y los datos, y se define como la “protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Por lo tanto, es una disciplina que involucra tecnología, personas, información y procesos para permitir operaciones seguras. Una forma de comenzar a abordar la ciberseguridad es analizar la situación en que se encuentra la organización, a través de la implantación de modelos de madurez relativos a ciberseguridad. Las etapas de madurez van desde una etapa inicial, donde una organización apenas haya comenzado a considerar la ciberseguridad, hasta un escenario dinámico, donde una organización es capaz de adaptarse rápidamente a los cambios en el panorama de la seguridad cibernética en lo relativo a las amenazas, las vulnerabilidades, los riesgos, la estrategia económica o el cambio de las necesidades organizacionales. Existen una serie de modelos de madurez que utiliza la industria para medir el nivel de una organización. Los principales modelos que son utilizados en los estudios de artículos científicos, identifican a la gestión de riesgos de ciberseguridad como un elemento básico en el nivel inicial de madurez. Los elementos necesarios para gestión de riesgos se describen mediante modelos conceptuales, sin embargo, cada modelo lo hace según su enfoque particular. Por todo lo anterior, esta tesis doctoral tiene un doble objetivo. En primer lugar, demostrar la necesidad de contar con un marco de trabajo de gestión de riesgos en ciberseguridad, en base de un modelo conceptual que incluya todos los elementos de la gestión de riesgos, sea sencillo de aplicar en distintos ámbitos, empresas de cualquier naturaleza, y que ayude a la organización en la identificación y evaluación de riesgos en ciberseguridad. En segundo lugar, cubrir esta necesidad, desarrollando un marco de trabajo que ofrezca un modelo de proceso genérico, aplicable sobre distintas áreas para la gestión de riesgos en ciberseguridad, que deba seguir una serie de actividades y tareas para que sea eficaz y cumpla adecuadamente su función. El proceso del marco de trabajo propuesto para la identificación y evaluación de riesgos en ciberseguridad, AVARCIBER (Activos – Vulnerabilidades – Amenazas – Riesgos CIBERseguridad), describe una serie de actividades y tareas secuenciales. Las actividades descritas son: definir un catálogo de los elementos que participan en el modelo conceptual, identificar y evaluar activos, evaluar el nivel de daño que van a producir las vulnerabilidades en cada uno de los activos, identificar las amenazas de ciberseguridad, medir el riesgo, e identificar contramedidas. Para validar el marco de trabajo descrito anteriormente, se ha implementado un caso de estudio en el Instituto Ecuatoriano de Seguridad Social (IESS) de la ciudad de Quito – Ecuador. La identificación y evaluación de riesgos incluyó identificar y evaluar los eventos inciertos que puedan afectar los recursos de tecnología de la información. Una vez obtenida la línea base, se ha aplicado el marco de trabajo AVARCIBER. Esto ha permitido conocer las ventajas/desventajas y las posibles mejoras del marco de trabajo frente a la forma de trabajar actual (denominada línea base), por lo que podemos indicar que la identificación y evaluación de riesgos en ciberseguridad utilizando el modelo conceptual AVARCIBER, ha permitido: tener una mejor visión de las relaciones que pueden tener los elementos de la gestión de riesgos en ciberseguridad, tomar decisiones en la criticidad de los riesgos e identificar acertadamente las contramedidas que se deben aplicar. ----------ABSTRACT---------- Cybersecurity is a widely used term that talks about the security of information systems and data, and it is defined as the "protection of information assets, through the treatment of threats that put at risk the information that is processed, stored and transported by the information systems that are interconnected”. Therefore, it is a discipline that involves technology, people, information and processes to allow safe operations. One way to start addressing cybersecurity is to analyze the situation in which the organization finds itself, through the implementation of maturity models related to cybersecurity. The maturity stages range from an initial stage, where an organization has only just begun to consider cybersecurity, to a dynamic scenario, where an organization is able to quickly adapt to changes in the cyber security landscape regarding threats, vulnerabilities, risks, economic strategy, or changing organizational needs. There are a series of maturity models that the industry uses to measure the level of an organization. The main models that are used in the studies of scientific articles, identify cybersecurity risk management as a basic element in the initial level of maturity. The elements necessary for risk management are described through conceptual models, however, each model does it according to its particular approach. For all of the above, this doctoral thesis has a double objective. First, to demonstrate the need for a cybersecurity risk management framework, based on a conceptual model that includes all the elements of risk management, easy to apply in different areas, companies of any nature, and that helps the organization in the identification and evaluation of cybersecurity risks. Secondly, to cover this need, developing a framework that offers a generic process model, applicable in different areas for the identification and evaluation of risks in cybersecurity, which must follow a series of activities and tasks to be effective and comply properly its function. The process of the proposed framework for the identification and evaluation of risks in cybersecurity, AVARCIBER (Assets - Vulnerabilities - Threats - Cybersecurity Risks), describes a series of sequential activities and tasks. The activities described are: defining a catalog of the elements that participate in the conceptual model, identifying and evaluating assets, evaluating the level of damage that vulnerabilities will produce in each of the assets, identifying cybersecurity threats, measuring risk, and identifying countermeasures. To validate the framework described above, a case study has been implemented at the Ecuadorian Social Security Institute (IESS) in the city of Quito – Ecuador. The identification and evaluation of risks included, identifying and evaluating uncertain events that may affect the information technology resources. Once the baseline has been obtained, the AVARCIBER framework has been applied. This has allowed us to know the advantages / disadvantages and possible improvements of the framework compared to the current way of working (called baseline), so we can indicate that the identification and evaluation of risks in cybersecurity using the AVARCIBER conceptual model, has allowed: to have a better vision of the relationships that the elements of risk management in cybersecurity can have, to make decisions on the criticality of the risks, and to correctly identify the countermeasures that must be applied.