(Fuente: Fujitsu)
Los profesionales de la seguridad han sostenido durante mucho tiempo la opinión de que la comprensión de los activos y el riesgo es la base de la seguridad. Este entendimiento aumenta la confianza en las decisiones tomadas para asignar recursos para proteger los activos que realmente importan de las cosas que tienen más probabilidades de causar un daño grave a la organización.
Pero ¿está su pensamiento atrapado en el pasado? Fujitsu da respuesta.
Nuevos términos como seguridad liderada por amenazas y por inteligencia parecen ser de rigor. Todos los profesionales de seguridad cibernética estarán familiarizados con los términos, incluso si no siempre se sienten cómodos con ellos. Quizás sea más fácil comprender el papel que juega la inteligencia de amenazas en las defensas de la seguridad cibernética.
Claramente, debe ser comprendido por profesionales que trabajan en centros de operaciones de seguridad y equipos de respuesta a incidentes, pero ¿cómo se relaciona con la base de la gestión de riesgos? En pocas palabras, la inteligencia de amenazas proporciona una imagen del panorama actual y los métodos que utilizan los atacantes.
Sin embargo, los atacantes cibernéticos sofisticados no se infiltran en su red sin una intención específica, por lo que el primer paso es establecer cuáles serían los posibles objetivos de un ataque cibernético. Los atacantes apuntarán a sus activos, es decir, cualquier información, software o hardware propiedad de la organización que se utilice en el curso de las actividades comerciales de la organización. El valor de un activo en particular puede determinarse evaluando el impacto que se produciría si dejara de estar disponible o funcionara correctamente.
Es probable que estos activos sean muy específicos para su organización y es por esto que es importante que el proceso de análisis de amenazas y riesgos sea colaborativo; amenaza-inteligencia necesita ser interpretada en contexto.
Existen diferentes escalas que se pueden usar para evaluar el valor de un activo:
- El del negocio puede ser estimado en relación con los procesos del negocio. Normalmente, la exactitud, integridad y puntualidad de los datos son las características más importantes y su combinación es lo que determina el valor del activo. Esto podría incluir la capacidad de simplificar el proceso de su proveedor y la constitución de existencias.
- El del costo es el de adquirir o reemplazar un activo perdido, incluido el costo del impacto para la organización mientras ese activo no esté disponible.
- El económico puede derivarse de cómo un activo de información contribuye a los ingresos de una organización. Por ejemplo, esto podría ser un activo que respalda las ventas o el cumplimiento.
- El de mercado se deriva de la medición de los ingresos generados directamente por el activo. Por ejemplo, un servicio de software, que es comprado y utilizado por los clientes, se puede decir que es un activo que tiene un valor intrínseco si no está disponible en el mercado y, por lo tanto, tiene el potencial de brindarle más valor frente a sus competidores. Por ejemplo, información sobre la posición competitiva de su organización.
El valor de esta información es relativo a la motivación del atacante; por ejemplo, para un atacante de una nación, la propiedad intelectual es un objetivo principal. Esto puede tener un valor limitado para un grupo hacktivista que se dirige a su negocio porque su motivación es causar daños a su marca y reputación. Para ellos, un activo clave podría ser el sistema de administración de contenido de su sitio Web, que si se compromete les permitiría publicar su logotipo en su sitio orientado al cliente.
Al comprender el valor real de los activos, los profesionales de riesgos de seguridad piensan en quién podría comprometer un sistema y, por lo tanto, los activos de la organización, por qué podrían querer y cómo podría suceder esto en términos de:
- Vulnerabilidad: Una debilidad que podría ser explotada para causar daño.
- Ataque: Un método para explotar una vulnerabilidad.
- Amenaza: Un adversario que podría actuar para causar daño y los recursos que podrían permitirse desplegar.
- Impacto: La consecuencia de una amenaza realizada.
Los ataques cibernéticos rara vez son eventos únicos, pero son una campaña sostenida por atacantes cada vez más sofisticados que utilizan una combinación de ingeniería social y habilidades técnicas para penetrar en una red y obtener acceso a los activos más importantes. Este aumento en la complejidad y el nivel de habilidad del adversario significa que no existe una solución única para prevenir los ataques cibernéticos. Ninguna organización puede defenderse contra cada amenaza concebible y, por lo tanto, tiene sentido priorizar las amenazas por parte de los que tienen más probabilidades de dirigirse a su negocio específico y luego tomar decisiones informadas sobre cómo prevenir y detectar esas amenazas. Una evaluación de riesgos de seguridad de TI puede variar mucho en términos del método, el rigor y el alcance, pero el objetivo principal siempre es el mismo: identificar y cuantificar los riesgos para los activos de información de su organización. Un enfoque basado en amenazas cambia la dinámica de la evaluación de riesgos de seguridad de algo que se basa en observaciones publicadas, conjeturas y análisis a algo que se acerca al tiempo real y utiliza información sobre sucesos del mundo real. La disciplina sigue siendo la misma, pero con la mejor “instrumentación” para identificar y comprender el comportamiento de los adversarios potenciales y las vulnerabilidades dentro del patrimonio, la evaluación de riesgos determinará mejor las prioridades y se centrará en mitigar los sucesos del mundo real específicos de una organización.
Este enfoque debe ser parte de una estrategia de resistencia cibernética que no sólo permita a la organización tomar medidas para prevenir estas amenazas, sino que también responda adecuadamente si se derrotan las medidas defensivas. Los presupuestos de seguridad son finitos, por lo que este enfoque puede ayudar a orientar los recursos limitados de manera más efectiva para proteger los activos que tienen más probabilidades de ser seleccionados. En lugar de agregar nuevas capas de defensa y más productos, el movimiento principal se dirige a las estrategias cibernéticas centradas en la cíber-resistencia e impulsadas por un enfoque basado en amenazas centrado en los activos clave de la organización y las motivaciones y capacidades de los atacantes más probables. El análisis de riesgos sigue siendo la base de este enfoque.