Presentación de trabajos finales de las Comisiones de Trabajo de ISACA Madrid Nuevos modelos de análisis de riesgo en ciberseguridad

Transcripción

1 Presentación de trabajos finales de las Comisiones de Trabajo de ISACA Madrid Nuevos modelos de análisis de riesgo en ciberseguridad

2 Índice de contenidos Capítulo Descripción 1 Introducción 2 Importancia del análisis de riesgos en la función de auditoría 3 Análisis de metodologías de riesgo en entornos de amenazas variables 4 La amenaza creciente de la ciberseguridad y sus defectos de modelización 5 Qué debe recoger un modelo de riesgos de ciberseguridad? 6 Propuesta de modelo de riesgos para Ciberseguridad

3 Introducción La evolución de la tecnología y de las amenazas conducen a la necesidad de incluir la ciberseguridad en las metodologías de análisis de riesgos El cibercrimen obliga a las organizaciones a mejorar y modernizar su estrategia de seguridad Es necesario revisar y comparar los actuales Modelos de Análisis de Riesgos que fueron pensados para entornos tradicionales (finanzas, seguros, servicios, administraciones). Averiguar como interactúan los nuevos riesgos que introduce el mundo ciber. Debe proponerse un nuevo modelo de análisis y gestión de riesgos que tenga en consideración: El carácter dinámico/cambiante de los nuevos activos tecnológicos. La necesaria concienciación de este dinamismo sobre empleados y empresas. No descuidar los riesgos ocultos que evolucionan temporalmente y suponen costes elevados.

4 Introducción Evolución del malware, un salto cuantitativo y cualitativo entre los años 2007 y Las Ciberamenazas crecen y por tanto se hace necesario incluir la ciberseguridad en las metodologías de análisis y tratamiento de riesgos. El Cibercrimen se ha convertido en un negocio que va aumentando la complejidad de sus productos y el beneficio de sus ataques. Encuesta sobre riesgos de Kaspersky 2017

5 Importancia del análisis de riesgos en la función de auditoría Auditoría Amenazas Amenazas probables Riesgo Impactos Detectando correctamente las amenazas más probables podemos estimar el riesgo. Analizando estos riesgos y relacionándolos con el negocio de la organización podemos detectar los puntos fuertes y débiles. La dirección estratégica de la empresa puede entonces enfocar las auditorías sobre aquellos riesgos que le sean de interés (incluyendo los riesgos de tipo CIBER). EN EL ÁMBITO CIBER El riesgo es mucho más dinámico (cambia en cortos espacios de tiempo) Los cisnes negros (riesgos poco probables pero de alto impacto) tienden a crecer exponencialmente con el tiempo si no se toman medidas.

6 Importancia del análisis de riesgos en la función de auditoría AMENAZAS / RIESGOS (entornos tradicionales) Relativas a procesos de negocio. Relacionadas con el ser humano. Relacionadas con el Gobierno de la empresa. Relativas a la propia función de auditoría. Relativas a nuevas tendencias del sector. Necesaria una revisión (cada 1,2 o 3 años). Variación de impactos a medio plazo. Poca variación de nuevas amenazas/año. AMENAZAS / RIESGOS (entornos CIBER) Relativas al Software y comunicaciones. Relativas al IoT y nuevas tecnologías. Revisión necesaria dinámica (meses). Variación de impactos a corto plazo. Aparición constante de nuevas amenazas.

7 Análisis y comparativa de metodologías de análisis de riesgos

8 La amenaza creciente de la ciberseguridad La 1ª dificultad es modelizar el IMPACTO de un riesgo. Riesgo = F(Probabilidad, Impacto) Riesgo residual = F(Riesgo, Contramedidas) Riesgo CIBER = F(Probabilidad, Impacto, Tiempo, Disponibilidad, Integridad, Confidencialidad) Riesgo Residual CIBER = Función (Riesgo CIBER, Contramedidas) La 2ª dificultad es modelizar la PROBABILIDAD de una amenaza. Probabilidad = F(Datos históricos, Contexto estable) Probabilidad CIBER = F(Tecnología cambiante, Amenazas dinámicas, Interconexiones) Las Contramedidas son más complejas en entornos CIBER.

9 Qué debe recoger un modelo de riesgos de ciberseguridad? Los modelos tradicionales no tienen en cuenta el factor dinámico y cambiante de las tecnologías de la información, debido a que están basados en escenarios más estables. Los modelos dinámicos de riesgos evalúan constantemente el riesgo con el paso del tiempo, evaluando el constante cambio tecnológico y de las amenazas.

10 El modelo de riesgos de ciberseguridad debe gestionar la dinamicidad de los riesgos, en espacios cortos de tiempo. A la izquierda se pueden ver como evolucionan los costes de los incidentes de seguridad cuando no se toman medidas durante tres años por haber estimado los riesgos de forma estática durante ese periodo. A la derecha la evolución de costes ante incidentes de seguridad también aumenta en el periodo de tres años pero de forma amortiguada, gracias la estimación dinámica de riesgos.

11 Posible modelo de riesgos para la Ciberseguridad.

12 Posible modelo de riesgos para la Ciberseguridad. Coordinación Erik de Pablos Coautores Dr. Jose Ramón Coz Fernández Alberto P. Urosa Herrero, CISA Ana González Monzón, CISA Carlos Luque de la Torre, CISA Eduardo Ballesteros Erik de Pablo Martínez Maite Avelino Gracias