Metodología integral para la gestión de riesgos (MIGRI)

Autor:
Ricardo Naranjo Faccini
Fecha de publicación:
Thursday 16 November 2023
Tema:
Seguridad de la información, seguridad informática y cibernética
Revisado por :
Ricardo Naranjo Faccini
(Thursday 16 November 2023)

Resumen

En la elaboración de esta metodología se sigue un enfoque sistemático y ordenado de gestión de riesgos aplicada a la protección de la seguridad de la información que abarca desde la identificación de activos hasta la selección de controles.

  1. La primera etapa, el "Inventario de Activos", establece las bases, permitiendo a la organización comprender qué elementos necesita proteger y cuál es su valor intrínseco.

  2. La segunda fase, "Inteligencia de Amenazas y Contexto", amplía la visión hacia el entorno externo, reconociendo las amenazas que podrían afectar a la organización, y sobre las cuales no se tiene control.

  3. El "Análisis de Vulnerabilidades", la tercera etapa, se enfoca internamente, evaluando cómo cada activo está expuesto a las amenazas identificadas.

  4. La etapa subsiguiente, "Identificación de Riesgos", se convierte en un punto de convergencia crucial, integrando la información de inteligencia de amenazas con los hallazgos del análisis de vulnerabilidades para determinar los riesgos específicos que enfrenta la organización.

  5. La "Valoración de Riesgos", cuarta fase, asigna valores objetivos a estos riesgos basados en la probabilidad de ocurrencia y el impacto potencial.

  6. La "Priorización de Riesgos", quinta etapa, se basa en esta valoración para clasificar los riesgos en función de su gravedad y urgencia.

  7. Finalmente, en la última fase, "Plan de implementación de Controles", se toma una decisión informada y pragmática, donde se asignan recursos limitados a los controles de seguridad más efectivos, priorizando aquellos que abordan los riesgos más críticos.

Este enfoque escalonado asegura una gestión de riesgos eficiente y adaptada a las realidades presupuestarias de la organización, maximizando la efectividad de las medidas de seguridad implementadas.

Metodología MIGRI (PDF)

Controles según ISO 27002:2022

Políticas según INCIBE


1. La metodología MIGRI

La metodología integral para la gestión de riesgos en seguridad de la información sigue un enfoque sistemático y ordenado que abarca desde la identificación de activos hasta la selección de controles.

Al diseñar ésta metodología cada paso se ha estructurado para desempeñar un papel fundamental en la comprensión y mitigación de los riesgos a los que una organización puede estar expuesta, proporcionando una hoja de ruta coherente y completa para la gestión de riesgos.

La estructura de la metodología se fundamenta en un enfoque integral y en brindar capacidad para abordar los desafíos complejos que enfrentan las organizaciones en un entorno digital en constante evolución.

2. Justificación

Se consideran aspectos clave para adoptar esta metodología:

  1. Visión Holística: La metodología abarca todas las fases críticas, desde la identificación de activos hasta la implementación de controles. Proporciona una visión holística que garantiza que ningún aspecto crítico se pasa por alto en el proceso de gestión de riesgos.

  2. Adaptabilidad: En el ámbito de la seguridad de la información, las amenazas y vulnerabilidades evolucionan rápidamente. Esta metodología se adapta eficazmente a los cambios al incorporar la inteligencia de amenazas y al realizar análisis continuos de vulnerabilidades, lo que garantiza una gestión de riesgos dinámica y actualizada.

  3. Enfoque Cuantitativo y Cualitativo: La combinación de evaluación cuantitativa y cualitativa de riesgos brinda una comprensión completa. La valoración cuantitativa permite una toma de decisiones basada en datos, mientras que la evaluación cualitativa aporta retroalimentación subyacente y escenarios potenciales.

  4. Priorización Estratégica: La metodología prioriza los riesgos según su impacto y probabilidad, lo que permite a las organizaciones concentrar sus recursos en los aspectos más críticos. Esto es esencial para una gestión eficiente, especialmente cuando los recursos son limitados.

  5. Planificación de Controles Fundamentada: La selección y aplicación de controles se realiza de manera estratégica y fundada en la valoración de riesgos. Esto garantiza que los controles se alineen directamente con los riesgos identificados, optimizando la eficacia y la eficiencia de la inversión en seguridad.

  6. Preparación para Escenarios Futuros: La metodología no solo se centra en los riesgos actuales, sino que también se prepara para amenazas emergentes. Al incluir la inteligencia de amenazas, las organizaciones pueden anticipar y mitigar riesgos futuros de manera proactiva.

  7. Cumplimiento Normativo: La metodología se alinea con estándares y marcos normativos reconocidos en seguridad de la información, como ISO/IEC 27001. Esto facilita la adaptación a requisitos regulatorios y demuestra un compromiso con las mejores prácticas de seguridad.

3. La metodología MIGRI

3.a. Inventario de activos

La primera fase esencial en la gestión de riesgos de seguridad de la información es la realización de un completo listado de activos donde se relacione y describa: la información, el software y los servicios, el hardware, las redes, la infraestructura y edificaciones, el recurso humano estratégico y elementos críticos que no sean TIC como los intangibles.

Iniciamos con éste paso dado que si no sabemos qué tenemos que proteger, ¿cómo lo vamos a proteger? ¿qué tan valioso o crítico es para la organización? ¿cómo podríamos saber a qué está expuesto? ¿cómo identificaríamos las vulnerabilidades que presenta?

Este proceso implica la identificación y catalogación de todos los recursos de información críticos para la organización. Esto va más allá de simplemente enumerar dispositivos y sistemas; implica comprender la naturaleza y el valor de cada activo en términos de su contribución a los objetivos, procesos y funciones de la organización.

En esta etapa, se debe preguntar: ¿Cuáles son nuestros activos de información? ¿Dónde residen? ¿Quién tiene acceso a ellos y en qué contexto se utilizan? Además, es imperativo cuantificar el valor de cada activo para la organización, no solo en términos monetarios, sino también considerando su importancia en la continuidad del negocio y su contribución a la reputación de la empresa.

El "Impacto" se evalúa considerando las posibles consecuencias de la pérdida, daño, alteración, fuga o indisponibilidad de cada activo. Este enfoque proactivo permite a la organización tomar decisiones informadas sobre cómo asignar recursos de seguridad, priorizando la protección de los activos más críticos.

3.b. Inteligencia de amenazas y análisis del contexto

La segunda fase crucial en la metodología de gestión de riesgos. Aquí, la organización dirige su mirada hacia el entorno externo para comprender las amenazas que podrían impactar los activos de información listados en el inventario generado en la fase anterior. Esto implica la recopilación de información sobre amenazas emergentes, tácticas utilizadas por actores malintencionados, vulnerabilidades en sistemas externos y otros factores que podrían afectar la seguridad.

Durante esta etapa, se deben formular preguntas como: ¿Cuáles son las amenazas actuales en el panorama de seguridad cibernética? ¿Existen vulnerabilidades conocidas en tecnologías o plataformas utilizadas externamente? ¿Qué tácticas están empleando los ciberdelincuentes en el momento actual? La idea es obtener una comprensión profunda del contexto de amenazas para anticipar posibles escenarios que podrían impactar a la organización.

Además, esta fase implica reconocer que no todo está bajo el control directo de la organización. Las amenazas pueden surgir de diversas fuentes, incluyendo cambios en la legislación, eventos geopolíticos, o tendencias en la economía global. La "Inteligencia de Amenazas y Contexto" permite una postura proactiva, facilitando la anticipación de posibles riesgos y la preparación para enfrentar escenarios que podrían tener un impacto significativo en la seguridad de la información de la organización.

3.c. Análisis de vulnerabilidades

La fase siguiente en la metodología es el "Análisis de Vulnerabilidades". En esta etapa, la organización dirige su enfoque hacia el interior, examinando cada activo de información para identificar las vulnerabilidades específicas que podrían ser explotadas por amenazas potenciales. Este proceso implica una evaluación minuciosa de sistemas, aplicaciones, redes y otros elementos que componen el inventario de activos.

Durante el análisis de vulnerabilidades, se deben abordar preguntas clave, como: ¿Existen fallos de seguridad conocidos en los sistemas utilizados? ¿Se han aplicado los últimos parches y actualizaciones? ¿Cuál es el nivel de exposición a posibles amenazas para cada activo? Además, es fundamental entender que la existencia de una vulnerabilidad no es significativa por sí sola; es la combinación de la vulnerabilidad y la amenaza lo que crea un riesgo.

Es importante destacar que, en ausencia de amenazas asociadas, ciertas vulnerabilidades pueden tener un riesgo reducido. Este principio subraya la importancia de contextualizar las vulnerabilidades dentro del panorama de amenazas actual. De esta manera, el análisis de vulnerabilidades proporciona una visión interna que, combinada con la inteligencia de amenazas, permite a la organización comprender mejor su posición de seguridad y tomar decisiones informadas sobre la mitigación de riesgos.

3.d. Identificación de riesgos

En el paso "Identificación de Riesgos", la organización integra la información obtenida de la inteligencia de amenazas y el análisis de vulnerabilidades que se hizo por cada activo de información. Este cruce de datos permite identificar los posibles riesgos a los que la organización está expuesta. En este contexto, un riesgo se define como la combinación de la probabilidad de que ocurra una amenaza específica y el impacto de daño o pérdida de los activos que sufriría la organización, dada la presencia de ciertas vulnerabilidades.

Durante este proceso, se examinan las relaciones entre amenazas y vulnerabilidades identificadas. Se busca comprender cómo la materialización de una amenaza podría explotar las vulnerabilidades específicas descubiertas en el análisis previo. Por ejemplo, si hay una vulnerabilidad de seguridad en una aplicación web y existe la amenaza de ataques de inyección de código, el riesgo asociado aumenta significativamente.

La identificación de riesgos es esencial para la toma de decisiones informadas sobre dónde y cómo asignar recursos para la gestión de la seguridad de la información. Al comprender los riesgos potenciales, la organización puede centrarse en abordar las amenazas y vulnerabilidades más críticas y, por lo tanto, mejorar su postura general de seguridad.

3.e. Valoración de riesgos

En el paso siguiente: "Valoración de Riesgos", se asigna un valor cuantitativo al riesgo identificado. Esto se logra al evaluar dos aspectos clave: la probabilidad de ocurrencia de un incidente y el impacto potencial del daño o la pérdida del activo asociado. La probabilidad se refiere a la posibilidad de que ocurra un evento no deseado, mientras que el impacto se relaciona con las consecuencias y la magnitud de las pérdidas si el evento se materializa.

En la figura se presentan 9 ejemplos de cómo una persona, cuyo objetivo es llegar de la izquierda a la derecha del dibujo, afronta los riesgos que se presentan de acuerdo con la valoración que le brinda a cada uno dependiendo de la probabilidad de caer y del impacto que puede sufrir al caer en el hueco.

  • La probabilidad de caer en el hueco aumenta en la medida en que el hueco es más grande.
  • El impacto de la caída en el hueco es mayor en la medida en que el hueco sea más profundo o tenga elementos que puedan herir a la persona.

De ésta forma tenemos una representación que ilustra cómo ésta matriz ayuda a brindar un valor cuantitativo a los riesgos. Si se asigna un valor de 1 a bajo, de 2 a medio y de 3 a alto y se multiplica el valor de la probabilidad por el valor del impacto obtendremos datos entre 1 y 9, siendo 9 el valor asignado a los riesgos de máxima prioridad y 1 a los de menor.

La probabilidad y el impacto se pueden medir en una escala con la granularidad que elija el analista {baja, alta}, {baja, media, alta}, {muy baja, baja, media, alta, muy alta} al igual que los valores numéricos asociados a la escala se pueden asignar basados en la experiencia del analista.

Este paso proporciona una comprensión más precisa de la exposición de la organización a diversos riesgos y permite priorizar los esfuerzos de mitigación. Los riesgos con una valoración alta probablemente requieran una atención inmediata, mientras que aquellos con una valoración baja pueden manejarse con estrategias menos intensivas. La valoración de riesgos sirve como base para la siguiente etapa: la priorización de riesgos.

3.f. Priorización de riesgos

A continuación se pasa a la fase de "Priorización de Riesgos", los riesgos evaluados en la etapa anterior se clasifican y ordenan en función de la valoración obtenida durante la valoración de riesgos. La priorización implica determinar cuáles de estos riesgos son más críticos o urgentes para abordar, considerando tanto su probabilidad como su impacto.

Se utilizará una matriz de riesgos que representa la probabilidad en un eje y el impacto en el otro obteniendo un gran mapa de calor al interior de la matriz. Los riesgos que se encuentran en la parte superior derecha de la matriz, donde la probabilidad y el impacto son altos, son considerados los más críticos y, por lo tanto, deben atenderse con mayor urgencia.

La priorización es esencial para optimizar el uso de los recursos disponibles y abordar primero los riesgos que tienen el mayor potencial de impacto en la organización. Además, ayuda a establecer un enfoque escalonado para la implementación de controles de seguridad, centrándose en los aspectos más críticos de la gestión de riesgos.

3.g. Diseño del Plan de implementación de controles de seguridad

La última fase del proceso es diseñar el Plan de implementación de controles de seguridad que mitiguen los riesgos prioritarios de manera eficiente y rentable. Se debe elaborar una lista completa de posibles controles, desde medidas técnicas hasta procedimientos operativos, y luego organizarlos en una matriz para una toma de decisiones informada.

La matriz clasifica los controles en cuatro cuadrantes según su impacto y el costo asociado a su implementación:

  • En el cuadrante superior izquierdo se sitúan los controles de alto impacto y bajo costo, abordando riesgos críticos de manera eficiente, serán los primeros en ser implementados.

  • En el cuadrante superior derecho, se encuentran los controles de alto impacto pero con mayores costos asociados. La decisión recae en evaluar si el beneficio justifica la inversión.

  • El cuadrante inferior izquierdo alberga controles de bajo impacto pero con bajos costos, que pueden considerarse para riesgos de menor prioridad.

  • Por último, en el cuadrante inferior derecho, se encuentran los controles de bajo impacto y alto costo, que podrían requerir una evaluación cuidadosa antes de su implementación.

Esta metodología proporciona una guía estructurada para asignar recursos limitados de manera estratégica, enfocándose en los riesgos más críticos para la organización.

Igualmente, si se desea un nivel de detalle más preciso, se puede aumentar la granularidad de la matriz y, en lugar de utilizar {bajo,alto} en los ejes, se puede utilizar una escala que incluya {muy baja, baja, media, alta, muy alta} en forma similar a la matriz como se realizó la valoración de los riesgos.

Utilizando la metodología de valoración de los riesgos la organización aplicando a las vulnerabilidades un coheficiente de mitigación brindado por los controles que van siendo implementados, la organización podrá ir midiendo el progreso y las mejoras que se obtienen en la medida en que el plan se vaya implementando.

4. Beneficios colaterales

Con la implementación de esta metodología, las organizaciones pueden lograr varios beneficios significativos en la gestión de riesgos de seguridad de la información:

  • Adaptación a un Entorno Cambiante: La metodología proporciona un enfoque ágil que permite a las organizaciones adaptarse rápidamente a un entorno en constante cambio. Al incorporar la inteligencia de amenazas y realizar análisis continuos de vulnerabilidades, las organizaciones pueden identificar y abordar nuevas amenazas de manera proactiva, manteniendo la seguridad de sus activos críticos.

  • Diagnóstico Objetivo con Mediciones Concretas: La metodología se basa en evaluaciones cuantitativas y cualitativas, lo que permite un diagnóstico objetivo de la situación de seguridad de la información. Al medir concretamente el impacto y la probabilidad de los riesgos, las organizaciones obtienen una comprensión precisa de sus vulnerabilidades y amenazas, lo que facilita la toma de decisiones informada.

  • Diseño de un Plan Optimizado de Mejora: La metodología guía la elaboración de un plan estratégico y optimizado para mejorar la protección contra los riesgos de la información. Al priorizar los riesgos según su impacto y probabilidad, las organizaciones pueden asignar recursos de manera eficiente, asegurando que las inversiones estén alineadas con las áreas de mayor riesgo. Este enfoque garantiza un uso efectivo del presupuesto.

  • Medición Objetiva del Progreso: La metodología incluye la medición objetiva del progreso a lo largo del tiempo. Al implementar controles y medidas de seguridad, las organizaciones pueden monitorear continuamente su eficacia. Esto no solo asegura que se esté progresando hacia la mejora de la seguridad, sino que también permite ajustes estratégicos según sea necesario.

  • Eficiencia en la Implementación de Controles: La metodología facilita la selección y aplicación de controles de manera estratégica y fundamentada en la valoración de riesgos. Esto garantiza que los controles estén alineados directamente con los riesgos identificados, optimizando su impacto y eficiencia en la protección de activos críticos.

Esta metodología ofrece un marco integral que no solo identifica y gestiona riesgos de seguridad de la información de manera efectiva, sino que también proporciona un camino claro hacia la mejora continua y la adaptabilidad en un entorno digital en constante evolución.

Es esencial destacar que esta metodología se concibe como un proceso constante y evolutivo. Dada la naturaleza dinámica y cambiante de los sistemas de información, la gestión de riesgos de seguridad debe ser un esfuerzo continuo. La adaptabilidad a nuevas amenazas, la evolución de tecnologías y la aparición de riesgos emergentes son factores críticos que subrayan la necesidad de un enfoque continuo y flexible. La revisión regular de la inteligencia de amenazas, la actualización del inventario de activos y la evaluación periódica de vulnerabilidades son prácticas fundamentales para mantener la eficacia del programa de seguridad.

5. Conclusión

La gestión de riesgos de seguridad de la información es un componente vital para salvaguardar los activos de una organización en un panorama cada vez más complejo y amenazante. Este proceso estructurado, que abarca desde la identificación de activos hasta la implementación de controles, permite a las organizaciones entender y abordar proactivamente las amenazas a su seguridad.

La inadecuada valoración de riesgos puede llevar a decisiones de inversión desequilibradas en tecnologías y procesos, descuidando áreas críticas que podrían ser vulnerables. La metodología presentada aquí brinda una guía paso a paso para ayudar a las empresas, especialmente a las PYMES con recursos limitados, a focalizar sus esfuerzos y presupuestos en las áreas más críticas.

En última instancia, la seguridad de la información no es simplemente un gasto, sino una inversión estratégica que protege la continuidad del negocio, la reputación y la confianza de los clientes. Adoptar un enfoque basado en la gestión de riesgos permite a las organizaciones anticipar y abordar proactivamente las amenazas, construyendo una base sólida para la resiliencia y la seguridad a largo plazo.

Además, es importante resaltar que esta metodología no está limitada exclusivamente a riesgos de seguridad de la información. Su estructura y principios sólidos permiten su aplicación a una variedad de riesgos empresariales. Ya sea en el ámbito financiero, operativo o estratégico, la metodología ofrece un marco adaptable para evaluar y gestionar riesgos en cualquier contexto organizacional. Su enfoque basado en la identificación, valoración y mitigación puede ser personalizado para abordar riesgos específicos, brindando una herramienta versátil para la toma de decisiones informada y la mejora continua.

Licencia

Metodología integral para la seguridad de la información (MIGRI) está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.

Ricardo Naranjo Faccini

Ricardo Naranjo Faccini Desarrollador WWW

Nació en Barranquilla, Atl, Colombia el 14 de enero de 1971

  • Magíster en Ingeniería de Sistemas y Computación de la Universidad de Los Andes 1998
  • Ingeniero Civil de la Universidad de Los Andes 1995
  • Diplomado en docencia en Ingeniería de la Pontificia Universidad Javeriana 2008
  • Gerente de la firma Skina IT Solutions, su gestión ha llevado a la empresa al nivel de exportación de software. Experto en calidad en el desarrollo de software con énfasis en el uso de herramientas libres orientadas hacia WWW.
  • CTO de AuthorsGlobe, empresa participante en el MIT 100K, elegida como parte del "TOP 10" entre 300 proyectos presentados en este concurso del Massachussets Institute of Technology MIT.
  • Durante el periodo 2004-2005 se desempeñó como Gerente de desarrollo de negocios NOVELL en Nexsys de Colombia.
  • Ejerce docencia como catedrático en la Universidad Javeriana, al igual que lo ha realizado en la Universidad de Los Andes, Universidad de Manizales y Universidad autónoma de Bucaramanga.
  • Comprometido con la divulgación del software libre y su aplicación en Colombia, ha dictado más de 60 conferencias en todo el país, co-fundador de LinuxCol, la primera comunidad de usuarios de Linux en Colombia.
  • Colaborador del grupo ACIS-Linux.

Calle 95 #47-33 int 8

Calle 95 #47-33 int 8, Bogotá, Colombia

Tel: +57 300 214 6210

ventas@skinait.com

Desarrollado por Skina IT Solutions