Evaluación de riesgos informáticos: el análisis DICP

Partage

Para hacer frente a las amenazas actuales, debes medir la seguridad de tu sistema de información en función de lo que está en juego y de los riesgos que corren tus datos. Por tanto, debes definir el nivel de seguridad de tu SI y evaluar si los activos que lo componen están debidamente protegidos. Para ello, el análisis de riesgos DICP tiene en cuenta los distintos requisitos de seguridad de tu sistema y los clasifica por orden de importancia. A continuación, se analizan los riesgos digitales en función de su disponibilidad, integridad, confidencialidad y autenticidad.

Un repaso a los fundamentos de la metodología de clasificación recomendada por la ANSSI, acompañado de una aplicación práctica de esta matriz de gestión de riesgos.

LOS 4 CRITERIOS DE SEGURIDAD DEL ANÁLISIS DE RIESGOS DICP

La metodología DICP es utilizada por equipos de gestión de riesgos y expertos en gestión en ciberseguridad en todo el mundo. Sirve para garantizar un determinado nivel de seguridad informática y trazabilidad de los controles, así como para aportar pruebas de los mismos.

Este reglamentación reúne 4 factores fundamentales:

  • disponibilidad (D),
  • integridad (I),
  • confidencialidad (C),
  • prueba (P).
D: Disponibilidad del SI y de sus datos
  • ¿Cuándo necesitas estos datos?
  • ¿Cómo se utilizan estos datos?
  • ¿Con qué rapidez necesitas la información?
  • ¿Cuánto tiempo pueden estar indisponibles estos datos sin perturbar tu organización?
  • ¿Cuáles serían las consecuencias de perder estos datos?

Las respuestas a estas preguntas permiten determinar tu nivel de disponibilidad de los datos. Alta disponibilidad significa que la información debe estar accesible en todo momento para un usuario autorizado y que no se puede prever la pérdida de acceso a los datos.

La consecuencia directa de este requisito de disponibilidad es que el hardware, la infraestructura técnica y los sistemas que almacenan y muestran los datos deben mantenerse de forma que se garantice la continuidad del servicio sea cual sea la amenaza (meteorológica, incendio, error humano, robo, ciberataque).

I: Integridad del sistema y sus datos
  • ¿Cuánto duran tus datos?
  • ¿Qué importancia tiene que los datos sean fiables?
  • ¿Necesitas actualizar varias veces los datos de tu sistema de información para garantizar su fiabilidad?
  • ¿Quién puede modificar los datos y en qué circunstancias?

Todas estas preguntas te hablan de tu necesidad de integridad.

Un sistema tiene integridad cuando sus datos son exactos, completos y coherentes. Según la ANSSI, la integridad es una “propiedad de exactitud y exhaustividad de los activos y la información”. Esto significa que debe ser posible detectar y corregir cualquier modificación no legítima resultante de un mal funcionamiento técnico, un error humano o un acto malintencionado.

Por ejemplo, el nivel de fiabilidad de los datos sanitarios o financieros es máximo. Por ello, los sistemas de información deben garantizar que la información sea inalterable a lo largo del tiempo, independientemente de dónde se almacene y visualice. Así pues, la seguridad de los datos se refuerza para garantizar el nivel de integridad requerido.

C: Confidencialidad de los datos

¿Quién está autorizado a acceder a la información? Es la única pregunta que debes hacerte.

La confidencialidad de los datos significa que el acceso a la información está restringido únicamente a las personas debidamente autorizadas. Regularmente, si no a diario, tenemos que manejar datos confidenciales: información protegida por el secreto médico, datos sensibles, nóminas, información estratégica, patentes informáticas, balances, estrategia corporativa, datos sujetos a obligaciones legales o reglamentarias de confidencialidad, etc.

Estos pocos ejemplos nos dan una idea de la complejidad del tratamiento de datos en las empresas y de la diversidad de niveles de confidencialidad que se espera de empleados y subcontratistas.

P: Prueba, para ir más allá de la trazabilidad del acceso
  • ¿Cómo se demuestra que los datos son seguros?
  • ¿Cómo se pueden rastrear las acciones llevadas a cabo?
  • ¿Cómo se puede certificar la autenticación de los usuarios con acceso a los datos?
  • Si tienes un problema, ¿cómo puedes rastrearlo hasta su origen?
  • ¿Quién es responsable de las acciones realizadas con los datos?

Conocido durante mucho tiempo como DICT con T de “trazabilidad”, el método DICP ha visto sustituido su cuarto criterio por la noción de “prueba”. Este concepto es más amplio que el de trazabilidad. Según la ANSSI, la prueba permite rastrear “con suficiente confianza, las circunstancias en las que evoluciona el bien“. En caso de avería o incidente de seguridad, la prueba servirá de punto de partida para la investigación. Esta noción es extremadamente importante en el caso de las firmas electrónicas o las transacciones financieras, por ejemplo.

Una vez redefinidos los términos teóricos de esta metodología de clasificación y evaluación de los ciberriesgos, pasemos a los ejemplos concretos de aplicación.

APLICACIÓN DE LA MATRIZ DICP

Para evaluar si un bien, un servicio o incluso un dato es seguro, es necesario realizar una auditoría previa de su nivel de disponibilidad, integridad, confidencialidad y prueba. De acuerdo, pero… En la práctica, ¿cómo aplicar la matriz DICP en su organización?

El sistema de evaluación DICP

En función del sector de actividad y de la información que deba garantizarse, variarán la importancia concedida a cada uno de los criterios del DICP y las medidas que deban aplicarse.

Estos 4 conceptos se evalúan mediante un valor numérico entre 0 y 4, donde 0 corresponde a una criticidad baja y 4 a una criticidad muy alta. Se aplicará una puntuación de 0 a 4 respectivamente a los 4 criterios DICP.

Por ejemplo, un resultado presentado de la forma “DICP = 4, 1, 0, 4” corresponderá a una disponibilidad muy alta y a una prueba alta, pero a una integridad y confidencialidad bajas.

Si fijamos todos los criterios de evaluación en 4, tendremos sin duda un nivel de seguridad drástico, pero ¿es necesario y disponemos de los presupuestos para cumplir tal requisito? Por lo tanto, es importante realizar una auditoría objetiva de los activos o datos que deben protegerse.

Ejemplo de evaluación DICP para un sitio web

Tomemos el ejemplo de un sitio web que hay que proteger y empecemos por enumerar algunas cuestiones que hay que tener en cuenta a la hora de realizar un análisis de riesgos.

  • ¿Cuáles son las amenazas potenciales para la seguridad de un sitio web?
  • ¿Se tienen debidamente en cuenta los riesgos financieros en la evaluación de riesgos?
  • ¿Qué nivel de seguridad requiere la aplicación?
  • ¿Cuáles son los requisitos para el cifrado de datos?
  • ¿Se respetan las normas ISO y el cumplimiento de la normativa?
  • Brechas de seguridad, vulnerabilidades, piratería informática… ¿Cuáles son los riesgos operativos?

La matriz DICP podría ser entonces 4, 4, 0, 0.

La disponibilidad del sitio web debe ser muy alta, porque los usuarios deben poder consultarlo en cualquier momento. En el caso de un sitio de comercio electrónico, cualquier interrupción del servicio supondrá una pérdida de volumen de negocio. Por tanto, se concederá un 4 en la escala de disponibilidad.

El criterio de integridad también es muy alto en este ejemplo. El precio de una ficha de producto, la dirección de contacto, la presentación de la empresa… Toda la información contenida en el sitio web o la aplicación digital debe ser exacta y no modificable por un competidor, un antiguo empleado enfadado o un ciberatacante. Garantizar la integridad de los datos del sitio web se califica, por tanto, con un 4.

La confidencialidad de los datos es mucho menos importante en el caso de un sitio web de escaparate (sitio institucional). Por definición, los datos expuestos en la web son accesibles a todos y, por tanto, no son confidenciales. En la evaluación del DICP, se asignará 1 al valor de confidencialidad. En cambio, sería 4 si los datos son los de un cliente en el caso de un sitio comercial. Por consiguiente, la protección de la información personal compartida por el cliente (dirección postal, datos bancarios, etc.) es una cuestión reglamentaria para la empresa.

En este ejemplo, la prueba no es un criterio importante. El sitio web proporciona información sin que el usuario pueda modificarla. Por tanto, la trazabilidad de las acciones no es un problema en este caso. La prueba podría evaluarse en 0.

EN CONCLUSIÓN

Ya sea para mapear y gestionar tus datos o, de forma más general, para gestionar los riesgos de tu SI,la matriz DICP es una herramienta esencial para la toma de decisiones que le permite construir su política de seguridad con una visión más clara. Este análisis de riesgos es fundamental porque a la empresa y al CISO con las necesidades de seguridad y los riesgos asociados a la organización.