Evaluación de riesgos informáticos: análisis DICP

Compartir

Para hacer frente a las amenazas actuales, debe medir la seguridad de su sistema de información en función de lo que está en juego y de los riesgos que corren sus datos. Por tanto, debe definir el nivel de seguridad de su SI y evaluar si los activos que lo componen están debidamente protegidos. Para ello, elanálisis de riesgos DICP tiene en cuenta los distintos requisitos de seguridad de su sistema y los clasifica por orden de importancia. A continuación, analiza los riesgos digitales en función de su disponibilidad, integridad, confidencialidad y prueba. 

Un repaso a los fundamentos de la metodología de clasificación recomendada por la ANSSI, acompañado de una aplicación práctica de esta matriz de gestión de riesgos.

Los 4 criterios de seguridad del análisis de riesgos del DICP

La metodología DICP es utilizada por equipos de gestión de riesgos y expertos en gestión en ciberseguridad en todo el mundo. Sirve para garantizar un determinado nivel de seguridad informática y trazabilidad de los controles, así como para aportar pruebas de los mismos.

Este reglamentación reúne 4 factores fundamentales:

  • disponibilidad (D),
  • integridad (I),
  • confidencialidad (C),
  • prueba (P).
D: Disponibilidad del SI y de sus datos
  • ¿Cuándo necesita estos datos?
  • ¿Cómo se utilizan estos datos?
  • ¿Con qué rapidez necesita la información?
  • ¿Cuánto tiempo pueden estar indisponibles estos datos sin perturbar su organización?
  • ¿Cuáles serían las consecuencias de perder estos datos?

Las respuestas a estas preguntas permiten determinar el nivel de disponibilidad de los datos. Alta disponibilidad significa que la información debe ser accesible en todo momento por un usuario autorizado y que no puede preverse la pérdida de acceso a los datos.

La consecuencia directa de este requisito de disponibilidad es que el hardware, la infraestructura técnica y los sistemas que almacenan y muestran los datos deben mantenerse de forma que se garantice la continuidad del servicio sea cual sea la amenaza (meteorológica, incendio, error humano, robo, ciberataque).

I: Integridad del sistema y sus datos
  • ¿Cuánto duran sus datos?
  • ¿Qué importancia tiene que los datos sean fiables?
  • ¿Necesita actualizar varias veces los datos de su sistema de información para garantizar su fiabilidad?
  • ¿Quién puede modificar los datos y en qué circunstancias?

Todas estas preguntas le hablan de su necesidad de integridad.

Un sistema tiene integridad cuando sus datos son exactos, completos y coherentes. Según la ANSSI, la integridad es una "propiedad de exactitud y exhaustividad de los activos y la información". Esto significa que debe ser posible detectar y corregir cualquier modificación no legítima resultante de un mal funcionamiento técnico, un error humano o un acto malintencionado. 

Por ejemplo, el nivel de fiabilidad de los datos sanitarios o financieros es máximo. Por ello, los sistemas de información deben garantizar que la información sea inalterable a lo largo del tiempo, independientemente de dónde se almacene y visualice. Así pues, la seguridad de los datos se refuerza para garantizar el nivel de integridad requerido.

C: Confidencialidad de los datos

¿Quién está autorizado a acceder a la información? Es la única pregunta que debe hacerse. 

La confidencialidad de los datos significa que el acceso a la información está restringido únicamente a las personas debidamente autorizadas. Regularmente, si no a diario, tenemos que manejar datos confidenciales: información protegida por el secreto médico, datos sensibles, nóminas, información estratégica, patentes informáticas, balances, estrategia corporativa, datos sujetos a obligaciones legales o reglamentarias de confidencialidad, etc. 

Estos pocos ejemplos nos dan una idea de la complejidad del tratamiento de datos en las empresas y de la diversidad de niveles de confidencialidad que se espera de empleados y subcontratistas.

P: Prueba, para ir más allá de la trazabilidad del acceso
  • ¿Cómo se demuestra que los datos son seguros?
  • ¿Cómo se pueden rastrear las acciones llevadas a cabo?
  • ¿Cómo se puede certificar la autenticación de los usuarios con acceso a los datos?
  • Si tienes un problema, ¿cómo puedes rastrearlo hasta su origen?
  • ¿Quién es responsable de las acciones realizadas con los datos? 

Conocido durante mucho tiempo como DICT con T de "trazabilidad", el método DICP ha visto sustituido su cuarto criterio por la noción de "prueba". Este concepto es más amplio que el de trazabilidad. Según la ANSSI, la prueba permite rastrear "con suficiente confianza, las circunstancias en las que evoluciona el bien ". En caso de avería o incidente de seguridad, la prueba servirá de punto de partida para la investigación. Esta noción es extremadamente importante en el caso de las firmas electrónicas o las transacciones financieras, por ejemplo.

Una vez redefinidos los términos teóricos de esta metodología de clasificación y evaluación de los ciberriesgos, pasemos a los ejemplos concretos de aplicación.

Aplicación de la matriz DICP

Para evaluar si un bien, un servicio o incluso un dato es seguro, es necesario realizar una auditoría previa de su nivel de disponibilidad, integridad, confidencialidad y prueba. De acuerdo, pero... En la práctica, ¿cómo aplicar la matriz DICP en su organización?

El sistema de evaluación DICP

En función del sector de actividad y de la información que deba garantizarse, variarán la importancia concedida a cada uno de los criterios del DICP y las medidas que deban aplicarse.

Estos 4 conceptos se evalúan mediante un valor numérico entre 0 y 4, donde 0 corresponde a una criticidad baja y 4 a una criticidad muy alta. Se aplicará una puntuación de 0 a 4 respectivamente a los 4 criterios DICP.

Por ejemplo, un resultado presentado de la forma "DICP = 4, 1, 0, 4 " corresponderá a una disponibilidad muy alta y a una prueba alta, pero a una integridad y confidencialidad bajas.

Si fijamos todos los criterios de evaluación en 4, tendremos sin duda un nivel de seguridad drástico, pero ¿es necesario y disponemos de los presupuestos para cumplir tal requisito? Por lo tanto, es importante realizar una auditoría objetiva de los activos o datos que deben protegerse.

Ejemplo de evaluación DICP para un sitio web

Tomemos el ejemplo de un sitio web que hay que proteger y empecemos por enumerar algunas cuestiones que hay que tener en cuenta a la hora de realizar unanálisis de riesgos.

  • ¿Cuáles son las amenazas potenciales para la seguridad de un sitio web?
  • ¿Se tienen debidamente en cuenta los riesgos financieros en la evaluación de riesgos?
  • ¿Qué nivel de seguridad requiere la aplicación?
  • ¿Cuáles son los requisitos para el cifrado de datos?
  • ¿Se respetan las normas ISO y el cumplimiento de la normativa?
  • Brechas de seguridad, vulnerabilidades, piratería informática... ¿Cuáles son los riesgos operativos?

La matriz DICP podría ser entonces 4, 4, 0, 0.

En disponibilidad del sitio web debe ser muy alta, porque los usuarios deben poder consultarlo en cualquier momento. En el caso de un sitio de comercio electrónico, cualquier interrupción del servicio supondrá una pérdida de volumen de negocio. Por tanto, se concederá un 4 en la escala de disponibilidad.

El criterio deintegridad también es muy alto en este ejemplo. El precio de una ficha de producto, la dirección de contacto, la presentación de la empresa... Toda la información contenida en el sitio web o la aplicación digital debe ser exacta y no modificable por un competidor, un antiguo empleado enfadado o un ciberatacante. Garantizar la integridad de los datos del sitio web se califica, por tanto, con un 4.

El sitio confidencialidad de los datos es mucho menos importante en el caso de un sitio web de escaparate (sitio institucional). Por definición, los datos expuestos en la web son accesibles a todos y, por tanto, no son confidenciales. En la evaluación del DICP, se asignará 1 al valor de confidencialidad. En cambio, sería 4 si los datos son los de un cliente en el caso de un sitio comercial. Por consiguiente, la protección de la información personal compartida por el cliente (dirección postal, datos bancarios, etc.) es una cuestión reglamentaria para la empresa.

En este ejemplo, la prueba no es un criterio importante. El sitio web proporciona información sin que el usuario pueda modificarla. Por tanto, la trazabilidad de las acciones no es un problema en este caso. La prueba podría evaluarse en 0.

En conclusión

Ya sea para mapear y gestionar sus datos o, de forma más general, para gestionar los riesgos de su SI, la matriz DICP es una herramienta esencial para la toma de decisiones que le permite construir su política de seguridad con una visión más clara. Este análisis de riesgos es fundamental porque alinea ala empresa y al CISO con las necesidades de seguridad y los riesgos asociados a su organización.