Probablemente muchos no se han dado cuenta que para entender mejor el COVID-19, podemos aplicar la metodología de análisis de riesgo tan conocida por nosotros los Hackers o profesionales que trabajan en Ciberseguridad (espero), en la 1ra temporada de #Elevenpathstalks tratamos este tema, sobre todo por la importancia que tiene entender este proceso para poder hacer una adecuada gestión del riesgo tecnológico en nuestras empresas, pero también para entender bien como enfrentar las nuevas amenazas Cibernéticas. Este proceso cada vez es más reconocido dentro de la industria, existen muchas metodologías, ISO (ISO 27005) y cada vez se exige en más procesos de certificaciones internacionales, como el caso de PCI DSS que lo incluye como exigencia en el proceso de Ethical Hacking.
La situación actual de encierro, cuarentena, tensión, sobreexposición a información, el desafío de una adecuada administración del tiempo en la casa, etc. ha hecho que mis niveles de paranoia y escepticismo crezcan y me cuestione todo el doble.
Entre esos temas, discutiendo con colegas y no colegas, me di cuenta de que a la mayoría le costaba entender como protegerse de una manera adecuada para enfrentar esta nueva pandemia del COVID-19 y me di cuenta en la call semanal con mis colegas CSA sobre las muchas analogías presentes en el proceso de análisis de riesgo que regularmente ocupamos (espero) para analizar los riesgos presentes en nuestra organización.
Análisis de Riesgo Cualitativo Aplicado al COVID-19
Riesgo (RAE):
(Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).
1. m. Contingencia (Posibilidad de que algo suceda o no suceda) o proximidad de un daño.
El “Análisis de Riesgos”, es un proceso que busca identificar el riesgo de seguridad de un activo, determinando su probabilidad de ocurrencia, su impacto en el negocio y los controles que mitigan el impacto (o la probabilidad de ocurrencia).
Enfoque basado en: Probabilidad – Impacto
Al igual como lo haríamos de manera tradicional, pero en este caso centrándonos solamente en el COVID-19 como la amenaza que queremos analizar, identificaremos el o los activos que se podrían ver afectados por dicha amenaza, las vulnerabilidades presentes en el o los activos que si no se controlan pueden permitir que dicha amenaza afecte al activo, identificaremos la probabilidad de ocurrencia de que esa amenaza considerando las vulnerabilidades afecte al activo y el impacto asociado a que esa amenaza a través de las vulnerabilidades afecte al activo. Como siempre uno de los objetivos es definir que controles minimizan la probabilidad de ocurrencia o el impacto, si recuerdan el contexto general es así:
 |
| Contexto general de la seguridad de la información |
Amenaza:
“Un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de información”. En este caso evento con el potencial de afectar nuestra salud (integridad).
Amenaza: COVID-19
Activo:
Cualquier cosa que tenga valor para la organización. En nuestro caso cualquier persona que tiene derecho a vivir.
Activo a proteger: Las personas
Vulnerabilidad:
“Una debilidad que facilita la materialización de una amenaza”.
Vulnerabilidades (debilidades) presentes:
1. Tener más 80 años.
2. Tener mala salud o estado físico.
3. Padecer enfermedades crónicas.
4. Tener necesidades especiales (Discapacidad).
5. Tener malos hábitos (no lavarse las manos, toser sin taparse la boca).
6. No seguir las recomendaciones. (usar mascarilla, respetar cuarentena)
Probabilidad del riesgo:
Es la frecuencia con que se podría producir el riesgo en un plazo determinado de tiempo.
Niveles de Probabilidad de ocurrencia (del contagio):
• Alta
• Media
• Baja
Impacto:
Son las consecuencias que habría si un determinado activo ve afectada su Confidencialidad, Integridad o Disponibilidad. En nuestro caso son las consecuencias que habría si un activo (persona) ve afectada su salud.
Posible Impacto:
• Bajo: Contagiarse con el COVID-19 y no tener secuelas.
• Medio: Contagiarse con el COVID-19 y quedar con secuelas.
• Alto: Morir a causa del COVID-19.
Matriz Análisis de Riesgos Simplificado – COVID-19 – Riesgo Inherente
El riesgo absoluto o inherente es el riesgo que no considera los controles.
Matriz Análisis de Riesgos Simplificado – COVID-19 – Riesgo Residual
El riesgo residual es el riesgo resultante posterior a la aplicación de controles.
Resultado del Análisis de Riesgos
 |
| Matriz de calor de los riesgos identificados |
Resultado del Analisis de Riesgo al COVID-19 – Riesgo Inherente
 |
| Matriz de calor de los riesgos inherentes. |
Resultado del Analisis de Riesgo al COVID-19 – Riesgo Residual
Como pueden ver el proceso del análisis de riesgos tiene por objetivo identificar y aplicar controles para disminuir la probabilidad de ocurrencia o el impacto asociado o ambos en el mejor de los casos. En la figura 4 pueden observar que los riesgos se encuentran todos en niveles Medio y Alto, por lo tanto se deben gestionar aplicando los controles identificados, de esta forma en la figura 5 se puede observar como la aplicación de los controles disminuyo la probabilidad de ocurrencia o el impacto asociado, por ende los riesgos disminuyeron. Lo más importante que debemos entender en este caso del COVID-19 es que al aplicar todos estos controles o recomendaciones de expertos, no estamos eliminando el virus, solo estamos disminuyendo la probabilidad de contagio - MUY IMPORTANTE y FUNDAMENTAL – sin embargo al aplicar estas recomendaciones también disminuimos el impacto, porque si no nos contagiamos, no corremos el riesgo de morir a raíz del virus (impacto más alto de esta amenaza).
Gabriel Bergel
CSA - Chief Security Ambassador
@gbergel
gabriel.bergel@11paths.com
