En este articulo me gustaría aportar una definición clara y sencilla de los principales conceptos de CiberSeguridad a tener en cuenta en la redacción de un informe de auditoría de código. Los siguientes cinco términos son también básicos en otras muchas actividades de CiberSeguridad.
La distinción clara entre ellos va a facilitarnos mucho la redacción de entregables e incluso nos predispone a interpretar antes cualquier potencial incidente de seguridad. Cuando descubramos una vulnerabilidad o valoremos un riesgo, asignaremos a cada elemento implicado uno de estos conceptos.
Introducción
Para tratar los conceptos de CiberSeguridad de una forma rápida, los reduciremos al ejemplo más visual y básico posible usando un riesgo físico.
Ejemplo de riesgo
Un riesgo es la probabilidad de que ocurra un incidente de seguridad. Este importante término y la actividad de valorar riesgos, engloba el resto de conceptos que veremos a continuación. En este simplón ejemplo vamos a emplear los conceptos de CiberSeguridad en el contexto de riesgo de atentado sobre un edificio de medios de comunicación. Este edificio imaginario sustituirá el conjunto de activos físicos y digitales de un contexto de CiberSeguridad.
- Amenaza: Terrorista con un artefacto explosivo.
- Vulnerabilidad: Control de acceso al edificio insuficiente.
- Impacto: Potenciales daños de la detonación del artefacto.
Aunque vamos a ver cada definición en detalle, su interrelación es la siguiente:
Una amenaza que es el artefacto explosivo, es portado por el agente de amenaza, en este caso un terrorista. Este agente de amenaza puede conseguir entrar al edificio aprovechándose de una vulnerabilidad. Esta debilidad consiste en una puerta trasera de emergencia no vigilada, que puede ser explotada por una mala práctica. Ya que habitualmente es abierta por empleados en su tiempo de descanso para fumar y puede entrarse al edificio de esta manera evitando el control de seguridad.
Por lo tanto, el potencial riesgo de seguridad se conforma de los siguientes tres elementos. La explotación de la vulnerabilidad por parte del agente de amenaza, produciría un impacto. Este impacto consiste en un acceso no autorizado y la posibilidad de una posterior detonación que produce la destrucción de un estudio de radio vacío. La pérdida potencial consistiría en este caso en los daños materiales resultado. Todo lo anterior, de materializarse resultaría en un incidente de seguridad.
Amenaza
Una amenaza es una potencial acción con efecto negativo. Esta acción puede tener un carácter muy variado. Puede ser intencionada o involuntaria, por ejemplo por una mala práctica u olvido. Puede producirse desde internet o desde la red interna. Cuando una persona o grupo manifiesta la amenaza, podemos hablar de un agente de amenaza concreto. Tipos de agentes de amenaza para ilustrar, podrían ser un hacktivista o un empleado descontento.
En el ejemplo antes descrito ilustrando conceptos de CiberSeguridad, el agente de amenaza porta un explosivo. Este artefacto es una amenaza en sí mismo con un potencial efecto negativo. Como puede apreciarse en nuestro simplón ejemplo, la amenaza es completamente independiente de que exista una vulnerabilidad concreta en el edificio.
Vulnerabilidad
Una vulnerabilidad es una debilidad que permite llevar a cabo un potencial efecto negativo. Es decir, es una debilidad de un activo o sistema que tiene carácter de explotable. Siendo esta explotación de la vulnerabilidad, la ejecución de una amenaza con resultado de éxito.
Por lo tanto un activo o sistema, puede tener diversas debilidades. Estas debilidades son sujeto de estudio en CiberSeguridad y representan trabajo en el ámbito de la prevención. Sin embargo los puntos concretos donde se conozca posibilidad de explotación, serán gestionados como vulnerabilidades. El software diseñado específicamente para ejecutar esta explotación se llama exploit.
Estas vulnerabilidades poseerán atributos para facilitar su gestión, como lo es la criticidad. Habitualmente una vulnerabilidad debe ser comunicada lo antes posible y debe redactarse una descripción de esta, y una descripción de la respuesta a tomar.
En el ejemplo de nuestro edificio de la radio, el control de seguridad de la entrada no es el problema. Estaríamos hablando de la debilidad de que el edificio tenga unas puertas de emergencia no monitorizadas, y la mala práctica de abrir estas puertas en casos que no son emergencias. La posibilidad de explotación de estas debilidades produce una vulnerabilidad.
Como puede apreciarse, estas debilidades y vulnerabilidad en la gestión del edificio, son completamente independientes de la existencia de una amenaza.
Impacto
El impacto es el conjunto de posibles efectos negativos producto del incidente de seguridad. Un impacto puede ser potencial, en el estudio de la probabilidad de que ocurra, o puede materializarse de tener lugar el incidente. Son los resultados de la explotación de una vulnerabilidad por parte de una amenaza.
En nuestro simplón ejemplo, el impacto consistiría en un acceso no autorizado y una posterior detonación con resultado de destrucción de un estudio de radio vacío. La pérdida potencial consistiría en este caso en los daños materiales producidos por el incidente.
En este caso la definición de impacto es diferenciable del resto de términos. Sin embargo un impacto es dependiente de la existencia de una potencial amenaza y una vulnerabilidad, puesto que es el resultado de estas dos. Los tres elementos conforman el riesgo.
Referencias y recursos para profundizar en el tema:
- Conceptos de amenaza, riesgo y vulnerabilidad: https://www.youtube.com/watch?v=9hJ4fgfePfg
- Incibe, amenaza vs vulnerabilidad: https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
- Incibe, un análisis de riesgos: https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo
