Gestión de vulnerabilidades. El reto de una conciencia sistémica frente al riesgo cibernético
Introducción
Uno de los retos más relevantes, luego de la identificación de las amenazas cibernéticas, es reconocer el nivel de explotabilidad de las vulnerabilidades de la organización frente a las capacidades que tienen los adversarios para aprovecharse de éstas. En este sentido, la literatura ha situado la vulnerabilidad como una condición de debilidad, defecto o falla (DDF) (Stallings, 2019) propia (activa o pasiva) que existe individualmente en los diferentes componentes un sistema o que se manifiestan en el comportamiento de la dinámica de las relaciones entre ellos.
En razón con lo anterior, entender el reto de identificar y analizar vulnerabilidades requiere una perspectiva sistémica que permita, no sólo entender los comportamientos propios de cada una de las partes del sistema que se analiza, sino determinar cómo las relaciones entre dichas partes establece la dinámica del sistema y sus efectos inesperados o inciertos, que bien puedan ser atendidos en la medida que las debilidades, defectos o fallas sean activos (conocidos) o pasivos (desconocidos) respectivamente.
La inevitabilidad de la falla es una realidad que reviste de una revisión integral de la dinámica de un sistema con el fin de evaluar no sólo su confiabilidad y sino la comprensión de las interacciones y acoplamiento de sus partes (Perrow, 1984), para superar la vista individual de un evento y sus impactos, y así entrar a analizar la relaciones entre ellas para descubrir comportamientos que posiblemente estaban ocultos o invisibles al funcionamiento general del todo. De esta forma, desarrollar una conciencia sistémica que permita entender cómo los sistemas pueden producir fallas inesperadas, aprender de forma anticipada de ellas, mantener la confiabilidad del mismo y lograr un balance en la respuesta cuando eventos inesperados o inciertos se materializan (Edmondson, 2023).
Por tanto, crear un marco de gestión de vulnerabilidades no sólo es una exigencia propia de cada sistema en una organización, sino un requisito básico para mantener una comprensión sistémica de la dinámica de sus procesos, para aumentar la sensibilidad y vigilancia sobre los cambios y transformaciones que tiene la empresa, el seguimiento a las relaciones entre sus diferentes componentes y la constante revisión de comportamientos inusuales o sospechosos que se salen de las líneas base que la compañía tiene como parte natural de su operación.
En razón con lo anterior, se desarrolla una propuesta de un marco de trabajo para la gestión de vulnerabilidades que comporta dos elementos básicos para su comprensión: si la debilidad, defecto o falla es activa o pasiva, y si se sitúa a nivel de un componente de un sistema o interactúa a nivel de todo el sistema creando un entorno proclive a eventos inesperados con fallas activas o entorno inciertos con fallas pasivas. De esta forma, comprender los diferentes tipos de vulnerabilidades y establecer estrategias para su identificación y tratamiento.
Entendiendo los tipos de vulnerabilidades
Una cosa son las categorías de vulnerabilidades que son todos aquellos elementos que son susceptibles de fallas, debilidades o defectos, como son los técnicos, humanos, físicas, ambientales, operacionales y de continuidad (Stallings, 2019), y otro los tipos de vulnerabilidades que se generan dependiendo si se identifican a nivel de un componente de un sistema o si se revelan al interactuar con todo el sistema.
Las vulnerabilidades conocidas son aquellas debilidades, defectos o fallas inherentes conocidas a cada uno de los componentes del sistema que revela un comportamiento fuera de lo normal. Generalmente estas vulnerabilidades están asociadas con las categorías previamente anunciadas con el fin de entender de manera individualizada las posibles DDF que afectan los componentes particulares de un sistema y se advierten eventos que se pueden identificar de forma específica. Identificar este tipo de vulnerabilidades implica contar con la líneas base de operación y comportamiento y determinar aquello que no se ajusta a lo previamente conocido, y desde allí, comenzar a cerrar las DDF de cada uno de los componentes del sistema identificados.
Las vulnerabilidades focales son aquellas debilidades, defectos o fallas inherentes desconocidas a cada uno de los componentes del sistema que revela un comportamiento fuera de lo normal. Generalmente estas vulnerabilidades están asociadas con la identificación de comportamientos inusuales (fuera de la línea base), sospechosos (asociados con eventos adversos previos) y anomalías (situaciones que no se han visto previamente) que permiten generar alertas para actuar en consecuencia y establecer controles compensatorios que empiecen el tratamiento de las posibles DDF.
Las vulnerabilidades latentes son aquellas debilidades, defectos o fallas conocidas que al interactuar con el sistema crea un entorno proclive a eventos inesperados. Generalmente estas vulnerabilidades están asociadas con el diseño de los sistemas, la distracción de las personas, la falta de calibración de los controles definidos, la aplicación de malas prácticas en los procesos y los descuidos que se tienen respecto de las actividades realizadas por los participantes del proceso. Identificar este tipo de DDF implica reconocer el entorno y las relaciones de cada uno de sus componentes para mantener una postura vigilante que mantenga una correlación de eventos para actuar de forma anticipada e identificar los posibles impactos adversos que se pueden materializar.
Las vulnerabilidades emergentes aquellas debilidades, defectos o fallas desconocidas que al interactuar con el sistema crea un entorno proclive a efectos dominó o inciertos. Generalmente estas vulnerabilidades están asociadas con cambios en las condiciones técnicas, humanas, físicas, operacionales o de continuidad del sistema, así como por la interacción y acoplamiento de cada uno de los componentes del todo, lo que configura un sistema complejo adaptativo donde sus componentes individuales responden y se adaptan unos con otros, generando contextos complemente inéditos para los cuales los saberes previos resultan poco confiables o útiles (Clearfield & Tilcsik, 2018). Identificar este tipo de DDF implica comprender cómo no funciona el sistema, cómo hacerlo fallar, cómo reacciona ante una falla (Schneier, 2003) para lo cual el diseño de escenarios, las simulaciones y las pruebas de mal uso se convierten en herramienta clave para comprender la dinámica de los posibles eventos emergentes que se presenten.
Para cualquiera de las vulnerabilidades que se tipifique es imperativo adelantar el análisis de explotabilidad, el cual busca saber el nivel de exposición que la organización tienen a la fecha para establecer aquellas que tienen mayor probabilidad de ser materializadas y aquellas que no. La explotabilidad se entiende como la facilidad y los medios técnicos disponibles con los que se aprovecha una vulnerabilidad por parte de un adversario. Los criterios para evaluar son: (Stallings, 2019)
Priorización de vulnerabilidades. Una revisión en perspectiva sistémica
El siguiente paso es adelantar un mapa de vulnerabilidades basado en la probabilidad de ocurrencia de la vulnerabilidad y las consecuencias que se pueden tener por su materialización (Sheffi, 2005). En este ejercicio, luego de la identificación del tipo y la valoración de explotabilidad, se procede revisar particularmente las tipificadas como latentes y emergentes por los eventos inesperados y los efectos dominó o inciertos que se pueden presentar respectivamente. Las conocidas y focales como son propias a los componentes deberán analizarse de manera particular basado en sus comportamientos y tomar las acciones del caso como cerrar las vulnerabilidades activas y disponer de los controles compensatorios que sean necesarios en cada caso.
En el desarrollo de esta actividad tres preguntas deben orientar las reflexiones de los participantes en la construcción de este mapa: (Sheffi, 2205)
Las vulnerabilidades que se clasifiquen con consecuencias leves y probabilidad baja se deben monitorear, esto es, validar el aumento del impacto de la vulnerabilidad si esta se explota comoquiera que están situadas en la interacción del sistema como un todo (Waal & Linthorst, 2022). El análisis periódico de la correlación de eventos y sus efectos se convierte en un instrumento clave para mantener una perspectiva y perfil de la vulnerabilidad, cómo se comporta o se visualiza conforme se identifican y analizan las relaciones entre los diferentes componentes del sistema que se requieren para lograr el objetivo particular.
Las vulnerabilidades que se clasifiquen con consecuencias severas y probabilidad baja se deben tomar acciones, esto es, acelerar la implementación de las medidas requeridas frente a la vulnerabilidad (Waal & Linthorst, 2022), lo que supone crear escenarios y simulaciones donde se exploten dichas DDF para reconocer los impactos que se pueden tener y el nivel de preparación que la organización tiene para asumir un evento de esta magnitud. Las acciones que tomen en este cuadrante deben responder a la capacidad de la organización para amortiguar y responder frente a los efectos nocivos que comprometen la promesa de valor de la empresa.
Las vulnerabilidades que se clasifiquen con consecuencias leves y probabilidad alta se deben revisar, esto es, mantener seguimiento e informar sobre evolución de la vulnerabilidad (Waal & Linthorst, 2022). Lo anterior implica persistir en las pruebas de mal uso y en el análisis de código de los sistemas involucrados, revisando el nivel de interacción y acoplamiento de los componentes analizados con el fin de establecer y amplificar los eventos inesperados o inciertos que llamen la atención de los encargados de dichos sistemas, para continuar con la postura vigilante que anticipe consecuencias que hasta el momento no se hayan advertido.
Recomendado por LinkedIn
Las vulnerabilidades que se clasifiquen con consecuencias severas y probabilidad alta se deben tomar acciones urgentes, esto es, incorporar e implementar rápidamente las medidas requeridas frente a la vulnerabilidad (Waal & Linthorst, 2022). Esto implica que la explotabilidad es inminente y por lo tanto, la organización debe movilizar los recursos disponibles para enfrentar la vulnerabilidad latente o emergente que el adversario va aprovechar para concretar su capacidad de hacerle daño a la compañía. Generalmente en esta clasificación las organización deben validar su nivel de tolerancia frente a eventos adversos con el fin de conocer de antemano que tanto puede resistir y cómo deberá actuar para disminuir los impactos severos que se van a tener.
La priorización que se establezca para cada una de las amenazas revisadas deberá hacerse con conciencia sistémica, considerando al menos dos preguntas claves: (Edmondson, 2023, p.236)
Esta conciencia es un elemento relevante pues no sólo permite a la organización situar las vulnerabilidades en la dinámica de las relaciones entre los diferentes componente del sistema que se analiza, sino que habilita una perspectiva de prospectiva de efectos que prepara a la empresa para ver hacia adelante la proyección de situaciones no previstas inicialmente y que debe tener en cuenta para afinar sus estrategias de contención frente a los eventos dinámicos e inciertos que los sistemas complejos y complejos adaptativos configuran en las compañías.
Conclusiones
Las organizaciones que buscan gestionar el riesgo cibernético no sólo deben comprender claramente al adversario, sus motivaciones y capacidades para hacerle daños, sino entender el nivel de debilidad, defecto o falla (DDF) propia (activa o pasiva) en cada uno de sus componentes y en la dinámica del sistema en general. No es una tarea fácil, pues implica una revisión en perspectiva sistémica que obliga tanto a las áreas de negocio como al ejecutivo de ciberseguridad a salir cada uno de su zona cómoda y situar las posibilidades de eventos adversos frente al cumplimiento y protección de la promesa de valor de la empresa para con sus clientes.
En este sentido, comprender la dinámica de la empresa más allá de las implementaciones tecnológicas y los ataques cibernéticos en sí mismos, implica comprender las relaciones que se tienen entre los diferentes componentes de la organización para identificar en el mapa de la arquitectura tecnológica aquellos elementos cuyo nivel de acoplamiento e interacción es alta, así como aquellos cambios que se hacen a nivel técnico, humano, físico, ambiental, operacional y de continuidad, cuyos efectos no son visibles a simple vista, y por lo tanto, es necesario analizar en detalle para identificar qué tipo de vulnerabilidad puede estar presente.
Este tipo de ejercicio debe llevar necesariamente a decisiones operacionales que se traduzcan en acciones concretas que den cuenta con la situación analizada y llevar a responder entre otras las siguientes preguntas que permitan preparar la compañía para asumir de manera proactiva un evento futuro: (Sheffi, 2005, p.33)
Las vulnerabilidades son condiciones de falla que pueden ser activas o pasivas, que habilitan a las empresas mantener una postura vigilante frente a eventos inesperados o inciertos, lo que implica reconocer una estrategia de ciberseguridad basada en la vulnerabilidad por defecto y centrada en el reto de comprender las asimetría propias del adversario (Smeets, 2022). Esto demanda tanto del equipo de ciberseguridad como de los miembros de las unidades de negocio una visión conjunta representada en los objetivos de negocio, la tolerancia y la capacidad de riesgo que la empresa tiene para avanzar en sus iniciativas digitales, sabiendo que debe fortalecer sus capacidades cibernéticas para asegurar un nivel amortiguamiento óptimo cuando el atacante tarde o temprano tenga éxito.
La única forma de eliminar una vulnerabilidad es desaparecer el elemento que la produce, lo que no es viable del todo a la fecha por la creciente densidad digital. Por tanto, es necesario comprender de forma situada y sistémica el entorno donde operan cada uno de los elementos para reconocer aquellas situaciones que motivan eventos inesperados o inciertos, y preparar a la organización, no sólo desde las buenas prácticas y estándares, sino desde los escenarios y simulaciones de explotación de las vulnerabilidades latentes y emergentes para comprender los impactos que se pueden dar y el estado de preparación que se debe tener sabiendo el nivel de explotabilidad que dichas vulnerabilidades presentan en la empresa.
Referencias
Clearfield, C. & Tilcsik, A. (2018). Meltdown. Why our systems fail and what we can do about it. New York, NY. USA: Penguin Books.
Edmondson, A. (2023). Right kind of wrong. The science of failing well. New York, NY. USA: Atria Books.
Perrow, C. (1984) Normal accidents. Living with high-risk technologies. USA: Basic Books.
Schneier, B. (2003). Beyond Fear. Thinking Sensibly about security in an uncertain world. New York, NY. USACA: Copernicus Books.
Sheffi, Y. (2005). The Resilient Enterprise. Overcoming Vulnerability for Competitive Advantage. Cambridge, MA. USA. MIT Press.
Smeets, M. (2022). No shortcuts. Why states struggle to develop a military cyber-force. New York, NY. USA: Oxford University Press
Stallings, W. (2019). Effective cybersecurity. A guide to using best practices and standards. USA: Addisson Wesley. P.106
Waal, A. & Linthorst, J. (2022). Futurize! Dealing with Megatrends and Disruptors. A Handbook for the Future-Oriented CEO. New York, NY. USA: Routledge
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS // orcid.org/0000-0001-6883-3461
5 mesesArnold Schiemann Gabriela Reynaga Vargas, CRISC, CISA, CDPSE, GRCP Arnulfo Espinosa Domínguez Erika Mata Sanchez, PhD, CISSP, CISM, CISA, CCISO, CDPSE Arturo Garcia Hernandez PHD. Laura Requena Espada Oswin Perea Cuevas Vera Mikusova Bogdan Djoric Warren Axelrod Gonzalo A Romero B Miguel A Porrúa Santiago Paz Ignacio de Palma Jerez Hyeyoung Lim 💡 Rebecca Herold