STRIDE+DREAD: El juicio de expertos en InfoSec.

STRIDE+DREAD: El juicio de expertos en InfoSec.



Por Jeimy Cano, Ph.D, CFE. Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS 

 

Adelantar la identificación y valoración de riesgos en general es una tarea que demanda tiempo, esfuerzo y mucha concentración para conectar la dinámica de los negocios, las amenazas relevantes del entorno y sus posibles y probables impactos. En este ejercicio, se demanda al mismo tiempo precisión y agilidad, con el fin de alimentar el “dilema de control” que poseen los ejecutivos sobre este tema.

Existen múltiples iniciativas en este sentido que buscan acelerar esta actividad, sin deteriorar la capacidad de la empresa para focalizarse en aquellos que son de mayor interés e impacto para el desarrollo de sus procesos. Consecuente con esta necesidad empresarial, Microsoft desarrolló un enfoque simplificado y sencillo que busca concentrar el esfuerzo en en aquellas pocas amenazas, que generan el mayor conjunto de problemas de seguridad en las organizaciones.

De esta manera surge el acrónimo STRIDE (Shostack, 2014), que condensa las seis (6) amenazas que a criterio de Microsoft crean los más amplios efectos en las empresas, en términos de protección de la información. Estos seis riesgos como son la suplantación de identidad (spoofing), la manipulación (tampering), el repudio (repudiation), la divulgación de información (information disclosure), la negación de servicio (denial of service) y la elevación del privilegio (elevation of privilege), configuran un marco de inestabilidades en los procesos, las regulaciones, los individuos, la tecnología y la información que termina con efectos indeseados y afectaciones muchas veces desconocidas.

Considerando lo anterior, una organización debe concentrar los esfuerzos en asegurar y validar controles sobre estas seis amenazas, con el fin de hacer más resistente a la empresa frente a la inevitabilidad de la falla. En la medida que la corporación se prepara para un incidente derivado de una u otra de las amenazas comentadas o la combinación de ellas, aumenta su capacidad de renovación de sus paradigmas de protección y su capacidad para dar respuesta a los efectos conocidos y desconocidos de una falla.

Se dice que la gestión de riesgos debe estar basada en una batería disponible de datos para limitar el criterio subjetivo de la evaluación por parte de los participantes del ejercicio. Si bien tratar de contar con la información validada, estandarizada y asegurada de los riesgos materializados en la organización, demanda una tarea de analítica y procesamiento de datos, asistido por estadísticas formales (generalmente actuariales), el contar con el criterio de expertos no debe ser una opción que deba desestimar.

El criterio de los expertos trae a la mesa las diversas formas como las personas se han equivocado, l os caminos que no han funcionado y sobremanera el deseo de contribuir y aportar al modelo básico de resiliencia de la organización, en donde las lecciones aprendidas y los posibles escenarios planteados concretan una capacidad de reinvención de la organización frente a la inevitabilidad de la falla.


Así las cosas, valorar las posibles amenazas de la empresa en términos de la seguridad de la información siguiendo STRIDE, requiere un conjunto de criterios básicos para la discusión de los expertos. Dichos criterios agrupados por el acrónimo DREAD (Altawy & Youssef, 2016), establecen las preguntas base que se deben adelantar para finalmente valorar cada uno de ellas (las amenazas) como bajo, medio, alto o crítico. Los criterios y las preguntas asociada son:

. Daños (Damage): ¿Cuánto daño podría hacer?
. Reproducibilidad (Reproducibility): ¿Qué tan difícil es la ejecución del ataque?
. Aprovechamiento (Explotability): ¿Qué se necesita para ejecutar el ataque?
. Usuarios afectados (Affected users): ¿Cuántas personas probablemente se verían afectadas?
Descubrimiento (Discoverability): ¿Qué tan difícil es encontrar la vulnerabilidad? 

Si bien estos criterios no son todos los posibles, sin ofrecen un marco de análisis que invita a una revisión consciente de las implicaciones para la organización y motiva la validación de los controles actuales de cara a los escenarios que se puedan plantear. En consecuencia, los expertos desde esta preguntas, retan el estado actual de la forma como la empresa enfrenta las amenazas más relevantes y reescribe su postura de seguridad de la información vigente.

Motivar una gestión de riesgos siguiendo STRIDE y DREAD, como una provocación académica y práctica, es enriquecer la vista de la dinámica de la empresa desde la necesaria subjetividad de las personas, la cual se puede contrastar con los datos disponibles y así afinar los imaginarios de riesgos vigentes en la corporación, los aprendizajes y desaprendizajes que ha tenido la empresa, las medidas de seguridad y control vigentes, y las expectativas y dudas que se tienen en el cuerpo de gobierno de la empresa.


El criterio de los expertos reta la necesidad de precisión de los enfoques actuales de gestión de riesgos, para llevar a los ejecutivos de primer nivel una postura práctica y contrastada desde la realidad, que le permita a los directivos entrar en la comprensión de la gestión de la inseguridad de la información, que los libere de la necesidad del 100% de protección y el 0% de exposición al riesgo. En la medida que es posible comprender el umbral de riesgo que la empresa asume para desarrollar sus actividades, los criterios de los expertos tienen más valor dado que ellos intuitivamente saben donde es posible tomar o no más riesgos de forma inteligente.

Las organizaciones en el contexto de un mundo digitalmente modificado demandan reflexiones más consensuadas y participativas, para confrontar sus saberes previos y buscar alternativas que les permitan enfrentar el reto de la incertidumbre. En línea con lo anterior, las amenazas a la seguridad de la información, configuran ampliamente esta realidad, por lo que tratar de buscar certezas para su mitigación o eliminación, termina siendo un ejercicio estéril, no sólo por el resultado que se obtiene al final con una contramedida, sino por la falsa sensación de seguridad que se puede crear cuando se piensa que se conocen los riesgos.

En consecuencia, esta reflexión es una invitación a retomar los ejercicios de riesgos bajo la modalidad de juicio de expertos, como una manera de contar con un espacio de tensiones necesarias entre los negocios, los ejecutivos y los retos empresariales, que superando las posturas mecanicistas y positivistas del conocimiento y exploración del mundo donde la objetividad manda, den paso a una visión más sistémica y transdisciplinar del descubrimiento del entorno, donde la realidad se reconstruye desde el conjunto de subjetividades que reconocen el mundo desde la pluralidad y experiencia de cada uno de sus participantes.

Referencias

Altawy, R. & Youssef, A. (2016) Security Tradeoffs in Cyber Physical Systems: A Case Study Survey on Implantable Medical Devices. IEEE Access. 4. pp 959-979

Shostack, A. (2014) Threat modelling. Designing for security. Indianapolis, USA: John Wiley & Sons