ANÁLISIS DE MALWARE

• 

SEGURIDAD CIBERNÉTICA: LIMITACIONES Y CAPACIDADES HUMANAS GENERALES

1. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo, aquellas que tienen un significado para ellas, como nombres o fechas memorables.

2. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas fuertes sobre los más difusos.

3. Cuando se trata de fotografías de seres humanos, elegirán fotografías de personas «más atractivas» y de personas de su propio origen étnico.

4. Cuando la credencial es una ubicación particular dentro de una imagen, las personas prefieren características que se destacan.

5. Con los sistemas basados en la ubicación, las personas eligen ubicaciones memorables, por ejemplo, al elegir ubicaciones para un PIN de 4 dígitos en una cuadrícula de 5 números, buscan ubicaciones conectadas, ancladas en un borde o esquina de la cuadrícula.

6. El orden de los elementos de una credencial es predecible, porque existe una fuerte preferencia cultural, por ejemplo, las personas que hablan idiomas que se leen de izquierda a derecha elegirán ese orden.

7. Con las contraseñas de deslizamiento del dedo en los teléfonos Android, la gente elige entre un número muy limitado de formas.

La atención  se centrará en sus actividades principales, y muchos mecanismos de seguridad exigen más tiempo y atención de lo que los usuarios pueden permitirse. Esto significa que los cambios en los indicadores de seguridad pasiva a menudo no se notan, en particular si están en los bordes de la pantalla. Si los indicadores de seguridad deben ser atendidos, deben colocarse frente a la persona y requerir una respuesta. STM es lo que se utiliza, por ejemplo, para contraseñas de un solo uso, como códigos numéricos mostrados por tokens o mostrados en otro dispositivo.

Un criterio de seguridad importante para la autenticación basada en el conocimiento es que una credencial debería ser difícil de adivinar. Con las contraseñas, las personas intentan elegir las que son más fáciles de recordar, por ejemplo, aquellas que tienen un significado para ellas, como nombres o fechas memorables. Cuando los usuarios tienen que elegir imágenes como credenciales, prefieren colores y formas fuertes sobre los más difusos. Con las contraseñas de deslizamiento del dedo en los teléfonos Android, la gente elige entre un número muy limitado de formas.

Estos sesgos humanos reducen la diversidad en una base de datos de contraseñas y aumentan la probabilidad de que un atacante adivine una contraseña. Para contrarrestar esto, las políticas de seguridad han excluido opciones demasiado obvias. Por ejemplo, un verificador de contraseñas que rechaza más de 5 contraseñas seguidas por ser demasiado débiles pondrá a los usuarios bajo un estrés considerable y lo más probable es que vuelvan a utilizar una contraseña. Del mismo modo, los medidores de seguridad de las contraseñas se utilizan a menudo para orientar e influir en las elecciones de contraseñas del usuario.

Se analizó el impacto de varios diseños de medidores de contraseñas en la elección de contraseñas de los usuarios, y destacó el aumento de la carga de trabajo para los usuarios y la frustración que enfrentan cuando se enfrentan a medidores de contraseñas más estrictos. Un trabajo reciente de Golla y Dürmuth investigó la precisión de 45 medidores de seguridad de contraseñas, incluidos varios implementados en la práctica, así como propuestas académicas. Por lo tanto, incluso si ignoramos la carga de trabajo adicional de los usuarios, estos enfoques no siempre tienen el nivel de precisión requerido para implementar de manera efectiva las políticas de contraseñas. Estas consideraciones deben tenerse en cuenta al implementar soluciones para hacer cumplir las políticas de seguridad.

A veces, surge la pregunta de si existe capacitación para ayudar a los usuarios a lidiar con la recuperación de credenciales de seguridad. El escritor Joshua Foer detalla en su bestseller Moonwalking with Einstein que requiere una importante inversión de tiempo inicial pero también capacitación continua, más el tiempo requerido para recordar e ingresar las contraseñas. Pero, grupos de usuarios específicos tendrán necesidades adicionales que deberían informar la selección o configuración de los mecanismos o procesos de seguridad. También es necesario tener en cuenta las condiciones físicas y mentales de los usuarios.

No todos los usuarios pueden operar el equipo con las manos, leer en las pantallas o escuchar audio. Ciertos efectos de audio o video pueden dañar a los usuarios con afecciones como autismo o epilepsia.

OBJETIVOS Y TAREAS

Para lograr los objetivos, las personas completan una serie de tareas. Si una tarea tiene varios pasos o unidades, se puede descomponer en subtareas.

Estas tareas se denominan tareas primarias o de producción en la terminología de factores humanos, y diseñar las herramientas tecnológicas para que las personas puedan completar estas tareas de manera eficaz y eficiente es el aspecto más fundamental de la usabilidad. La tarea debe completarse de manera efectiva. Los procesos comerciales pueden establecer un límite superior en el tiempo que pueden tomar las tareas o los recursos de los que pueden recurrir, como el acceso a la información o los servicios por los que la organización tiene que pagar. La ejecución de las tareas que las personas realizan con frecuencia se vuelve «automática», mientras que las tareas nuevas o realizadas con poca frecuencia se completan de manera consciente, paso a paso.

Para las tareas que se realizan con frecuencia, el diseño debe optimizar la velocidad y reducir el esfuerzo físico. Para tareas poco frecuentes, el diseño debe intentar reducir el esfuerzo mental guiando a los usuarios y minimizando cuánto tienen que recordar. Las personas se concentran en la tarea de producción y las tareas de habilitación a menudo se experimentan como una interrupción o distracción no deseada. La mayoría de las soluciones alternativas a los mecanismos de seguridad, como escribir contraseñas o compartirlas, se producen porque las personas intentan garantizar la finalización eficaz de las tareas de producción.

Por ejemplo, las personas a menudo guardan sus propias copias de documentos que deberían estar en un repositorio de acceso controlado, o copias en texto claro de documentos que deberían estar encriptados, porque temen no poder acceder a ellos cuando los necesiten. Por lo tanto, para evitar que se omitan las tareas de seguridad, debemos diseñarlas para que se ajusten a las tareas principales. Automatizar la seguridad, por ejemplo, utilizando la autenticación implícita para reconocer a los usuarios autorizados, en lugar de exigirles que ingresen contraseñas muchas veces. Si la acción humana explícita es necesaria en una tarea de seguridad, debemos minimizar la carga de trabajo y la interrupción de la tarea principal.

Diseñar sistemas que sean seguros de forma predeterminada3 para que no impongan la carga de las configuraciones de seguridad y la administración a los usuarios. La carga de trabajo mental se vuelve rápidamente excesiva, especialmente si las tareas adyacentes requieren la misma capacidad mental, como la memoria. Por lo tanto, para diseñar una tarea de seguridad que se adapte bien, necesitamos conocer las tareas de producción y considerar la carga de trabajo mental y física.

¿Cuál es el impacto de no completar la tarea de seguridad?

Tienen una conciencia incorporada de cuánto tiempo y esfuerzo están dedicando a tareas no productivas y una idea de cuánta actividad no productiva es razonable. Una vez que se conoce, se puede calcular la carga de trabajo de las tareas de seguridad e identificar las prioridades – qué comportamientos de seguridad realmente importan para los riesgos clave que enfrenta un grupo particular de empleados – y tareas de seguridad optimizadas.

CONTEXTO DE INTERACCIÓN

Tanto el entorno físico como el entorno social en el que las personas tienen que realizar tareas de seguridad afectan el rendimiento y la seguridad. El riesgo de ser escuchado ahora se aborda en muchos paquetes de capacitación corporativos, pero todavía se utilizan varios mecanismos de seguridad que son vulnerables a ser escuchados, por ejemplo, preguntas de seguridad como la fecha de nacimiento, el apellido de soltera de la madre. El uso de credenciales parciales únicamente y la entrada a través del teclado aumenta la seguridad, pero también acentúa la carga de trabajo física y mental al mismo tiempo. En general, el uso de una contraseña única como parte de la solución a2FA podría ofrecer protección y una mejor usabilidad.

La usabilidad de los mecanismos de seguridad puede verse afectada por las siguientes características físicas

Los sensores de huellas digitales pueden dejar de funcionar cuando hace frío y los humanos son más lentos para señalar y seleccionar. También es posible que necesiten usar ropa protectora, como guantes, que dificultan o dificultan las operaciones físicas de las pantallas táctiles. Del mismo modo, un ambiente demasiado caluroso puede provocar incomodidad y el sudor puede interferir con los sensores. Esta es una preocupación particular para los sensores de huellas dactilares y las pantallas táctiles.

Los lípidos que quedan se combinan con las partículas y la grasa oscura resultante puede obstruir los sensores o dejar un patrón claramente visible en la pantalla táctil. Si el comportamiento de seguridad esperado está en conflicto con las normas de comportamiento del día a día, podemos esperar problemas. Por ejemplo, si una organización valora la satisfacción del cliente y se les dice a los empleados que sean amigables con los clientes en todo momento, una política de seguridad que requiera que el personal trate cualquier consulta del cliente como un intento potencial de extraer información no encajará. Comprender las razones que sustentan el incumplimiento de las políticas de seguridad puede arrojar luz sobre estos conflictos entre los requisitos de seguridad y la tarea principal.

Es necesario considerar otros aspectos para comprender cómo se configuran las creencias, normas y estrategias de afrontamiento en materia de seguridad. Por ejemplo, los usuarios a menudo obtienen su conocimiento de sus redes sociales más amplias y estas también son una fuente de apoyo y ayuda cuando enfrentan desafíos de usabilidad.

CAPACIDADES Y LIMITACIONES DEL DISPOSITIVO

Ya hemos comentado que las características físicas de un dispositivo pueden dificultar la interacción con los mecanismos de seguridad en determinadas circunstancias. Algunas características del dispositivo pueden hacer que los mecanismos de seguridad se vuelvan difíciles de usar en cualquier circunstancia. Introducir contraseñas largas y complejas en teclados de software en un teléfono móvil lleva mucho más tiempo y es más propenso a errores que en un teclado normal. Y aunque con el uso frecuente de un teclado, la mayoría de las personas pueden llegar a ser bastante hábiles para ingresar una contraseña compleja, el rendimiento no mejora cuando los humanos alcanzan una limitación básica. Lo que es particularmente preocupante desde el punto de vista de la seguridad es que (sin colusión) una población de usuarios comienza a converger en una pequeña cantidad de contraseñas que son más fáciles de ingresar con la mínima cantidad de alternancias, lo que hace que adivinar una contraseña válida sea más fácil para los usuarios atacantes.

Si bien2FA tiene beneficios de seguridad y reduce la necesidad de contraseñas seguras, no todas las soluciones de2FA se pueden utilizar de forma predeterminada. Muchos usuarios encuentran difíciles los 2FAtokens ampliamente utilizados como Digipass.

Aprecian el hecho de que cabe en su billetera, pero en última instancia, es «demasiado complicado». Además, más de la mitad de los usuarios de banca en línea tienen cuentas con más de un proveedor de servicios financieros. El hecho de que incluso aquellos que usan2FA lo implementen de manera diferente (qué token se usa cuando debe usarse y cómo se hace referencia a los diferentes elementos de autenticación (frase de contraseña, código de acceso, frase clave) genera confusión para los usuarios. De manera similar, diferentes implementaciones de Chip y PIN crean variaciones ligeramente diferentes en la tarea que atrapan a los usuarios, lo que lleva a errores humanos.

Con la aparición de un número cada vez mayor de dispositivos nuevos, desde relojes inteligentes hasta dispositivos domésticos, e incluso tamaños de pantalla más pequeños e interacciones implícitas entre usuarios y dispositivos a través de una variedad de sensores y actuadores, considerar la ergonomía de las interacciones de seguridad es cada vez más importante.

DELITO INFORMÁTICO

El término ‘delito cibernético’ se utiliza a menudo para identificar tres categorías diferentes de actividad delictiva: delitos en los que la infraestructura del ciberespacio es simplemente un instrumento de algún otro delito tradicional (por ejemplo, fraude financiero), distribución de contenido delictivo (por ejemplo, pornografía y discurso de odio) y delitos dirigidos contra la propia infraestructura del ciberespacio (por ejemplo, intrusión ilegal en un sistema informático).

Delitos contra los sistemas de información

En las décadas de 1980 y 1990, muchos estados se enfrentaron al problema de que un conjunto emergente de comportamientos antisociales relacionados con la infraestructura del ciberespacio no se identificaba claramente como delitos.

El Parlamento del Reino Unido respondió adoptando la Ley de uso indebido de computadoras de 1990, que definía una serie de delitos relacionados con las computadoras. Han adoptado sus propios estatutos para enjuiciar los delitos informáticos. El panorama de los EE. UU. Es especialmente complejo, ya que una variedad de agencias de aplicación de la ley federal y estatal tienen diversas jurisdicciones sobre los delitos informáticos. La Convención se abrió a la firma en 2001 y, hasta julio de 2019, había sido ratificada por 44 estados miembros del Consejo de Europa y países no europeos, incluidos Canadá, Japón y EE. UU. En 2013, la Unión Europea adoptó la Directiva 2013/40. Esto exige que los Estados miembros modifiquen sus leyes penales para abordar los delitos informáticos comúnmente reconocidos que la Directiva describe como delitos «contra los sistemas de información».

Acceso inadecuado a un sistema: Las leyes de acceso inadecuado al sistema penalizan el acto de acceder a un sistema informático sin el derecho a hacerlo, lo que se conoce coloquialmente como piratería. Por lo tanto, el mero acto de ingresar una contraseña en un sistema sin autorización en un esfuerzo por acceder a ese sistema constituye un delito según la ley del Reino Unido, ya sea que el acceso se haya logrado o no. Los críticos argumentan que una interpretación demasiado amplia de términos legales como «acceso no autorizado» puede producir un proceso penal basado únicamente en el incumplimiento de una política de uso aceptable o los términos y condiciones del sitio web.

Interferencia inadecuada con los datos: La interferencia inadecuada del sistema con las leyes de datos penaliza el acto de «eliminar, dañar, deteriorar, alterar o suprimir» datos de forma inapropiada. Estas leyes se pueden utilizar para procesar acciones como la liberación o instalación de malware, incluido el ransomware.

Interferencia inadecuada con los sistemas: las primeras leyes sobre delitos informáticos tendían a centrarse en el acto de intrusión en un sistema informático o en la modificación inadecuada del contenido de esos sistemas. Con la aparición de los ataques DoS y DDoS, se descubrió que algunas de estas primeras leyes penales eran inadecuadas para abordar este nuevo comportamiento amenazante. Estas leyes ahora incluyen más comúnmente una prohibición contra actos que causen una degradación material en el desempeño de un sistema de información.

Interceptación inadecuada de comunicaciones: a menudo, como corolario de varios derechos de privacidad, muchos sistemas legales definen el acto de interceptar de forma incorrecta las comunicaciones electrónicas como un delito. Las reglas y sanciones tienden a ser más restrictivas en el contexto de la interceptación de comunicaciones durante el transcurso de su transmisión en redes públicas.

Producir herramientas de piratería con intenciones indebidas: muchos estados también definen como delitos la producción o distribución de herramientas con la intención de que se utilicen para facilitar otros delitos contra los sistemas de información.

LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS

La ley de protección de datos se desarrolló a partir de la base de la ley general de privacidad. Sin embargo, esta generalización puede ser un poco engañosa, ya que la ley de protección de datos ha evolucionado para abordar una serie de problemas relacionados que surgen de las técnicas modernas de procesamiento de datos que tradicionalmente no se han definido como «privacidad».

La protección de datos es de gran interés para los profesionales de la seguridad cibernética, ya que incluye numerosas obligaciones relacionadas con la seguridad de los datos. Sin embargo, la ley de protección de datos no es un sistema generalizado de regulaciones que aborden todos los aspectos de la seguridad cibernética. La atención se centra en los principios específicos adoptados para respaldar los derechos individuales en un contexto de procesamiento de datos.

La ley de protección de datos se ha desarrollado principalmente a partir de iniciativas legislativas europeas. La legislación de la Unión Europea ha tenido una enorme influencia en todo el mundo a través de varios mecanismos, incluidos los estados que buscan «determinaciones de idoneidad» de la Unión Europea, que permiten la exportación de datos personales, y los requisitos de los contratos de derecho privado impuestos a los procesadores de datos que no son residentes de la UE. Este impacto internacional sigue creciendo a medida que la UE ahora reclama expresamente una jurisdicción prescriptiva sobre la actividad de procesamiento de datos personales en cualquier parte del mundo que se relacione con los interesados presentes en la UE).

En la ley de protección de datos, los términos «datos personales» y «sujeto de datos» se definen al mismo tiempo:

datos personales significa cualquier información relacionada con una persona natural identificada o identificable (‘sujeto de datos’); una persona natural identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los aspectos físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona natural (GDPR, Art.4 (1))

Sólo las personas naturales, no las personas jurídicas, son sujetos de datos. GDPR no se aplica a los datos personales de las personas naturales fallecidas, aunque los Estados miembros pueden adoptar individualmente tales protecciones si lo desean.

Debido a que la definición de sujeto de datos se extiende a personas identificadas o identificables, los datos pueden incorporar datos personales incluso cuando los datos no incluyen información obvia que identifique a un sujeto de datos. Es suficiente que un interesado pueda ser identificado, por cualquier persona, analizando los datos o aplicando información adicional conocida por cualquier persona, incluso si esta información adicional es desconocida e inaccesible para la persona que controla o procesa los datos. El hecho de que el titular de los registros del servidor no tuviera acceso a la asignación del número de IP ni a los datos de identificación del cliente era irrelevante.

A medida que la anonimización y técnicas de análisis similares aumentan la capacidad de identificar a personas vivas a partir de datos que no tienen identificadores personales obvios, se vuelve cada vez más difícil mantener conjuntos de datos que realmente carezcan de datos personales.

El término «datos personales» a menudo se confunde en la práctica con «información de identificación personal», ya sea sin una definición legal o con definiciones dirigidas específicamente a casos de uso individuales. En este contexto específico, algunos tribunales estadounidenses han interpretado esta frase de manera restrictiva para incluir solo identificadores personales obvios. Por lo tanto, algunos tribunales estadounidenses han sostenido que los datos como los códigos MAC y los números de IP no se incluyen en el significado de «información de identificación personal», tal como se utiliza esa frase en algunos estatutos estadounidenses.

En la ley de protección de datos, el término procesamiento se define como:

cualquier operación o conjunto de operaciones que se realice sobre datos personales o sobre conjuntos de datos personales, sea o no por medios automatizados, tales como recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción (GDPR, Art 4 (2))

El procesamiento, por lo tanto, incorpora casi cualquier acción que uno pueda imaginarse con respecto a los datos personales.

En la ley de protección de datos, el término responsable del tratamiento se define como:

la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del procesamiento de datos personales; cuando los fines y los medios de dicho procesamiento estén determinados por la legislación de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento pueden estar previstos por la legislación de la Unión o de los Estados miembros (RGPD, art.4 (7))

En la ley de protección de datos, el término procesador se define como:

una persona física o jurídica, autoridad pública, agencia u otro organismo que procese datos personales en nombre del controlador (GDPR, Art 4 (8))

Estas definiciones aclaran la relación entre responsable y encargado del tratamiento. Un controlador decide; un procesador ejecuta. En la historia de la ley de protección de datos, muchos formuladores de políticas originalmente creyeron que la forma más efectiva de proteger los derechos individuales era enfocar la regulación en las personas que operaban y mantenían equipos informáticos: procesadores. La atención se centró en la máquina. Sin embargo, a medida que la revolución de las PC cambió nuestra relación social con las computadoras, los responsables de la formulación de políticas comenzaron a apreciar que la atención debería centrarse en las personas en posición de ordenar y controlar cómo se usaban las máquinas: los controladores.

Entre estas dos personas, la Directiva 95/46 tendía a imponer la mayor carga reglamentaria a los controladores. Se informó a los procesadores que su obligación consistía principalmente en seguir las instrucciones proporcionadas por los controladores. Hay muchas razones válidas para asignar la responsabilidad de cumplimiento principal a los controladores de datos, especialmente porque, en la mayoría de los casos, pueden comunicarse y gestionar las relaciones con los interesados pertinentes.

Esta distinción regulatoria comenzó a romperse a medida que los servicios en la nube se volvieron omnipresentes, especialmente SaaS. Un proveedor típico de SaaS podría dedicar una enorme cantidad de tiempo y esfuerzo a diseñar su sistema y sus interfaces de usuario, y luego presentar las características operativas de ese sistema a los controladores-clientes en un acuerdo de nivel de servicio sobre la base de «lo tomas o lo dejas». Como cuestión técnica, el proveedor de SaaS podría estar interesado en demostrar que está actuando solo en la capacidad de un procesador y que sus clientes actúan como controladores, trasladando la carga de evaluar el cumplimiento a los controladores individuales. En las revisiones de la ley de protección de datos incorporadas en GDPR, los responsables políticos han respondido aumentando en general la responsabilidad regulatoria de los procesadores. La responsabilidad de cumplimiento bajo GDPR ahora es compartida de manera más equitativa por los controladores y procesadores, aunque sus responsabilidades dependen de su respectiva área de competencia.

Principios regulatorios básicos

La ley de protección de datos se basa en los principios regulatorios que rigen el procesamiento de datos personales descritos en el artículo 5 del RGPD, que son:

• legalidad, equidad y transparencia;
• limitación de propósito;
• minimización de datos;
• •precisión;
• limitación de almacenamiento;
• integridad y confidencialidad.

Estos principios básicos están bien ensayados y hay muchos comentarios publicados y pautas disponibles en formas accesibles a los profesionales para ayudar a la comprensión.

Los profesionales deben estar especialmente alerta a la presencia de ciertos tipos de datos personales sensibles en cualquier sistema con el que estén involucrados. Dichos datos incluyen, ‘datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y el procesamiento de datos genéticos, datos biométricos con el propósito de identificar de manera única a una persona física, datos relacionados con la salud o datos sobre la vida sexual u orientación sexual de una persona natural ‘(RGPD, art. 9). Los datos personales confidenciales desencadenan una serie de protecciones adicionales y, en general, niveles más altos de escrutinio regulatorio, ya que el uso inadecuado de dichos datos a menudo presenta un riesgo desproporcionado para los intereses del interesado.

El tema del «consentimiento» en la ley de protección de datos merece un breve comentario, ya que sigue siendo un tema de cierta confusión. Como cuestión de umbral, no siempre se requiere el consentimiento del interesado cuando se procesan datos personales. Puede haber múltiples motivos legales para el procesamiento de datos personales además del consentimiento, según el contexto. Sin embargo, si se requiere el consentimiento del interesado, la ley de protección de datos establece un estándar muy alto de que este debe ser ‘una indicación libre, específica, informada e inequívoca de los deseos del interesado mediante la cual él o ella, mediante una declaración o una afirmación clara acción, significa el acuerdo para el procesamiento de datos personales relacionados con él o ella ‘(GDPR, Art 4 (11)).

La ley de protección de datos impone la obligación a los controladores y procesadores de «implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo» asociado con el procesamiento de datos personales GDPR, Art 32. El cumplimiento requiere una consideración del estado de la técnica y una evaluación de los costos de varias medidas en comparación con los riesgos presentados. Por lo tanto, la evaluación de esta obligación de tomar las medidas de seguridad adecuadas podría ser facilitada por una analogía con la ley de negligencia, que presenta varios marcos utilizados para evaluar el cuidado «razonable».

Para ser claros, GDPR no exige expresamente el cifrado de todos los datos personales. Simplemente destaca el cifrado como una medida técnica que se puede adoptar para mejorar la seguridad. Sin embargo, a medida que los métodos de cifrado u otras tecnologías de seguridad se estandarizan y los costos disminuyen, resulta cada vez más difícil justificar por qué no se adoptan tales tecnologías.

En ocasiones, la forma más efectiva de prevenir violaciones a la ley de protección de datos es diseñar un sistema que minimice la capacidad de las personas para tomar acciones inapropiadas, por lo que GDPR ha adoptado la obligación de implementar estrategias de protección de datos por diseño y por defecto. Si una nueva actividad de procesamiento de datos personales presenta un riesgo significativo de daño para los interesados, especialmente en el contexto del desarrollo o la migración a sistemas que procesan grandes volúmenes de datos, el controlador debe realizar una evaluación de impacto de protección de datos.

MÉTRICAS DE SEGURIDAD

Las métricas de seguridad son un área de controversia desde hace mucho tiempo dentro de la comunidad de riesgos, ya que existe un debate sobre el valor de medir la seguridad. A menudo es difícil cuantificar, cuán segura es o podría ser una organización. Las representaciones cualitativas como bajo, medio, alto o rojo, ámbar, verde se usan típicamente en ausencia de datos cuantitativos confiables, pero a menudo existe la preocupación de que tales valores sean subjetivos y signifiquen cosas diferentes para diferentes partes interesadas. Las preguntas abiertas incluyen: ¿qué características de un sistema deben medirse en función del riesgo?, ¿cómo medir el riesgo?, y ¿por qué medir el riesgo? Algunas métricas pueden estar relacionadas con los niveles de riesgo, algunas con el rendimiento del sistema y otras relacionadas con la prestación o confiabilidad del servicio. Jaquith proporciona algunos consejos útiles sobre lo que constituyen métricas buenas y malas para ayudar a seleccionar las medidas adecuadas. Las buenas métricas deberían ser:

• Constantemente medido, sin criterios subjetivos.
• Barato de recolectar, preferiblemente de forma automatizada.
• Expresado como un número cardinal o porcentaje, no con etiquetas cualitativas como «alto», «medio» y «bajo».
• Expresado utilizando al menos una unidad de medida, como «defectos», «horas» o «dólares».
• Contextualmente específico y lo suficientemente relevante para los tomadores de decisiones como para que puedan actuar.

Métricas malas:

• Se miden de manera inconsistente, generalmente porque se basan en juicios subjetivos que varían de persona a persona.
• No se puede recopilar a bajo precio, como es típico de las encuestas que requieren mucha mano de obra y las hojas de cálculo puntuales.
• No exprese resultados con números cardinales y unidades de medida. En cambio, se basan en calificaciones cualitativas altas / medias / bajas, semáforos y calificaciones con letras.

El trabajo de Herrmann proporciona una visión más pragmática basada en el cumplimiento normativo, la resistencia y el retorno de la inversión. Hay ejemplos de métricas que podrían proporcionar utilidad en dominios como la atención médica, la privacidad y la seguridad nacional. La perspectiva de las métricas se basa en el entendimiento de que no podemos estar completamente seguros, por lo que medir la seguridad real frente a la seguridad necesaria es posiblemente un enfoque defendible, y las métricas descritas están diseñadas para medir la eficacia de la gestión de vulnerabilidades. Esencialmente, ¿es posible cuantificar si el plan de gestión de riesgos y los controles asociados son adecuados para el propósito en función de las amenazas identificadas, y las métricas proporcionan evidencia de que estos controles son apropiados? Además, ¿es probable que los controles implementados agreguen más valor a los ahorros que producen que al costo de su implementación? Este punto es particularmente pertinente en la era actual de la tecnología de Inteligencia Artificial que se comercializa ampliamente a nivel internacional para proteger la infraestructura digital. Con un alto precio, existe una duda sobre una comprensión basada en la evidencia del valor agregado real de tales mecanismos de seguridad y la rentabilidad de tales soluciones a la luz de los ahorros potenciales.

Jones y Ashenden adoptan un enfoque orientado a los actores para las métricas de seguridad, proporcionando una variedad de escenarios en los que las amenazas se clasifican según un método mixto cualitativo y cuantitativo. Por ejemplo, las amenazas del estado se basan en métricas como población, alfabetización y factores culturales; grupos terroristas sobre conocimientos técnicos, nivel de educación e historial de actividad; y los grupos de presión se clasifican según el número de miembros, el número de activistas y la financiación. El marco proporciona una perspectiva sobre cómo capturar medidas que basan las métricas de amenazas en información que puede respaldar la evaluación de riesgos discursiva, basada en inteligencia y con base cultural. Sin embargo, se ha informado que el enfoque de «pensar como un atacante» o perfilar al adversario fracasa incluso a nivel de estado (con mucha inversión e inteligencia). En un artículo con el presidente Obama sobre las complicaciones y fallas de la gestión de riesgos en el estado de Libia, señala que los equipos analíticos de Estados Unidos subestimaron el perfil del atacante (particularmente los aspectos socioculturales), lo que llevó a fallas en la gestión de riesgos. Asumir el conocimiento del adversario puede ser muy arriesgado, pero las métricas para perfilar posibles amenazas y ataques (mientras aceptamos explícitamente nuestras limitaciones en el conocimiento) se pueden utilizar como parte de un enfoque de modelado de amenazas como STRIDE o Attack Trees. Shostack analiza las limitaciones de la creación de perfiles de atacantes en una publicación de blog.

Si bien las métricas cuantitativas enmarcadas de esta manera parecen preferibles a las métricas cualitativas, no siempre es un proceso trivial recopilar datos medidos consistentemente, ya sea de forma manual o automatizada. Esto nos devuelve al punto en torno a la comunicación y el acuerdo en un lenguaje común en la fase de evaluación de riesgos. Si bien las métricas pueden estar limitadas en su accesibilidad y recopilación coherente, acordar los límites superior e inferior o el significado específico de las etiquetas cualitativas también proporciona un grado de valor para medir la seguridad de un sistema a través de vínculos bien definidos entre las amenazas y su relación con las vulnerabilidades. e impacto.

¿QUÉ ES LA GOBERNANZA DEL RIESGO Y POR QUÉ ES ESENCIAL?

Es probable que la evaluación de riesgos y el desarrollo de principios de mitigación para gestionar el riesgo solo sean eficaces cuando se establece una política de gobernanza coordinada y bien comunicada dentro del sistema que se gestiona. Millstone propuso tres modelos de gobernanza:

• Tecnocrático: donde la política se basa directamente en la ciencia y la evidencia de la experiencia del dominio.
• Decisionista: donde la evaluación de riesgos y la política se desarrollan utilizando insumos más allá de la ciencia. Por ejemplo, incorporando impulsores sociales y económicos.
• Transparente (inclusivo): donde el contexto para la evaluación de riesgos se considera desde el principio con aportes de la ciencia, la política, la economía y la sociedad civil. Esto desarrolla un modelo de «evaluación previa», que incluye las opiniones de las partes interesadas en general, que da forma a la evaluación de riesgos y la política de gestión posterior.

Ninguno es correcto o incorrecto. Si bien el enfoque tecnocrático puede parecer lógico para algunos propietarios de riesgos que trabajan sobre la base del razonamiento que utiliza evidencia, es absolutamente crucial para una gobernanza de riesgos eficaz incluir la visión más amplia de las partes interesadas. Identifican cuatro elementos que influyen en la percepción del riesgo:

• juicio intuitivo asociado con probabilidades y daños;
• factores contextuales que rodean las características percibidas del riesgo (por ejemplo, familiaridad) y la situación de riesgo (por ejemplo, control personal);
• asociaciones semánticas vinculadas a la fuente del riesgo, personas asociadas al riesgo y circunstancias de la situación de toma de riesgo;
• confianza y credibilidad de los actores involucrados en el debate sobre riesgos.

En última instancia, desde una perspectiva de gobernanza, cuanto más incluyente y transparente sea el desarrollo de la política, más probable será el apoyo y la aceptación del grupo de partes interesadas más amplio, incluidos los laicos y el personal operativo, para las políticas de gestión de riesgos y principios. Hay varios elementos que son clave para una gobernanza de riesgos exitosa. Sin embargo, un principio importante es garantizar que la actividad de gobernanza esté estrechamente vinculada con la actividad diaria y la toma de decisiones. Por ejemplo, al contratar personal, el proceso de recursos humanos está a la vanguardia de la actividad del reclutador. El enfoque de gobernanza del riesgo cibernético es clave para esta adopción cultural.

¿POR QUÉ ES IMPORTANTE LA EVALUACIÓN Y LA GESTIÓN DE RIESGOS?

La evaluación de riesgos comprende tres componentes básicos: estimación del riesgo, combinando la probabilidad y la severidad. La estimación del riesgo puede ser cuantitativa o cualitativa y captura el impacto esperado de los resultados. Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de los gestores de riesgos por asumir riesgos. Además, el riesgo también se puede utilizar para buscar oportunidades, por lo que el resultado puede ser aceptar y asumir el riesgo en lugar de reducirlo.

Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo, incertidumbre tangible e intangible, consecuencias de la realización del riesgo, apetito por el riesgo, capacidad organizacional para manejar el riesgo. Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo, un enfoque basado en la resiliencia, o un enfoque basado en el discurso. Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo apropiado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados indeseables.

La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición de trabajo del riesgo se basa en las consecuencias de interés para las personas, nosotros no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo temible son clasificadas como de mayor riesgo por los profanos, pero mucho más bajas por los expertos en el dominio que comprenden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como las muertes, mientras que los laicos están más influenciados por su juicio intuitivo. Por tanto, existe un desajuste entre el riesgo percibido y el real.

El libro de Schneier Beyond Fear señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. La evaluación y gestión de riesgos también consiste en presentar información de una manera transparente, comprensible y de fácil interpretación a diferentes audiencias, de modo que las partes interesadas responsables sean conscientes de los riesgos, cómo se están gestionando, quién es responsable de gestionarlos y están de acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los tomadores de decisiones, se pasará por alto el impacto de no gestionarlos y el sistema seguirá expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos del riesgo, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto.

Es probable que exista algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los tomadores de decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que las partes interesadas más amplias, como las que participan en las operaciones del sistema, tengan opiniones diferentes sobre cómo gestionar el riesgo, dado que es probable que tengan valores diferentes que están tratando de proteger. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP, pudiendo demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo.

Nuevamente, es importante destacar aquí que la evaluación de inquietudes es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos sea informada por los responsables y afectados por el riesgo, y aquellos que deben actuar de una manera que respete el plan de gestión del día a día. Esto nos devuelve a la definición práctica de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de incumplimiento de varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizativas, sociales o económicas más amplias. Para usar un ejemplo de proporcionar evidencia de que el riesgo anual de vivir cerca de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción de riesgo dado las diferencias en torno a la percepción general de los diferentes escenarios.

Ambas medidas muestran ambigüedad y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto.

¿QUÉ ES RIESGO?

El riesgo está en el corazón de la vida cotidiana. La definición de riesgo es, por tanto, un asunto muy filosófico y polémico. Los trabajos seminales de Slovic y Renn sobre la percepción del riesgo capturan los temas de amplio alcance que rodean este debate y proporcionan una definición de trabajo que abstrae la pregunta para permitirnos involucrarnos con el tema del riesgo en un nivel socio-técnico. La definición de trabajo de Renn de riesgo es la posibilidad de que las acciones o eventos humanos lleven a consecuencias que tengan un impacto en lo que los humanos valoran.

Esto fundamenta fundamentalmente el riesgo en el valor humano, que se aplica tanto al niño como al ejemplo del director ejecutivo. La definición de trabajo de impacto en los valores plantea una cuestión adicional sobre cómo definir el valor y capturar los indicadores que se pueden utilizar para medir y gestionar el riesgo. Por lo tanto, usamos la definición de trabajo de Renn de riesgo para la discusión en este KA en el contexto del riesgo cibernético. Un desafío clave con la evaluación y gestión de riesgos es hacer las suposiciones explícitas y encontrar el equilibrio entre las percepciones subjetivas del riesgo y la evidencia objetiva.

La gestión de riesgos, por otro lado, es el proceso de desarrollar y evaluar opciones para abordar los riesgos de una manera que sea aceptable para las personas cuyos valores pueden verse afectados, teniendo en cuenta que el acuerdo sobre cómo abordar el riesgo puede involucrar un espectro de tolerancia – de la aceptación al rechazo. Apoya la toma de decisiones colectiva y abarca tanto la evaluación como la gestión de riesgos, incluida la consideración de los contextos legales, sociales, organizativos y económicos en los que se evalúa el riesgo.

PRINCIPIOS DE CIBERSEGURIDAD DE CYBOK: PRINCIPIOS DE SALTZER Y SCHROEDER

Varios autores han codificado el pensamiento racional y las buenas prácticas en materia de seguridad. Los principios que describen afectan a muchos KA diferentes y, en conjunto, ayudan a desarrollar un enfoque holístico para el diseño, desarrollo y despliegue de sistemas seguros.

Principios de Saltzer y Schroeder: Los primeros principios de diseño recopilados para los controles de seguridad de ingeniería fueron enumerados por Saltzer y Schroeder en 1975. Estos fueron propuestos en el contexto de la ingeniería de sistemas operativos seguros multiusuario que respaldan las propiedades de confidencialidad para su uso en organizaciones gubernamentales y militares. Esta motivación los sesga de alguna manera, sin embargo, también han resistido la prueba del tiempo al ser aplicables al diseño de controles de seguridad de manera mucho más amplia.

ÁREAS DE CONOCIMIENTO DE CYBOK

•