Guia análsis de riesgos

Introducción

Esta guía se enfoca en proporcionar un marco sólido para comprender, evaluar y abordar el riesgo asociado a potenciales amenazas que enfrentan activistas y grupos que luchan por la justicia y la equidad. Uno de sus beneficios, es brindar consejos para balancear la sensación de peligro en el uso de Internet y las tecnologías digitales. Esta sensación puede ir desde la ausencia completa de peligro hasta el sentimiento abrumador de que toda actividad digital es inherentemente peligrosa. Buscamos razonar y evaluar nuestras circunstancias para determinar de forma realista nuestros riesgos digitales.

Partimos por reconocer que el análisis de riesgos no es algo exclusivo de la seguridad digital. De hecho, comúnmente realizamos análisis de riesgos en nuestra vida diaria; por ejemplo: al cruzar la calle, decidimos cuándo es seguro hacerlo basándonos en la cantidad de tráfico y la velocidad de los autos. Así mismo, al planificar un viaje, consideramos el clima y las posibles demoras que podríamos enfrentar.

Así como evaluamos el lado más seguro de la calle para caminar, en el mundo digital también evaluamos y tomamos decisiones sobre cómo proteger nuestra información y nuestra identidad en línea.

¿Por qué es importante?

Antes de adoptar medidas o estrategias de seguridad digital, es fundamental dimensionar la importancia del análisis de riesgos, basado en lo siguiente:

  • Priorización de amenazas para desarrollar políticas y protocolos: El análisis de riesgos proporciona una comprensión detallada de las distintas amenazas. Esto permite el desarrollo de políticas y protocolos informados. Al identificar y comprender las amenazas más críticas y sus contextos, es posible asignar recursos y diseñar estrategias de seguridad más efectivas y adaptadas a las circunstancias.
  • Diseño de Medidas Efectivas, Razonables y Alcanzables: Al comprender la naturaleza y la gravedad de las amenazas, es posible diseñar medidas que sean efectivas. Al tener en cuenta la realidad y la capacidad de implementación, se pueden diseñar medidas alcanzables y realistas, evitando medidas que sean impracticables o excesivamente costosas.
  • Optimización de recursos limitados: Activistas y personas defensoras a menudo operan con recursos limitados. El análisis de riesgos ayuda a asignar estos recursos de manera eficiente para abordar las amenazas más críticas y maximizar el impacto de las medidas de seguridad.

  • Gestión efectiva del riesgo y la incertidumbre: La gestión del riesgo es esencial para evaluar y abordar posibles estrategias ante las amenazas de manera efectiva. Permite desarrollar estrategias proactivas para mitigar, transferir o evitar riesgos, a la vez que planificar respuestas y fortalecer la resiliencia frente a la incertidumbre.

Conceptos básicos

Diferencia entre amenazas, vulnerabilidades y riesgos

Amenazas 

Las amenazas son eventos o circunstancias potenciales que pueden causar daño a los recursos  críticos de una organización o individuo. Estos incluyen los dispositivos y cuentas en línea en donde se encuentra la información sensible. Las amenazas varían entre roles, identidades y causas defendidas; además, pueden ser internas (dentro de una organización) o externas e incluir ataques digitales, desastres naturales, robo de información, entre otros.

Vulnerabilidades

Las vulnerabilidades son debilidades en los sistemas, procesos, prácticas o hábitos que podrían ser explotadas, es decir, aprovechadas por las amenazas. Pueden relacionarse con el software, hardware, políticas de seguridad o con el comportamiento humano (incluído el bienestar psicoemocional). Identificar y corregir las vulnerabilidades es fundamental para mitigar el riesgo de que las amenazas se materialicen.

Riesgos

Los riesgos son la combinación de la probabilidad de que ocurra una amenaza y la gravedad del impacto que tendría sobre la información y la persona o grupo objetivo, si ocurre un incidente de seguridad digital o eres blanco de un ataque digital. El análisis de riesgos busca evaluar y priorizar estos riesgos para aplicar de manera efectiva y eficiente medidas de seguridad.

Análisis de riesgos y modelado de amenazas

Análisis de Riesgos

El análisis de riesgos es un proceso que implica la identificación y evaluación del riesgo asociado a las amenazas en el ámbito digital. Consiste en identificar vulnerabilidades, activos valiosos, amenazas existentes y potenciales. Así como evaluar el impacto y la probabilidad de que ocurran. El objetivo es tomar decisiones informadas para mitigar o eliminar estos riesgos y conseguir un entorno más seguro.

Modelado de Amenazas

El modelado de amenazas es un proceso que se centra en identificar y comprender las posibles amenazas a la seguridad de los sistemas, aplicaciones y datos. Consiste en crear modelos que describen cómo un atacante podría comprometer la seguridad y privacidad. Estos modelos ayudan a anticipar y comprender las tácticas y técnicas que los atacantes podrían emplear, permitiendo así desarrollar contramedidas.

Ciclo de Análisis de Riesgos y Modelado de Amenazas

El ciclo de análisis de riesgos y modelado de amenazas es un proceso sistemático y continuo que permite evaluar la seguridad digital y establecer medidas para mitigar riesgos.

Aunque las siguientes son actividades que forman parte del ciclo de riesgos y amenazas, en esta guía nos enfocaremos en la estimación del riesgo.

Identificación de elementos a proteger

Identifica los activos digitales (equipos, cuentas y dispositivos extraíbles en los que se deposite información) y toda aquella información sensible que requiera protección. Puede incluir datos privados, comunicaciones, documentos, contactos, diarios, entre otros. Por ejemplo, un periodista puede identificar como activos críticos sus fuentes de información, archivos de investigación y comunicaciones con otras fuentes; también puede considerar su computadora portátil, su teléfono móvil y su conexión a Internet.

Identificación de amenazas

Identifica y analiza las posibles amenazas que podrían afectar los activos críticos. Estas amenazas pueden provenir de agentes externos o internos y podrían incluir ataques digitales como: vigilancia, robo de información, etc. Un activista puede identificar como amenazas la vigilancia estatal, acciones digitales por parte de grupos adversarios (como grupos antiderechos) y el phishing dirigido a robar información confidencial.

Evaluación de vulnerabilidades

Analiza y evalúa las vulnerabilidades presentes en sistemas, aplicaciones y prácticas de seguridad. Estas vulnerabilidades son puntos débiles que podrían ser explotados por las amenazas. Por ejemplo, un sitio web que no ha sido actualizado con las últimas correcciones de seguridad o un software anticuado representan vulnerabilidades que podrían ser explotadas por un atacante.

Análisis de impacto

Evalúa los efectos adversos que podrían surgir si las amenazas explotan las vulnerabilidades identificadas. Considera el impacto en la confidencialidad, integridad, disponibilidad y reputación de los activos. Por ejemplo, si un atacante logra acceder a datos personales de activistas, podría tener un impacto grave en la seguridad y la confianza de las personas en la organización o el movimiento.

Estimación de riesgos

Consiste en calcular el riesgo asociado con cada amenaza, considerando la probabilidad de ocurrencia y el impacto potencial. Sirve para priorizar los riesgos en función de su gravedad y urgencia. Así, un análisis puede determinar que la probabilidad de un ataque de phishing exitoso es alta y que el impacto sería grave si se comprometen las credenciales de acceso a datos sensibles.

Gestión del riesgo

Estrategias y medidas para gestionar los riesgos identificados:

  • Mitigación: Implica la implementación de medidas y controles para reducir la probabilidad de que ocurra una amenaza o para minimizar su impacto en caso de que ocurra. Por ejemplo, para mitigar el riesgo de un ataque de malware, se pueden implementar soluciones de antivirus actualizadas y realizar escaneos periódicos en todos los sistemas. 
  • Transferencia: La transferencia del riesgo implica el desplazamiento de la responsabilidad del riesgo a otra entidad. Puede lograrse a través de contratos, seguros o alianzas con organizaciones de seguridad digital para la sociedad civil. (Como el área de seguridad digital de SocialTIC). Otro ejemplo: una organización podría contratar un seguro cibernético para transferir parte del riesgo financiero asociado con una filtración de datos.
  • Aceptación: Aceptar el riesgo implica reconocer que el riesgo existe y que, por diversas razones, no se pueden aplicar medidas adicionales para mitigarlo. Así, si la causa lo amerita, se acepta el riesgo y se preparan medidas en caso de que suceda. Por ejemplo, se puede aceptar el riesgo de que un ataque altamente sofisticado pueda ocurrir, ya que las medidas de seguridad actuales son adecuadas y agregar más capas puede estar fuera del alcance en términos de costo y complejidad. 
  • Evitación: La evitación del riesgo implica tomar medidas para eliminar la amenaza o la vulnerabilidad, evitando así completamente la posibilidad de que ocurra el riesgo. Si una aplicación tiene una vulnerabilidad conocida que no se puede corregir debido a limitaciones tecnológicas, evitar la utilización de esa aplicación puede ser una estrategia de evitación. 

Monitoreo y Revisión

Monitorea continuamente la efectividad de las medidas de mitigación y revisa regularmente el análisis de riesgos para adaptarse a cambios en el entorno digital y en las amenazas. Tras implementar medidas de seguridad, se deben programar revisiones regulares para evaluar su eficacia y realizar ajustes necesarios.

Estimación del riesgo

Se puede decir que la estimación del riesgo es la meta del análisis de riesgos. Esta parte está dirigida a asignar una valoración cuantitativa o cualitativa a los riesgos identificados, considerando la probabilidad de ocurrencia y el impacto potencial. La estimación está compuesta por dos elementos:

  1. Probabilidad: La probabilidad se refiere a la posibilidad de que un riesgo se materialice, influenciada por el entorno, prácticas y comportamientos individuales o grupales. También está ligada a la capacidad de quienes representan la amenaza, especialmente en relación con el individuo o grupo en riesgo. La probabilidad tiene en cuenta el contexto y las prácticas, las capacidades de los actores adversarios, y los antecedentes personales y referenciales.
  2. Impacto: El impacto se refiere a las consecuencias que se producen cuando una amenaza se materializa. Representa el daño o el efecto resultante de un evento no deseado y puede afectar a un individuo, un grupo, una red o un movimiento en su conjunto. Este aspecto contempla las consecuencias de la amenaza y el alcance del daño. El impacto puede ser en torno a información comprometida, reputación, operatividad, seguridad física, seguridad física, comunidad y cohesión social o hasta el acceso a ciertos servicios.

Puedes utilizar métodos cualitativos o cuantitativos para estimar el riesgo. En la evaluación cualitativa se utilizan escalas para calificar la probabilidad y el impacto; escalas como bajo, medio, alto. Por otra parte, en la evaluación cuantitativa se asignan valores numéricos que, aplicando una operación matemática, arroja un resultado para priorizar las amenazas con base en cuán alto sea el riesgo obtenido.

Veamos un ejemplo:

Amenaza

Probabilidad

Impacto

Robo de mi dispositivo móvil durante un desplazamiento
(en transporte público o en la calle)

Alta

Medio

Acceso no autorizado a mi cuenta de correo para el robo de información

Baja

Alto

Robo de teléfono en una detención arbitraria por X grupo en Z actividad

Media

Alto

Con esta estimación cualitativa puede ser sencillo pasar a una estimación cuantitativa, la cual ayudará a priorizar los riesgos a atender. Veamos:

Para calcular el riesgo y asignar una prioridad podemos asignar valores de la siguiente manera:

Bajo = 1
Medio = 2
Alto = 3

La operación matemática que determinará el nivel del riesgo será: 

riesgo = impacto * probabilidad

 Y la tabla anterior puede quedar de la siguiente manera.

El análisis de riesgo puede ser tan complejo dependiendo de la cantidad de variables que queramos incorporar. En algunos casos se incorpora la capacidad de respuesta como una variable a considerar, la cual nos permite identificar si tenemos capacidades para disminuir el riesgo de una amenaza.

Los retos

Hay varios retos asociados a la estimación del riesgo. El primer reto podría identificarse como la incertidumbre intrínseca, pues la mayoría de las estimaciones están basadas en información histórica y datos disponibles en el momento de la evaluación. Sin embargo, el futuro es incierto y las condiciones pueden cambiar rápidamente, lo que hace que las predicciones sean difíciles de precisar. Aún más, se puede sobreestimar o subestimar algunas amenazas cuando no se cuenta con información disponible.

El segundo reto está en la cadena de amenazas y consecuencias secundarias. Identificar la secuencia exacta de un ataque y prever todas las posibles consecuencias secundarias puede ser complejo. Así, un incidente puede desencadenar eventos que resulten en daños significativos y difíciles de prever.

Dependiendo de la capacidad de estimar de forma realista, la efectividad de la gestión del riesgo puede variar. Una estimación realista implica reconocer la incertidumbre y la complejidad del entorno digital, considerar múltiples escenarios y adaptación a circunstancias y amenazas emergentes. Aunque nunca puede ser totalmente precisa, una estimación realista y fundamentada es esencial para adoptar medidas eficaces.

Siguientes pasos:

Te invitamos a:

  • Realizar un análisis de riesgos periódico y exhaustivo en tu entorno digital.
  • Utilizar el modelado de amenazas para anticipar posibles escenarios de amenazas y fortalecer tus defensas.
  • Compartir esta guía y fomentar la conciencia sobre la importancia del análisis de riesgos y modelado de amenazas en la comunidad de activistas y personas defensoras de derechos humanos.

5 ámbitos de seguridad digital

Ahora que hemos visto cómo evaluar los riesgos y cómo atenderlos, es momento de ahondar en los 5 ámbitos de seguridad digital, las medidas de prevención y las herramientas que te acompañarán. Puedes elegir en dónde necesitas las medidas más fuertes de seguridad y seguir las recomendaciones.

1. Dispositivos:  Mantener tus dispositivos actualizados y seguros es crucial para proteger la información sensible relacionada con las causas que defiendes.

2. Seguridad de las comunicaciones:  Las comunicaciones seguras son la base de la confianza en línea. El cifrado de extremo a extremo y la autenticación en dos pasos garantizan que nuestros mensajes y conversaciones estén protegidos.

3. Cuentas en Línea: Nuestras cuentas en línea son tesoros de información personal y a menudo muestran información asociada con nuestro activismo o afinidades políticas. Asegurarlas es esencial para proteger nuestra privacidad.
4. Clasificación y resguardo de información: Nuestra información es valiosa y debe ser tratada como tal. Utilizar técnicas de cifrado para resguardar datos sensibles es como colocarlos bajo llave en un mundo digital.
5. Sitios Web: Si administras un sitio web, su seguridad es de suma importancia. Asegúrate de que tu sitio esté protegido contra posibles amenazas y ataques con el fin de garantizar la integridad y la confianza de tus visitantes.

Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.

Tabla de Contenido