ISACA Journal
Volume 5, 2,017 

Translated Articles 

La ventana de AREM. Una estrategia para anticipar los riesgos y amenazas en ciberseguridad empresarial 

Jeimy J. Cano, Ph.D., CFC, CFE, CMAS 

La necesidad permanente de las organizaciones de anticiparse a sus similares y de explorar nuevas oportunidades en entornos inestables, es una ocasión de particular interés de los negocios que buscan instalarse en posiciones privilegiadas en el contexto de una sociedad digitalmente modificada. En este ejercicio de flexibilidad conceptual y práctica, las empresas saben que se exponen a riesgos conocidos y desconocidos, a temáticas que deben resolver en tiempo real y sobremanera a superar sus propios temores y saberes para motivar los cambios requeridos en este contexto.1

Considerando lo anterior, se hace necesario comprender en detalle la incertidumbre estructural del entorno, de tal forma que se establezcan alternativas concretas para anticipar riesgos claves, donde la organización adelante las acciones relevantes que le permitan tener el margen de un error calculado, donde se capitalicen los aprendizajes requeridos y avancen con la celeridad que se demanda en un agitado e incierto mercado digitalmente modificado.2

Por tanto, al revisar y analizar las prácticas y estándares de gestión de riesgos, se encuentra que estas fueron concebidas y actualizadas siguiendo los derroteros de un contexto medianamente estable y poco cambiante. Frente a esta realidad, la Ventana de AREM3 (acrómimo de amenzas y riegos emergentes), instrumento estratégico y táctico desarrollado por este autor en 2014, permite una actualización de los maduros marcos de gestión de riesgos, sacando la práctica de su zona cómoda actual, devolviendo la dinámica del ejercicio de riesgos a la realidad cambiante e inesperada como la actual.

Es claro que no será posible anticiparse a todos los riesgos que se presenten en el ambiente, pero si será viable establecer una mirada sistémica de los mismos, para lo cual la Ventana de AREM, estará asistiendo el ejercicio de revisión y actualización de la lectura de la incertidumbre del entorno, este instrumento no invalida la práctica actual de riesgos, sino que la potencia desde la dinámica de un entendimiento de los riesgos como factor clave en la toma de decisiones donde se funden tanto las probabilidades como las posibilidades.

En este sentido, la aplicación de este instrumento probado en varias organizaciones, permite realizar un ejercicio de construcción conjunta de significados, alrededor de situaciones poco conocidas, como quiera que los participantes de distintas áreas en una empresa pueden establecer una lectura complementaria de los riesgos que son naturalmente definidos siguiendo los estándares disponibles a la fecha p.e. ISO 31000 o AS/NZ 4360.

En consecuencia, se presenta este documento como una aplicación de la Ventana de AREM en el contexto de la ciberseguridad empresarial, como una herramienta que apalanca los retos de anticipación y defensa de las organizaciones, ofreciendo un lenguaje natural y sencillo para construir una distinción enriquecida de riesgos en esta temática, que no sólo hable de aquellos conocidos, sino de los latentes, focales y emergentes, como fundamento de una lectura holística del reto que supone ser parte de un ecosistema digital en la actualidad.

La Ventana de AREM

La ventana de AREM es un instrumento estratégico y táctico que repiensa la gestión de riesgos en las organizaciones. Su fundamento establece una lectura sistémica del entorno donde no sólo se advierten los riesgos conocidos, sino que se introducen los latentes, los focales y los emergentes.

Esta herramienta (figura 1) reconociendo las virtudes de las buenas prácticas de riesgos vigentes, establece una nuevo paradigma en la gestión de riesgos, que superando las matrices de riesgo/control estáticas y las consabidas valoraciones de probabilidades, introduce un ejercicio dinámico de riesgos que sigue la dinámica del entorno, introduciendo las posibilidades como elemento clave dentro de los análisis previstos y la articulación de los riesgos propios del sector analizado (riesgo focal), como lectura afinada de las expectativas de los ejecutivos y la gestión concreta de la organización.

Los riesgos conocidos, son aquellos que son parte de la práctica tradicional de la aplicación de los estándares de gestión de riesgos, los cuales son valorados y analizados siguiendo la lógica del riesgo inherente, riesgo de exposición y riesgo residual. Para cada uno de estos riesgos deben existir controles definidos, cuya aplicación y efectividad deben ser evaluados habida cuenta que requieren un cumplimiento formal de los mismos para poder disminuir el incierto que estos provocan a la organización.

Los riesgos latentes, son aquellos que se sabe que están en el entorno y no son conocidos por la organización. Los analistas de riesgos entrenados saben qué forma tienen, cómo se pueden materializar, pero no se cuenta a la fecha con controles específicos para su tratamiento, dejando sólo margen para establecer acciones alternativas que permitan mitigar los efectos de su materialización. Estos son los riesgos que con mayor énfasis se deben estudiar para avanzar rápidamente en su tratamiento más efectivo.

Los riesgos focales, son aquellos que son conocidos por la organización y desconocidos por el entorno, dado que sólo afecta a una industria particular, por lo que es clave contar con estadísticas o información confiable de la dinámica del mismo en dicha industria, si es posible. Este tipo de riesgos, se analizan en conjunto con los latentes, pues los focales pueden tener características de éstos últimos, generando una correlación que permita asistir la relevancia del mismo según la inestabilidad o efectos que se tengan identificados.

Finalmente, y no menos importante, los riesgos emergentes, los cuales, configuran un escenario de posibilidades y oportunidades para concretar acciones contrarias contra la organización desde diferentes aproximaciones. Estos riesgos que desconoce el entorno y la organización, son tendencias que se advierten en entorno, las cuales se identifican como avances novedosos, reportes de fallas inéditas o cambios tecnológicos discontinuos que alteran un mercado o la industria.

Siguiendo esta sugerencia metodológica, se detalla a continuación un ejercicio de anticipación y defensa en el contexto de la ciberseguridad empresarial, que consciente de las limitaciones propias del desarrollo del ejercicio, las cuales responden a la correlación de la información disponible para detallar los aspectos relevantes en el análisis y las diferentes aproximaciones de los participantes del ejercicio, revela algunas alertas de interés para los profesionales de la ciberseguridad y los auditores de tecnología de información en las organizaciones.

Aplicando La Ventana de AREM a la ciberseguridad empresarial

Si entendemos que la ciberseguridad empresarial es “una capacidad empresarial definida para defender y anticipar las amenazas digitales propias del ecosistema digital donde la organización opera, con el fin de proteger y asegurar la resiliencia de las operaciones y la reputación de la empresa”4 estamos ante un reto de interés e impacto para los ejecutivos de la organización en el contexto de un mundo digitalmente modificado.

En este escenario, la ciberseguridad empresarial establece los nuevos normales de gobierno de las organizaciones del siglo XXI, como quiera que comprender y anticipar las amenazas digitales, no solamente implica la incorporación de tecnologías de información relevantes, sino la capacidad de explorar y reconocer nuevos vectores de ataque de forma previa, con el fin de preparar a la empresa frente a fenómenos hasta el momento ignorados.5

Por tanto, la Ventana de AREM, posibilita un análisis en contexto, donde las posibilidades y las probabilidades se conectan para contar con un espectro de revisión, que inicia en un análisis de posibilidades, las cuales se van decantando considerando las dinámicas emergentes de los negocios, para luego diagnosticar y valorar la relevancia de las mismas, y así contar con una vista enriquecida de riesgos y amenazas que permita mantener atentos a todos los ejecutivos y responsables por el aseguramiento de los activos digitales de la empresa.

Para aplicar este instrumento un analista de riesgos recolecta y analiza durante un semestre o un año, material suficiente de tendencias visibles y emergentes sobre nuevas y posibles amenazas o vectores de ataque, las cuales valora y prioriza de acuerdo con su nivel de impacto en la organización, novedad del ataque y capacidad de respuesta actual de la empresa. Basado en este resultado, establece una lista de posibles amenazas, las cuales serán valoradas por los participantes del taller asistido con la Ventana de AREM.

Cada participante recibe una hoja con el resultado del ejercicio del analista y los cuatro cuadrantes de la Ventana de AREM (Riesgos conocidos, latentes, focales y emergentes). Luego procede cada uno de los invitados al ejercicio a ubicar dichas amenazas en cada uno de los cuadrantes de la siguiente forma:

  • Conocidos—La amenaza se ha conversado o comunicado dentro de la organización y se conoce de su existencia.
  • Latente—Se ha enterado de que tal amenaza existe y que no sabe si la organización tiene alguna estrategia de mitigación.
  • Focales—La amenaza ya se visto o materializado en la industria particular a la que pertenece la empresa.
  • Emergente—Nunca había escuchado de tal amenaza.

Luego se compilan las respuestas de cada uno participantes, identificando las mayores coincidencias en las ubicaciones en los diferentes cuadrantes, para luego afinarse con el conocimiento experto del analista que configuró el ejercicio inicial y basado en las realidades concretas de la empresa y sus niveles de aseguramiento actuales.

El entregable final es una vista sistémica de los riesgos (cuatro cuadrantes) claves a tener en cuenta, enriquecida con la vista de los participantes de la empresa y los analistas de riesgos y amenazas en el contexto de la revisión de la ciberseguridad empresarial. Esto supone que la vista de riesgos ciber, deja de ser una aproximación eminentemente técnica, para convertirse en una construcción colectiva con las áreas del negocio.

En un ejercicio de la aplicación de la Ventana de AREM, realizado en una empresa de energía latinoamericana, de forma consecutiva durante los años 2015 a 2017, se consolidaron los siguientes resultados:

Este resultado ilustrado en la figura 2 se incorpora a la visión de riesgos del área de TI e informa los ejecutivos de primer nivel, de forma sencilla y holística, los retos claves que supone la materialización de estas tendencias en la organización, teniendo claras las acciones que se deben adelantar según el cuadrante de ubicación de cada una de ellas.

De igual forma, notifica a los mecanismos de monitoreo y control tecnológicos (por ejemplo servicios de SOC—security operation center) de los nuevos patrones de ataque que se identifican en la empresa, para iniciar una revisión en profundidad de los mismos y anticipar estrategias de mitigación o control que puedan ser implementadas de forma previa.

Como se puede observar los resultados dan cuenta de una variedad de retos claves que la organización debe enfrentar y superar, no sólo asegurando los riesgos conocidos, que posiblemente son parte del ejercicio de gestión de riesgos tradicional, sino emprender toda una estrategia de gestión que permita atender la variedad de inestabilidades presentes e identificadas por los participantes y que debe ser compartida con las diferentes áreas responsables y todos los involucrados.

Revisando los resultados de la Ventana de AREM

Con el resultado del ejercicio se comunica a las partes interesadas la vista sistémica de los riesgos que se tienen identificados a la fecha y que son relevantes para la gestión y gobierno de la organización en el contexto de la ciberseguridad empresarial. Esta lectura mejorada de los riesgos y amenazas, mantiene en foco a la organización frente a eventos que suceden en el entorno sabiendo las acciones que se pueden adelantar según el tipo de riesgo o amenaza que se pueda materializar.

Es importante anotar que, al realizarse nuevamente el ejercicio, se debe evaluar el resultado anterior para ver si a la luz de lo que se tiene a la fecha en la empresa, es posible mover riesgos de una categoria a otro. Por lo general, algunos riesgos emergentes se movilizan al área de latentes, habida cuenta que se ha podido caracterizar mejor el mismo y es posible diseñar estrategias de mitigación que controlen los posibles efectos de su materialización.

Así las cosas, la gestión de los riesgos conocidos deja de ser un ejercicio estático que se hace una vez al año y pasa a convertirse en una visualización sistémica, que permiten expandir el horizonte de entendimiento de la organización respecto de sus retos en el entorno y mejorar la capacidad de anticipación y contención que ésta pueda tener respecto de las inestabilidades e incertidumbre propia de su ambiente de operaciones.

Los resultados consolidados que se presentan en la figura 2, sugieren aseguramiento de prácticas de ciberseguridad industrial (asociadas con estándares de ISA/IEC 62443), fortalecimiento de la gestión táctica de la seguridad de la información (basados en normas y estándares ISO o semejantes) y el desarrollo de capacidades de monitoreo activo del entorno (asistidos por servicios de SOC tradicional o cognitivo) que le permita a la organización crear ventanas de vulnerabilidad conocidas, donde debe operar con prevención, y atender el cierre de brechas que se puedan identificar en cada uno de los componentes propios de la ciberseguridad empresarial.

Conclusiones

La Ventana de AREM permite una evolución natural de la gestión de riesgos en las organizaciones. Su uso para reconocer y enfrentar los retos de la ciberseguridad empresarial, permiten explorar condiciones relevantes en el entorno de la empresa, así como en su participación en el ecosistema digital.

En consecuencia, comprender la dinámica actual de las amenazas, los recursos emergentes de computación basados en inteligencia artificial, los ejercicios de correlación de los servicios de “los centros de operaciones de seguridad” y las estrategias de inteligencia activa disponibles a fecha, hablan de una necesidad de avanzar hacia una gestión y gobierno de los riesgos de ciberseguridad empresarial distinta: basada más en las posibilidades que en las probabilidades.

En razón con lo anterior, la Ventana de AREM, es una herramienta de apoyo para la gestión de riesgos y amenazas, particularmente en ciberseguridad empresarial, como quiera que su aplicación permite vincular diversos puntos de vista para desarrollar vistas enriquecidas de los análisis actuales sobre los impactos de agentes contrarios que se identifican en su entorno de operaciones. Adicionalmente, introduce la exigencia de mirar todo el tiempo las posibilidades, las cuales mantiene en foco a través de los riesgos emergentes.

Si bien la aplicación de esta herramienta ha efectuado en pocas organizaciones, sus resultados formulan y habilitan reflexiones antes inexistentes, que permiten una vista integral de los retos que las amenazas identificadas establecen, así como las acciones que se requieren para movilizar la organización de forma anticipada y prepararse ante los eventuales inciertos que una materialización de riesgos latentes, focales o emergentes pueda ocasionar en la dinámica de negocio de la empresa afectada.

Notas Final

1 Mocker, M.; P. Weil; S. Woerner; “Revisiting Complexity in the Digital Age,” MIT Sloan Management Review, 17 June 2014, http://sloanreview.mit.edu/article/revisiting-complexity-in-the-digital-age/
2 Charan, R.; The Attacker’s Advantage: Turning Uncertainty Into Breakthrough Opportunities, Perseus Books Group, USA, 2015
3 Cano, J.; “La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre,” Minutes of the XIII Spanish Conference on Cryptology and Information Security, 5 September 2014, http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
4 Cano, J.; “Ciberseguridad empresarial,” IT-Insecurity blog, 7 September 2015, http://insecurityit.blogspot.com.co/2015/09/ciberseguridad-empresarial-primeras.html
5 EY, Cyber Program Management: Identifying Ways to Get Ahead of Cybercrime, October 2014, www.ey.com/Publication/vwLUAssets/EY-cyber-program-management/$FILE/EY-cyber-program-management.pdf

Jeimy J. Cano, Ph.D., CFC, CFE, CMAS
Es profesor asociado en la Escuela de Administración de la Universidad del Rosario (Bogota, Columbia) con más de 20 años de experiencia en cuenta, seguridad de la información, privacidad, forensia digital, sistemas de información y delincuencia digital.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.