Contexto:

Resolver el problema de la automatización del proceso de risk asessment requiere, primero, una comprensión del estado del arte.

Por un lado, varios trabajos han estudiado recientemente el problema de automatizar la estimación de riesgo. Sin embargo, ninguno de ellos ha ofrecido una solución completa al problema. Ciertamente, este campo de estudio requiere mayor investigación y esfuerzo académico. Por otra parte, estudios recientes han abordado el problema del cálculo de riesgo mediante un enfoque cuantitativo. La mayoría de estos trabajos están basado en modelos matemáticos que son aplicables únicamente a escenarios particulares de análisis y su alcance es muy limitado.

Finalmente, el reto de la agregación de datos provenientes de fuentes de información diversas ha sido estudiado recientemente, y dos enfoques diferentes fueron revisados: el primero, realizando la integración de los datos mediante procesos ETL (Extract, transform and load) utilizados para filtrar, depurar y homologar los datos, con el objetivo final de poder aplicar cierta lógica que produzca un resultado derivado de las múltiples fuentes de información originales; y el segundo, construyendo un modelo jerárquico basado en las relaciones de conceptos en un dominio de conocimiento, en donde las relaciones y propiedades de dichos conceptos quedan explicitadas. Este modelo se denomina ontología semántica.

• Ofrecer ARASME a los clientes de Pymes, como una solución automatizada y eficiente para ejecutar Risk Assessment de las aplicaciones web; esto les permitirá a las pymes identificar y gestionar los riesgos de manera más rápida y precisa.

Con el objetivo de evaluar la herramienta ARASME fue implementado un ambiente de pruebas a través de un entorno virtualizado, que busca emular la infraestructura de una empresa PYME, y cuya arquitectura de red se muestra a continuación:

Los resultados obtenidos con la herramienta ARASME fueron contrastados con los obtenidos en la ejecución de un risk assessment manual, realizado por la empresa de seguridad PCA Ingeniería (https://pcaingenieria.com/site/), quien evaluó con su experto de ciberseguridad, utilizando la metodología MAGERIT, el mismo ambiente virtual de pruebas. Los resultados del Risk assessment manual realizado por la empresa PCA ingeniería y los obtenidos mediante la herramienta automática ARASME, para los dos (2) escenarios de riesgo propuestos, son los siguientes:

Se observa que usando la metodología MAGERIT, en el risk assessment manual, cada riesgo es evaluado mediante un puntaje que va desde el valor de 1 (bajo riesgo) hasta 25 (máximo riesgo), mientras que usando la metodología FAIR en el risk assessment automático, el valor de riesgo calculado por la herramienta ARASME se expresa en términos monetarios ($COP) y se encuentra dentro de un rango de valores definido por una distribución de probabilidad tipo PERT [33], con un valor mínimo, máximo y más probable de pérdidas económicas. Es así, que la metodología FAIR, integrando múltiples fuentes de información, que incluyen fuentes OSINT y herramientas de escaneo, y los datos de entrada de usuario (suministrados a través de los formularios) permite asociar al riesgo un valor con contexto de negocio asociado a la organización evaluada.

Comparando los resultados se observa que el nivel de priorización de riesgo obtenido con los métodos manual y automático es exactamente el mismo, mostrando que el riesgo de mayor prioridad y, por ende, con mayor puntuación (y pérdidas monetarias), es el asociado al escenario de “Acceso no autorizado a la información”, y el de menor prioridad es el riesgo de “inyección SQL”.

Por otro lado, en el método manual y automático, se observa que la puntuación (y pérdidas monetarias) del riesgo residual es inferior al del riesgo inherente, para los dos escenarios de análisis. Este resultado tiene sentido, debido a que el riesgo residual tiene en cuenta la aplicación de controles de seguridad en la organización, reduciendo el nivel de riesgo en los escenarios analizados.