Aplicar la Metodología OCTAVE de Identificación de Amenazas y Vulnerabilidades en una Entidad Bancaria

Speaker 1

BENEFICIARIO

Entidades Bancarias

INTEGRANTES

  • Astrid Estefanía Pacheco Fernández
  • Luis Ignacio Suarez Santamaría
  • Juan Hover González Chacón


AÑO

2021

PALABRAS CLAVE

Metodología, OCTAVE, Riesgos, Amenazas, Confidencialidad, Disponibilidad, Integridad, Proceso


CONTEXTO

El CSIRT de Asobancaria (Equipo de apoyo para la respuesta a incidentes de Ciberseguridad para el sector financiero colombiano), ha presentado documentos de advertencia sobre el crecimiento de los ataques y delitos a través de los canales virtuales. Es así como en su informe de Cibercriminalidad de diciembre del 2020, manifiesta cómo los delincuentes también han pasado a una operación virtual, ante las limitaciones de movilidad que el aislamiento y la pandemia han determinado, para la población en general. 

A partir del informe se puede observar un crecimiento más pronunciado en actividades ilícitas durante el periodo de pandemia que en años anteriores. Además, en general, hay un gran crecimiento en estos ataques cuando se compara el año 2019 contra el 2020.

Teniendo en cuenta lo anterior, es de gran importancia tener una correcta identificación y tratamiento de los riesgos asociados a las amenazas y vulnerabilidades más importantes de una entidad bancaria, con el fin de realizar un correcto análisis, teniendo en cuenta los resultados que generan herramientas de protección, así como el conocimiento del negocio y sus riesgos asociados, desde el punto de vista de la organización.

PROPUESTA

Implementación de una metodología de identificación de amenazas y vulnerabilidades en una entidad bancaria, para elaborar y aplicar un plan de gestión de las brechas encontradas. A este respecto, se plantea que la metodología a ser aplicada sea Octave (Operationally Critical Threat Asset, and Vulnerability Evaluation), puesto que incluye la vista organizacional y operativa del negocio, para aprovechar el conocimiento y experiencia de la misma institución, lo cual difícilmente puede aportar un consultor externo.  Así mismo, es recomendable efectuar la evaluación propuesta a compañías donde el nivel de seguridad y continuidad configurado corresponde a una solución general que, si bien se fundamenta en buenas prácticas, desconoce las características propias de la organización, operación y tecnología que se emplea para ofrecer el servicio, lo cual puede generar vacíos, que de materializarse podrían ocasionar efectos devastadores legales, financieros y reputacionales.

RESULTADOS

Durante el desarrollo de la metodología OCTAVE se evidenciaron los siguientes resultados:


  • La clave fundamental de la metodología está enfocada en las personas entrevistadas en los workshops, ya que son las que dan el contexto y punto de partida sobre los activos claves de información y desde dicha información, se fundamenta cómo continuar con el desarrollo de la metodología.
  • Adelantar workshop con personas en diferentes niveles de la organización ayudó a identificar riesgos que no estaban contemplados en la evaluación actual de riegos, así mismo, sirvió para solucionar y ajustar de inmediato algunos componentes.
  • Al combinar los workshops con la infraestructura y tecnología, se identifican vulnerabilidades y amenazas en distintas áreas de las cuales no se tenía trazabilidad anteriormente.
  • Al hacer un análisis de riesgos multidimensional, es decir, definir los riesgos con base en el conocimiento del equipo de trabajo, al igual que su entendimiento de los escenarios de intrusión, activos expuestos, impacto sobre el negocio, amenazas, prácticas de protección existentes y faltantes y la probabilidad de materialización de dichas amenazas, se logra identificar con mayor facilidad en donde son requeridos más esfuerzos en tiempo, costos y asignación de personal para gestionar dichos riesgos.
  • Se identificaron algunos vacíos en la metodología asociados a herramientas y plantillas que sirvan de referencia para adelantar los workshops y la evaluación de riesgos. Estas herramientas contribuirían a que el desarrollo de la evaluación se realice de forma más rápida y fluida, ya que al inicio se encontraron algunas dificultades en cómo desarrollar los workshops con el personal entrevistado.

MÁS DETALLES