Selección e Implementación de una Metodología de Análisis de Riesgos para una IES

Speaker 1

BENEFICIARIO

Institución de Educación Superior (IES)

INTEGRANTES

Camilo Andres Carrillo Niño

Wilson Lopez Santos

Alexander Prada Perez

AÑO

2021

PALABRAS CLAVE

IES, Riesgos, Seguridad, Magerit, MAR, Análisis, Impacto, Amenazas


CONTEXTO


Las IES - Instituciones de Educación Superior durante los últimos años se han enfrentado a una rápida transformación digital, especialmente a partir de inicios del año 2020 debido a la emergencia sanitaria causada por la enfermedad del COVID-19. Se ha identificado por parte de las instituciones un alto grado de dependencia de las plataformas tecnológicas para el proceso formativo de los estudiantes, así como la necesidad de trasladar muchos de los procesos de apoyo administrativos y financieros hacia soluciones digitales que permitan contar con aspectos como: 


  • Acceso desde fuera del campus y las diferentes sedes de la universidad a los aplicativos y plataformas.
  • Disponibilidad de la información tanto académica como administrativa. 
  • Posibilidad de asistencia virtual a clases, reuniones y turnos de trabajo 
  • Control de entregas y notas en línea 
  • Posibilidad de atender los diferentes requisitos de los estudiantes en línea, tales como certificados, estados de cuenta, inscripciones, cancelaciones y pagos 
  • Suplir los procesos administrativos a través de diferentes soluciones tecnológicas que permitan trabajo en casa.


Sin embargo, la implementación de las tecnologías y plataformas que proporcionan estas funcionalidades conlleva riesgos de carácter tecnológico y humano que deben ser mitigados oportunamente con el fin de evitar exponer no solamente la información personal de estudiantes y trabajadores sino también los estados financieros, los activos intangibles de la institución y su reputación misma. 


Se ha evidenciado que las entidades de educación superior son un objetivo de interés para los ciber atacantes pues en sus sistemas tecnológicos figura la información personal y financiera de estudiantes, responsables económicos, profesores, trabajadores y proveedores. Así mismo, los controles y seguimientos académicos a nivel de entregas, asistencias y notas pueden ser un objetivo para beneficio propio o de un tercero. 


Dados estos antecedentes es necesario iniciar, para el caso de las entidades que aún no realizan esta tarea, un proceso de análisis de riesgos que permita identificar primero las falencias criticas que pueden estar sufriendo los activos y los servidores que los alojan. Este punto de partida permitirá el establecimiento de controles oportunos y una ruta de trabajo eficaz cubriendo primero los activos más críticos y luego progresar hasta el cubrimiento total en un momento dado. Es importante anotar que dada la naturaleza cambiante y evolutiva de la tecnología no se puede tratar de un proceso estático en el tiempo sino que propenda por una mejora continua.


Además de las necesidades descritas anteriormente, otros antecedentes que soportan esta necesidad son los recientes intentos de ataque a instituciones de educación superior en el país: 


  • En abril 14 de 2021 se informó acerca de un intento de ataque informático a la Universidad de los Andes, el cual se determinó que fue un intento de ramsomware https://alderecho.org/2021/04/14/ataque-informatico-a-la-universidad-de-los-andes-que-hacer-para-protegerse/ 
  • El 28 de junio de 2021 se puso de manifiesto un ataque informático a la Universidad del Bosque, el cual dejó fuera de línea muchos de sus sistemas y plataformas durante un lapso de más de 24 horas. https://www.eltiempo.com/vida/educacion/universidad-el-bosque-sufre-ataque-informatico-599303

PROPUESTA

Este trabajo propone realizar un trabajo de análisis de riesgos de seguridad de la información sobre todos los servicios y plataformas tecnológicas de una IES - Institución de Educación Superior, haciendo uso de una metodología pública diseñada para tal fin y que permita abordar las etapas de análisis y tratamiento de forma oportuna.


Para esto, se adelantarán las siguientes tareas: 


  • Seleccionar la metodología por medio de un análisis de ventajas y desventajas de las metodologías disponibles. 
  • Identificar los activos de información, clasificarlos y valorarlos según su criticidad dentro de las operaciones de la IES.
  • Identificar y valorar las vulnerabilidades y amenazas a los que están expuestos los activos de información más críticos de la IES.
  • Identificar y valorar las medidas preventivas actuales para proteger los activos de información.
  • Identificar y valorar los riesgos a los que se encuentran expuestos los activos de información más críticos dentro de las operaciones y la infraestructura tecnológica de la IES.
  • Elaborar las recomendaciones de control necesarias para la mitigación de los riesgos identificados como más críticos.

La propuesta además contempla un análisis especial sobre las amenazas que resulta inherentes al factor humano, agregando así información que genere valor al análisis operativo de la IES. 

RESULTADOS


  • La metodología de ponderación de criterios nos permitió abordar y evaluar holísticamente diferentes opciones metodológicas para el análisis de riesgos, cada una con sus ventajas y dificultades propias. Pudimos despejar y expresar claramente los criterios que condicionaban nuestro proyecto para posteriormente comparar las diferentes opciones disponibles y así seleccionar la mejor opción.
  • La opción seleccionada fue Magerit. Esta es una opción práctica, de rápida adopción y con una curva de aprendizaje razonable que permite obtener avances en el corto plazo. Su uso permite valorar los riesgos en cuanto a dimensiones como costo, degradación, frecuencia e impacto; de manera que se pueden estimar de manera procedimental aspectos como el costo del impacto, la efectividad de las salvaguardas y la eficiencia de los controles, con lo cual es posible presentar datos y hechos concretos que fundamentan la percepción de los riesgos y respaldan la efectividad de los controles. Este ejercicio adquiere mayor importancia ante aspectos como la justificación de los costos y esfuerzos asociados al  análisis y gestión de los riesgos en seguridad de la información y para cuantificar los resultados de dichos esfuerzos.
  • A pesar de las diferencias en cuanto a tamaño, funcionamiento, misión y visión; las instituciones de educación superior en Colombia comparten un conjunto de amenazas en cuanto a seguridad de la información que podrían ser percibidas como riesgos sectoriales y, por ende, este estudio y otros en el sector podrían aportar conocimiento útil para construir una base de conocimiento y un esfuerzo común de protección que apalanque la ciberseguridad del sistema de educación superior en el país.
  • Algunos de los riesgos más severos se ubican en el extremo del espectro que corresponde al recurso humano, de manera que los controles, medidas y políticas, más allá de las restricciones tecnológicas, deben enfocarse en tareas de entrenamiento, concienciación, proactividad y compromiso de los colaboradores y usuarios de las instituciones.
  • Una dificultad importante a sopesar en el desarrollo de este trabajo, así como en otros proyectos de análisis de riesgos, es la convicción por parte de las organizaciones y algunos de sus directivos de que la seguridad de la información reposa exclusivamente en la implementación apresurada de soluciones y configuraciones tecnológicas sin tener en cuenta un análisis de riesgos que priorice los controles a implementar y que de origen a un sistema de gestión de seguridad de la información que incluya controles procedimentales y metodológicos más allá de las herramientas tecnológicas.
  • Otra tendencia errada que pudimos identificar es la concepción de que los riesgos en seguridad se pueden mitigar completamente a través de la ejecución de pruebas de penetración sobre las plataformas y sistemas de la organización. A pesar de que esta práctica puede arrojar alguna noción sobre la idoneidad de las soluciones técnicas configuradas, sin un análisis de riesgos con sus consiguientes recomendaciones y mitigaciones, estas pruebas no acercan la organización hacia ningún objetivo ni permiten medir la efectividad de un conjunto concreto de medidas y controles. Es necesario encausar los esfuerzos primero hacia el análisis de riesgos, para luego establecer los controles más pertinentes y posteriormente determinar un plan de pruebas y verificaciones que ayude a obtener métricas de efectividad y evolución de las actividades de protección, procurando un entorno de trabajo cuantificable y medible.


(*) La imagen anexa es tomada de: https://pixabay.com/photos/risk-word-letters-boggle-game-1945683/

MÁS DETALLES