Mòdul Professional 1: Incidents de ciberseguretat - Amenaçes i riscos
Per poder entendre la disciplina de ciberseguretat caldrà primer de tot entendre de què intentem protegir l'organització i per tant a què ens enfrontem.
1 Definicions
Associades amb el concepte d'amenaça podem trobar un seguit de definicions, normalment provinents de l'anàlisi de riscos, que si les tenim ben interioritzades ens donaràn una visió més real de la gestió de les amenaces i del panorama de la ciberseguretat.
1.1 Amenaça
Una amenaça és tot allò que pugui suposar un perill per la nostra organització, i en el nostre cas impliqui el sistema IT, i pugui provocar pèrdues econònimiques derivades de qualsevol factor (pèrdua de recursos, degradació d'imatge, pèrdua de temps, pèrdua de competivitat, etc).
Per valorar la importància d'una amenaça en la nostra organització es creuarà (o multiplicarà) els seus factors de risc i impacte, que veurem tot seguit.
1.2 Llindar d'amenaça
És un valor expressat de forma econòmica € (quantitatiu) o en nivells (qualitatiu) que determina quines amenaces són assumibles per l'organització, i per tant no les tractarà, i quines són una amenaça real per a la supervivència de l'organització i s'han de gestionar.
1.3 Risc
El risc representa la probabilitat de que una amenaça es materialitzi, és a dir, esdevingui una realitat.
Aquest risc acostuma a expressar-se mitjançant un percentatge (valor quantitatiu) o nivell (valorar qualitatiu) i podem obtenir aproximacions en diferents documentacions (ISOs per exemple) o per la pròpia experiència de l'organització calculant les ocurrències de l'amenaça per any.
1.4 Impacte
L'impacte és la pèrdua que genera l'amenaça en materialitzar-se. Aquesta pèrdua s'acostuma a expressat en diners x€ o percentual respecte un actiu (valor quantitatiu) o amb una escala de nivells (valor qualitatiu). De nou, podem trobar barems en normatives i Internet o basar-nos en l'experiència pròpia o de l'empresa.
1.5 Mecanisme de seguretat
Els mecanismes de seguretat són implementacions físiques, lògiques o procedimentals que buscan reduir el risc o l'impacte d'una amenaça. Per tant tenen associats una efectivitat que reduirà el risc o impacte d'una o varies amenaces. Aquest factor de mitigació acostuma a estar expressat en percentatge.
Sobre aquests mecanismes cal destacar el cost d'implementació i manteniment, ja que de vegades no serà beneficiós implementar-los ja que el cost del mecanisme de seguretat excedirà el de l'amenaça.
1.6 Amenaça residual
L'amenaça residual és el nivell d'amenaça que resta després d'aplicar un mecanisme de seguretat per reduïr-ne l'impacte o el risc. Si aquest nivell d'amenaça residual encara està per sobre del nostre llindar d'amenaça, caldrà cerca i implementar més mecanismes de seguretat per reduïr-lo encara més.
2 Origen
Les amenaçes les podem distingit segons el seu orígen. Com veurem ràpidament, depenent d'aquest factor les amenaçes poden esdevenir més complexes de tractar.
2.1 No intencionat
Són aquelles amenaces d'origen foruit sense un causant intencionat.
Per un costat podriem incloure els desastres naturals, el deterioriament dels equipaments, condicions ambientals, etc.
També podriem incloure dins d'aquesta categoria aquells indicents que, tot i tenir un origen humà, no han estat causats amb intencionalitat. Per tant caurien dins aquesta categoria, oblits, descuits, mals hàbits, etc.
2.2 Intencionat
Aquestes són les amenaces on hi ha un origen humà i una clara intenció de dur a terme l'acció que constitueix l'amenaça. Atacs, suplantació d'identitat, ramsonware, etc.
2.3 Extern
En aquesta categoria inclouriem les amenaces que s'originen fora de l'empresa, des d'un foc o tall de subministre elèctric, fins a atacs d'empreses competidores o campanyes de phishing massives.
2.4 Intern
Finalment les amenaces internes són les que tenen un origen intern. Des d'un foc al magatzem, a una fuita d'aigua i acabant amb un atac produït per un insider. En aquest últim cas recalcar la dificultat per evitar aquest tipus d'atacs.
3 Activitats delictives
3.1 Robatori
3.2 Segrest
3.3 Infecció
3.4 Frau econòmic
3.5 Blanqueig de diners
3.6 Obtenció de informació sensible
3.7 Campanyes de spam, phishing, …
3.8 Intrusió a xarxes
4 Crim organitzat
4.1 Crime as a Service (CaaS)
4.2 Malware as a Service (MaaS)
4.3 Exemple de preus
SERVEI | PREU |
---|---|
Codis activació soft. | 4,4€ |
Intrusió a pagina web | 245€ |
Accés a xarxes socials | 114€ |
Dades de targetes de crèdit | 30€ |
Campanya de Spam (1m emails) | 8,7€ |
Atacs DDoS | 8,7€/Hora - 131€/Setmana - 1050€/Mes |
Infecció d'equip amb virus | 4,4€ |