La gestión de riesgos es uno de los procesos de ciberseguridad más importantes dentro de cualquier organización. Diría incluso que es el proceso más crítico, porque la mayoría de las decisiones que se toman para implantar, ejecutar y gestionar otros procesos de ciberseguridad dependen en gran medida de los resultados de la gestión de riesgos, concretamente de la evaluación de riesgos.

Para esta toma de decisiones, es importante que las organizaciones manejen información, pero información de valor, que debidamente procesada, se puede convertir en inteligencia, permitiendo así tomar las mejores decisiones. Esto no es específico de la ciberseguridad, sino que aplica a toda la organización, de ahí la inteligencia en negocio.

Centrándonos en ciberseguridad, pondremos foco en las amenazas, ya que es un elemento clave a la hora de evaluar los riesgos de una organización. En estas evaluaciones de riesgos se analiza la probabilidad de que una amenaza se pueda materializar y el posible impacto que podría tener en caso de que ocurriera. En este punto es donde la inteligencia en amenazas o Cyber Threat Intelligence (CTI) toma gran protagonismo, ya que, ¿cómo podemos evaluar la probabilidad de la materialización de una amenaza si no tenemos información de valor de esta? ¿Y su posible impacto?

Para que nuestra evaluación de riesgos, y su consiguiente gestión sea eficaz, necesitamos conocer muy bien cómo actúan estas amenazas, y contar con la inteligencia adecuada permitirá a las organizaciones tomar las mejores decisiones para dar respuesta a estas amenazas, implantando las medidas de seguridad más adecuadas para identificarlas, protegerse ante ellas, detectarlas, responder ante ellas y recuperarse de un posible incidente de seguridad originado por éstas.

¿De dónde podemos obtener esa información de valor que podemos convertir en inteligencia en amenazas para nuestra organización? Existen diferentes fuentes, desde repositorios y plataformas específicas con información sobre amenazas e indicadores de compromiso (IoC, Indicators of Compromise) hasta informes de fabricantes e investigadores sobre incidentes de seguridad en la que extraen las tácticas, técnicas y procedimientos (TTP) utilizados por los adversarios. Los propios registros de actividades de los sistemas (logs) o eventos de seguridad de nuestras herramientas, como los cortafuegos, IDS/IPS (Intrusion Detection/Prevention System) o SIEM (Security Information Event Management) pueden servir como fuentes de información del proceso CTI.

Como la gran mayoría de actividades de ciberseguridad, el proceso de inteligencia en amenazas no puede ser un acto puntual en el tiempo, ya que las amenazas crecen y evolucionan, obligando a las organizaciones a que estén continuamente preparadas ante estas amenazas. Un programa de inteligencia en amenazas ayudará a las organizaciones a:

1. Identificar objetivos del proceso CTI.
2. Identificar fuentes de obtención de información (e inteligencia).
3. Definir tareas del proceso.
4. Definir roles y responsabilidades de las tares del proceso.
5. Planificar tareas del proceso.
6. Controlar y hacer un seguimiento del proceso.