Modelado de Amenazas 101.1

Durante los últimos años parte de mi trabajo ha sido liderar procesos de identificación de riesgos y amenazas para apoyar la toma de decisiones en distintas organizaciones. Este proceso de análisis se ha vuelto parte de mi día a día, no solo en el trabajo, también es útil para determinar el nivel de riesgo en algunas actividades que desarrollo en casa o fuera de ella.

En esta serie de artículos estudiaremos conceptos, procesos, metodologías, herramientas y otros recursos para la creación de modelados de amenazas.

Conceptos Básicos

¿ Qué es el modelado de amenazas?

En términos simples; el modelado de amenazas o threat modeling, es el proceso de identificación de amenazas, vulnerabilidades, riesgos y recomendaciones para mitigar posibles escenarios de riesgo. Este proceso es usado generalmente en el ciclo de vida del desarrollo de software y durante los últimos años ha venido ganando popularidad; sin embargo, puede ser utilizado para procesos de pruebas de intrusión, para la implementación de proyectos de IT, e incluso para la contratación de terceros.

¿Por qué es importante el modelado de amenazas?

Fácil, si identificamos los escenarios adversos en las fases inicial de un proyecto, actividad o incluso modelo de negocio podemos prevenir, detectar o reducir el impacto que estos escenarios puedan causar; al final esto nos va a ayudar a ahorrar dinero, tiempo y unos cuantos dolores de cabeza.

Veamos un ejemplo de modelado de amenazas en una de mis actividades favoritas, pero que a la vez temo debido a un serio historial de lesiones.

Modelado de Amenazas – Partido de Fútbol.

Para este análisis necesitaremos enumerar los siguiente elementos:

  • Alcance
  • Activos
  • Amenazas
  • Vulnerabilidades
  • Riesgos
  • Controles

Alcance (Scope)

Comencemos delimitando nuestro análisis, para ello debemos establecer el alcance del modelado de amenazas, no vamos a analizar todo el campo de juego, solo vamos a hacer el análisis para una posición específica; en este caso nos centraremos en un partido en el que jugaré como defensa. Es importante definir el alcance ya que cada actividad o sistema puede variar, esto hace que las amenazas sean distintas y así mismo variarán las vulnerabilidades y los riesgos.

Activos (Assets):

Los activos son aquellos elementos que tienen mayor importancia para mi y que requieren un nivel de protección, vamos a centrarnos en 3 activos principales:

  • Rodilla
  • Tobillos
  • Resultado

Los activos pueden variar, quien define los activos? el dueño de la actividad/proceso/sistema; he escogido estos activos porque para mi son los de mayor importancia en este momento.

Amenazas (Threats):

El término amenaza tiene diferentes definiciones, así que recurrí a Chat GPT, para ver una definición en un lenguaje coloquial:


En conclusión, las amenazas, son aquellos factores o elementos que pueden causarnos daño, en este caso podrian ser y lo digo por experiencia:

  • El estado del campo de juego
  • El clima
  • El calzado inapropiado (influye el tipo de taches)
  • Los jugadores del equipo rival
  • Los companeros de equipo

Vulnerabilidades (Vulnerabilities)

Las vulnerabilidades son fallas o deficiencias en un sistema, componente o proceso, a continuación algunas de las potenciales vulnerabilidades:

  • Falta de entrenamento
  • Falta de calentamiento / acondicionamiento
  • Falta de estrategia
  • Lesiones previas
  • Técnica insuficiente
  • Demasiada / insuficiente pasión

Una vez hemos identificado los activos, las amenazas y las vulnerabilidades podemos generar una lista de riesgos potenciales.

Riesgos (Risks):

La definición de riesgos puede ser una de las partes más complejas de un ejercicio de modelado de amenazas ya que por momentos definimos amenazas o vulnerabilidades como riesgos (un error clásico), la forma en la que defino el riesgo es pensar en los escenarios/resultados no deseados, lo que puede malir-sal, digo salir mal, o simplemente lo que nos podria trasnochar (pesadillas).

  • Perder el partido
  • Sufrir una lesión
  • Quedar en el banco
  • Ser expulsado del juego

En los análisis de riesgo podemos ser mucho más especificos y definir este escenario no deseado acompañado por la causa, ejemplo:

  • Perder el partido y quedar eliminado del torneo debido al mal planteamiento
  • Sufrir una lesión en la rodilla debido a la falta de acondicionamiento físico
  • Sufrir una lesión en la rodilla debido a una mala entrada de un oponente.
  • Salir expulsado del partido debido a una mala actitud hacia el jugador del equipo rival.

A estos riesgos especificos les llamo escenarios de riesgo y es la forma en la que presento riesgos a nivel organizacional para la toma de decisiones pero ya veremos eso en próximas entradas.

Una vez identificamos los riesgos, debemos tomar decisiones sobre como manejar estos escenarios, las posibilidades son:

  • Evitar el riesgo: Fácil, decido no participar del torneo o del partido.
  • Transferir el riesgo: Otra persona ejecutará la actividad por mi, en este caso, decido quedar fuera de la convocatoria del partido por miedo a una lesión y le pido a otro jugador que juegue por mi.
  • Aceptar el riesgo: Decido no aplicar medidas de control, ejecutar la actividad y asumir las consecuencias (Así fue que me gané 3 lesiones en serie en el término de 5 años)
  • Mitigar el riesgo: Implementar controles para que en caso de que se materialice el riesgo el impacto sea menor. A continuación vamos a detallar este último enfoque, ya que si o si quiero jugar pero quiero reducir el impacto.

Los controles son acciones o elementos que podemos implementar para mitigar los riesgos, por ejemplo:

  • Utilizar protectores en la rodilla para reducir el impacto ante un choque con un jugador del equipo rival
  • Utilizar el calzado adecuado según las condiciones de la cancha
  • Estirar y calentar adecuadamente antes y despues de cada partido/entrenamiento
  • Observar y analizar partidos del equipo rival
  • Jugar con las canilleras/espinilleras adecuadas
  • Entrenar técnicas específicas para defender mejor

Controles (Controls):

Cada uno de estos controles tendrá un costo o un esfuerzo, y será el dueño del activo, actividad o proceso quien decida si acepta tomar las medidas o no. Es por eso que es de suma importancia identificar los controles específicos y los costos que implican.

Espero les guste esta primera entrada sobre modelado de amenazas, a continuación les dejo el enlace a uno de los primeros artículos que leí sobre modelado de amenazas y que uso como referencia en mis clases o presentaciones.

El modelado de amenazas de Batman: https://arstechnica.com/information-technology/2017/07/how-i-learned-to-stop-worrying-mostly-and-love-my-threat-model/

2 Comments

Responder a Ale Cancelar respuesta