CRML (Cyber Risk Modeling Language)

¿Qué es CRML (Cyber Risk Modeling Language)?

CRML, el Lenguaje de Modelado de Riesgo Cibernético, es una especificación declarativa de código abierto creada para abordar la fragmentación e inconsistencia que plagan la cuantificación moderna del riesgo cibernético. Proporciona un formato estandarizado YAML/JSON para definir modelos complejos de riesgo cibernético, incluyendo mapeos de telemetría, pipelines de simulación, dependencias de controles y resultados requeridos. La filosofía central detrás de CRML es permitir el Riesgo como Código (RaC), transformando las suposiciones de riesgo y cumplimiento en artefactos versionados, revisables y ejecutables que pueden validarse consistentemente entre diferentes equipos y herramientas.

Este lenguaje actúa como una capa de abstracción, desacoplando la definición del modelo del motor de ejecución. Esto significa que las organizaciones ya no están atadas a herramientas propietarias o metodologías de cuantificación específicas, como los motores Monte Carlo de FAIR o los enfoques Bayesianos/QBER. Al estandarizar la descripción del modelo, CRML garantiza que el mismo escenario de riesgo, definido con suposiciones explícitas, pueda ejecutarse de manera confiable en varias plataformas de simulación compatibles, mejorando drásticamente la auditabilidad, la reproducibilidad y la capacidad de justificar las inversiones en seguridad basándose en resultados cuantificados.

Características Clave

CRML está diseñado para aportar rigor y estandarización a la gestión cuantitativa del riesgo cibernético:

• Diseño Independiente del Motor: Funciona perfectamente con cualquier motor de simulación que se adhiera a la especificación CRML, incluidos aquellos que soportan Monte Carlo al estilo FAIR, métodos Bayesianos o modelos actuariales.
• Formato Declarativo YAML/JSON: Los modelos se describen utilizando YAML o JSON legible por humanos, lo que facilita su lectura, revisión, control de versiones (a través de Git) y auditoría.
• Modelado de Efectividad de Controles: Permite a los usuarios cuantificar explícitamente cómo los controles de seguridad, incluidos escenarios complejos de defensa en profundidad, reducen la exposición general al riesgo.
• Parametrización Basada en la Mediana: Simplifica el proceso de entrada al permitir la especificación directa de valores medianos para distribuciones comunes como las distribuciones lognormales.
• Validación Estricta: Incorpora la validación de Esquema JSON para detectar errores estructurales y lógicos en la definición del modelo antes de que comience la simulación, ahorrando tiempo y previniendo resultados defectuosos.
• Soporte Multidivisa: Facilita el modelado de riesgos globales al soportar la conversión automática entre diferentes monedas.
• Auto-Calibración: Cuenta con mecanismos para calibrar distribuciones automáticamente basándose en los datos de pérdidas proporcionados.

Cómo Usar CRML (Cyber Risk Modeling Language)

Comenzar con CRML implica definir la estructura de su modelo de riesgo utilizando la especificación declarativa. El flujo de trabajo generalmente sigue estos pasos:

1. Definir la Estructura del Modelo: Cree un archivo CRML (típicamente YAML) que describa el escenario de riesgo. Esto incluye definir eventos de amenaza, frecuencias de eventos de pérdida, magnitudes de eventos de pérdida y las relaciones entre ellos.
2. Mapear Controles y Suposiciones: Defina explícitamente los controles de seguridad incluidos en el alcance y cuantifique su efectividad (por ejemplo, utilizando factores de reducción o modificadores de probabilidad) según la especificación CRML.
3. Especificar Requisitos de Simulación: Detalle los resultados requeridos, las comprobaciones de validación y cualquier parámetro de simulación específico (como el número de ejecuciones de Monte Carlo o las probabilidades a priori Bayesianas).
4. Ejecutar con un Motor Compatible: Inyecte el archivo CRML estandarizado en un motor de simulación compatible (por ejemplo, un motor FAIR personalizado o un solucionador Bayesiano). Debido a que el modelo está estandarizado, el motor sabe exactamente cómo interpretar las entradas y ejecutar el cálculo.
5. Revisar y Versión: Dado que el modelo es ahora un artefacto versionado (similar a Infraestructura como Código), puede ser rastreado en el control de código fuente, revisado por pares y utilizado como evidencia auditable para las decisiones de riesgo.

Casos de Uso

CRML es invaluable para las organizaciones que avanzan más allá de las evaluaciones de riesgo cualitativas hacia una cuantificación rigurosa y defendible:

1. Justificación del Gasto en Seguridad: Cuantificar la reducción de la Pérdida Anual Esperada (ALE) lograda mediante la implementación de un control específico (por ejemplo, implementación de MFA) para justificar solicitudes de presupuesto ante el liderazgo ejecutivo o la junta directiva.
2. Agregación de Riesgo Empresarial: Estandarizar modelos de riesgo en unidades de negocio o geografías dispares, permitiendo una agregación y comparación consistentes de la exposición al riesgo cibernético frente a los objetivos financieros a nivel empresarial.
3. Gestión de Riesgos de Proveedores: Crear perfiles de riesgo estandarizados y legibles por máquina para proveedores críticos de terceros, lo que permite una comparación automatizada de su postura de seguridad con los puntos de referencia internos.
4. Trazabilidad de Auditoría y Cumplimiento: Generar registros inmutables y versionados que vinculan explícitamente la cifra de riesgo final a las suposiciones exactas, los mapeos de controles y los datos utilizados en el cálculo, satisfaciendo requisitos de auditoría estrictos.
5. Modelado de Defensa en Profundidad: Modelar con precisión arquitecturas de seguridad complejas donde múltiples controles superpuestos mitigan una única amenaza, asegurando que la reducción del riesgo no se cuente dos veces.

Preguntas Frecuentes (FAQ)

P: ¿Es CRML propietario, o puedo usar cualquier herramienta con él? A: CRML es un lenguaje declarativo de código abierto. Es intencionalmente independiente del motor. Cualquier plataforma de simulación que implemente la especificación CRML puede procesar y ejecutar modelos definidos en este formato.

P: ¿Cuál es la relación entre CRML y marcos establecidos como FAIR? A: CRML está diseñado para describir modelos que podrían ejecutarse utilizando principios FAIR u otras metodologías. Estandariza la entrada y la estructura del escenario de riesgo, permitiéndole utilizar conceptos FAIR (como Frecuencia de Evento de Amenaza y Magnitud de Pérdida) dentro de un formato de archivo estandarizado y portátil.

P: ¿Es este proyecto estable para uso en producción? A: El proyecto se encuentra actualmente en desarrollo activo (como se indica en el repositorio). Si bien los conceptos centrales son sólidos, los usuarios deben monitorear la rama de desarrollo (crml-dev-1.3) y estar preparados para posibles cambios disruptivos hasta que el proyecto alcance una versión principal estable.

P: ¿Cómo ayuda CRML con la documentación inconsistente de controles? A: Al forzar las suposiciones de efectividad de los controles y la defensa en profundidad en la definición estructurada de YAML/JSON, CRML elimina la dependencia de hojas de cálculo inconsistentes o documentos narrativos. Cada analista utiliza la misma definición legible por máquina, asegurando la consistencia en cómo los controles impactan el cálculo de riesgo final.

P: ¿Dónde puedo encontrar la documentación oficial o ejemplos? A: El proyecto mantiene documentación, a menudo generada a través de MkDocs, e incluye ejemplos dentro de la estructura del repositorio para demostrar cómo definir varios escenarios de riesgo y mapeos de controles.