La evaluación de los controles de seguridad: Las claves del marco de la gestión de riesgos

El CISO y CSO´s deben asegurarse de que sus programas de gestión de riesgo de la empresa cuenten con un sólido marco de gestión—Marco de trabajo de manejo de riesgo empresarial. Este marco debe proporcionar un proceso disciplinado y estructurado que integra las actividades de gestión de riesgos en el sistema el desarrollo del ciclo de vida y que permite a los ejecutivos de riesgo tomar decisiones informadas. El US National Institute of Standards and Technology (NIST) y el Risk Management Framework (RMF) son ejemplos de marcos de referencia. El compromiso con un marco de gestión del riesgo y sus principios son críticos para un programa de gestión de riesgos exitosa.

Decisiones informadas en relación a un riesgo y los pasos para determinar la aceptación del riesgo. Una buena receta para la toma de decisiones de riesgo incluye una mezcla de:

• Datos objetivos
• Resultados de pruebas (OK/No OK)
• Las mitigaciones
• Análisis cualitativo
• Datos subjetivos
• Una sana intuición

Los datos subjetivos pueden levantar las cejas en señal de duda. Sin embargo, este ingrediente considera la probabilidad y preguntas que proporciona los datos, y que tan importante podría ser la fuente de datos.

La intuición no es objetiva como hechos o resultados de pruebas. La intuición no se encuadra en un modelo cuantitativo de riesgos, más bien, el análisis cualitativo es un ingrediente clave en el de toma de decisiones. Los profesionales heredan una variedad de programas gestión de riesgos en varios estados de madurez. Algunos son en realidad bastante buenos, adecuados y otros son completamente un desastre. A pesar de estado del programa, que se pega a un marco y principios sólidos de riesgo es crítica. En cualquier estado de madurez del programa, es fundamental que siempre se apegue a los principales marcos de trabajo. Durante los últimos cinco años, el NIST RMF (Risk Management Framework) ha ganado un espacio importante en los Estados Unidos y varias otras naciones. NIST desarrolló y publicó los elementos que una empresa necesita para implementar y gestionar un sólido programa de gestión de riesgos. Los NIST RMF incluyen las fases del ciclo de vida del desarrollo de sistemas y los pasos que deben seguir la gestión de riesgos las organizaciones (figura 1).

Probar, Probar y Probar

Aunque todos los pasos del NIST RMF son importantes, El paso 4: Evaluar los controles de seguridad es el más paso crítico de un programa de gestión de riesgos. Es esencial que se aplique comprobación del sistema en profundidad después de realizar gestión de la configuración, para mantener implacable la seguridad. Si la empresa mantiene una configuración de sistema seguro, se mantendrá el nivel de seguridad. A menudo las empresas no realizan pruebas adecuadas a los sistemas ni a los mecanismos para verificar la precisión auditoría de seguridad. Nada puede sustituir a la evaluación de controles de seguridad. Algunas de las razones para esta falta de la evaluación de los controles de seguridad son:

• El liderazgo no proporcionar expectativas claras para la evaluación de los controles/fechas de las pruebas
• Supervisión inadecuada de la gestión de riesgos programa
• La falta de habilidades de los encargados y asesores de las pruebas de seguridad
• Presión para condensar el ciclo de pruebas debido a las programaciones de otras de actividades con prioridad más alta que la seguridad de un sistema

Como prueba es auditada es también un desafío para las empresas que implementan una gestión de riesgos programa. El aseguramiento de la calidad o del control del cumplimiento a menudo carece de recursos y de la experiencia para identificar las señales de alerta.

El proceso básico de la evaluación de la seguridad

En NIST RMF Paso 4: Evaluar los controles de seguridad, son las directrices del NIST que aconsejan probar todos los controles de seguridad aplicables en la publicación especial NIST 800-53¹ para los sistemas categorizados. La única manera de saber si funciona el control de seguridad o no, es ejecutando las pruebas. Las pruebas de controles de seguridad no se logran a través de herramientas de scanner de vulnerabilidades, ya que comprueba que sólo un pequeño número de controles de seguridad. Un análisis de vulnerabilidades suele poner a prueba una fracción, de aproximadamente un 5 por ciento de los controles de seguridad.

El rol del asesor/evaluador de seguridad es poner a prueba todos controles de seguridad clave para un sistema y dar cuenta de todos los controles de seguridad para el que fue el sistema de categorizados en l paso 1 de la NIST RMF. El papel también podría incluir el desarrollo y ejecución del plan de pruebas para el sistema.

El plan de prueba incluye todos los controles para los que el sistema ha sido categorizado. El asesor de seguridad ejecuta el plan de prueba con el propietario de la red y registra los resultados. Los resultados de la etapa de NIST RMF 4, que también se conoce como la fase de evaluación de la seguridad, incluyen:

• Una lista de los controles de seguridad
• Un plan de prueba que abarca la totalidad de los controles de seguridad
• Un informe de la prueba (OK/No OK)
• Las mitigaciones para cualquier control fallido

Estos resultados corresponden a un proceso básico de evaluación seguridad y proporciona al administrador de riesgo la información que se requiere para hacer una toma de decisión. Dentro de la comunidad de inteligencia de Estados Unidos, el administrador riesgo es designado por el director de la agencia y es a menudo el Gerente de información (Chief Information Officer—CIO), sub gerente de información, jefe de seguridad de la información (CISO) o el director de gestión de riesgos; sin embargo, las empresas pueden designar el ejecutivo del riesgo de alguna una manera diferente.

Si un proceso de evaluación de seguridad de una empresa no tiene este nivel de integridad y fidelidad, se estarían tomando decisiones sin la Información básica necesaria. Una gestión importante del programa de riesgos sigue el proceso de evaluación de la seguridad y realiza pruebas de penetración después de que el sistema indique el riesgo aceptado en la operación. Sin embargo, así como un riesgo ejecutivo (el más importante), el paso más revelador y objetivo de la gestión de riesgos es la evaluación de los controles de seguridad. Si no se realiza esta fase de gestión del riesgo correctamente, la capacidad de aceptar legítimamente el riesgo es Virtualmente imposible.

¿Qué es y que hace un auditor?

Cada año, el sector público presenta sus métricas y medidas de apoyo de cumplimiento de gobierno y los reportes de solicitudes. Algunas de estas variadas métricas incluyen:

• El número de sistemas que opera en la empresa
• El número de sistemas de la empresa que tienen una autorización para operar
• El número de sistemas de la empresa que tienen aceptación del riesgo

La confiabilidad de la medición de la eficacia de un programa de gestión riesgo se basa en la garantía de la ejecución de pruebas y ensayos de forma periódica, y si existe un registro de los resultados de las pruebas.

En la comunidad de inteligencia de Estados Unidos, muchos auditores y oficiales de cumplimiento, como un curso normal de sus deberes, deben realizar una auditoría anual del programa de riesgo y procesos de la agencia, para validar la gestión y si el programa se ejecuta de acuerdo con las normas, para validar la precisión de las mediciones que fueron reportados. Los auditores utilizan un equipo relativamente pequeño, a veces un tercero para realizar la auditoría. El auditor revisa un subconjunto de los sistemas de la agencia, porque la mayoría de las agencias tienen cientos de miles de sistemas. Algunos de los subconjuntos son pequeños algo así como el 0,001 por ciento del número total de sistemas de agencia. Este método no revela el verdadero estado del programa de gestión de riesgos agencia, y si las medidas de la RMF especialmente las pruebas se están realizando. Muy pocos sistemas son revisados y a menudo la revisión toma mucho tiempo.

Los equipos de auditoría deben pivotar y centrarse en un conjunto más amplio de sistemas, y una revisión más detallada de la integridad de la prueba. Para ampliar el set de sistemas, los equipos tienen que ser inferior sobre la revisión general, y se centran en el paso más revelador de la RMF—la evidencia disponible para determinar la integridad de la etapa 4. Si la organización cuenta con 1.000 sistemas, la organización debe tener 1.000 planes de prueba y los resultados de las pruebas para cada sistema. La excepción sería si el sistema utiliza los servicios centralizados de seguridad disponibles de la empresa. Si los equipos de auditoría pueden determinar la existencia de planes de pruebas del sistema, los resultados de las pruebas y entrevistar a los asesores de seguridad, los equipos pueden determinar con precisión si el sistema fue probado por completo y si el ejecutivo de riesgo tiene los datos más objetivos para tomar una decisión de riesgo. Si el sistema no se ha probado o se ha realizado de forma insuficientemente, la aceptación al riesgo o autorización para operar deben ser invalidadas.

El liderazgo de la empresa tiene que establecer las expectativas para el programa de gestión de riesgos de la empresa y la forma en que este se mide, principalmente en toda la fase de evaluación del marco de gestión de riesgos. Para los auditores, hacer las preguntas correctas es crucial para descubrir el verdadero estado de funcionamiento y la integridad del programa de gestión de riesgos. Las siguientes solicitudes específicas pueden decir mucho de un equipo de auditoría a un CISO o a un CIO:

• Archivo de los planes de prueba para cada sistema, con el resultado de la prueba y por sistema. Un plan de prueba tendrá todos los controles de seguridad para lo que se clasificó en el sistema.
• ¿Cuántos de los controles de seguridad se ensayaron de forma manual? ¿Quién realiza el examen?
• ¿Cuántos de los controles fueron probados con una herramienta o aplicación? ¿Qué herramientas se utilizaron y qué controles específicos probó cada herramienta?
• Del total de controles de seguridad, ¿cuántos pasaron?
• Del total de controles de seguridad, ¿cuántos fracasaron? ¿Cuáles fueron las mitigaciones de compensación? ¿Se probó la mitigación?
• Cuando se establece este sistema físicamente en la empresa y para qué se conecta?
• ¿El sistema de documentación de seguridad refleja todo lo anterior?

Si una empresa utiliza el NIST RMF, el programa de gestión de riesgos podrá responder correctamente las preguntas para cada uno de sus sistemas, ya que la base del programa de gestión de riesgos es robusto.

Ningún programa es perfecto; sin embargo, si una empresa está evaluando los controles de seguridad con un alto grado de confiabilidad, el auditor podrá verificar este este nivel de desempeño, entonces el programa de gestión de riesgos de la empresa estará acorde con el funcionamiento deseado.

Notas finales

¹ National Institute of Standards and Technology, Security and Privacy Controls for Federal Information Systems and Organizations, Special Publication 800-53, Revision 4, USA, April 2013, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf