14 de agosto de 2009

NIST: Security Controls for Information Systems

“…Through the process of risk management, leaders must consider risk to US interests from adversaries using cyberspace to their advantage and from our own efforts to employ the global nature of cyberspace to achieve objectives in military, intelligence, and business operations… “

“…For operational plans development, the combination of threats, vulnerabilities, and impacts must be evaluated in order to identify important trends and decide where effort should be applied to eliminate or reduce threat capabilities; eliminate or reduce vulnerabilities; and assess, coordinate, and deconflict all cyberspace operations…”

“…Leaders at all levels are accountable for ensuring readiness and security to the same degree as in any other domain…"

-- THE NATIONAL STRATEGY FOR CYBERSPACE OPERATIONS

OFFICE OF THE CHAIRMAN, JOINT CHIEFS OF STAFF, U.S. DEPARTMENT OF DEFENSE

De esta guisa están los americanos en lo que a seguridad en los sistemas de la información respecta. Hace unos días el NIST publicó un interesante documento (NIST Special Publication 800-53) que describe a grandes rasgos los principales controles de seguridad que empresas de todos los sectores (banca, salud, defensa, etc.) deberían implementar en sus sistemas de información si quieren eliminar o mitigar las múltiples amenazas que su uso generan. La publicación de este paper me llama particularmente la atención ya que apenas hace 3 meses Obama anunciaba a bombo y platillo la comisión de un cuerpo militar especializado para el ciberespacio liderado por el "cyberzar" (si bien el NIST lleva muchos años publicando documentos de Seguridad, este en concreto parece enfocado para los Estados Unidos).

El paper habla y habla sobre controles de seguridad, sus clases (técnicos, operacionales, de gestión, mixtos), a que familia se pueden asociar (a mi me ha dado la impresión de que eran subfamilias de los 11 grandes dominios de la ISO 17799 - ISO 27000), habla de la calidad de los controles, su ciclo de vida, su gestión e indicadores así como las tareas de día a día a las que hay que dar especial relevancia para que el “proceso de la seguridad” no se nos quede atrás:

- Evaluación de lo que los controles nos aportan (o nos dejan de aportar).

- Requisitos de seguridad cambiantes.

- Nuevas amenazas, vulnerabilidades y vectores de ataque.

- Nuevas tecnologías.

Todo ello con un único objetivo, gestionar el riesgo. Para ello proponen un proceso muy familiar:

Que incluye un punto bastante interesante, “la autorización de los sistemas de información”, esto significaría que no permitiríamos entrar en producción sistemas que carecen de controles de seguridad o que representan un nivel de riesgo no aceptable. Si, esto es tan lógico que no se cumple en casi ninguna organización, por eso me llama la atención.

En resumen un documento al que merece la pena echar un vistazo, si eliminamos los Anexos son apenas 60 folios y de los anexos los más interesantes son:

- Anexo F: Catálogo de Controles de Seguridad (amplísimo)

- Anexo I: Controles en Sistemas Industriales (controles de seguridad para sistemas SCADA, recomendable también)

Lecturas para la playita :)

0 comentarios: