Guía Técnica para Pruebas y Evaluación en Seguridad de la Información - SP 800-115
Una evaluación en seguridad de la información es el proceso de determinar cuan efectivamente una entidad siendo evaluada (por ejemplo, host, sistema, red, procedimiento, persona - conocido como objeto de evaluación) cumple objetivos específicos de seguridad. Tres tipos de métodos para evaluación pueden ser utilizados para cumplir esto - evaluar, examinar, y entrevistar. La Prueba es el proceso de ejercitar uno o más objetos bajo condiciones específicas para comprobar los comportamientos actuales y los esperados. El examen es el proceso de verificar, inspeccionar, revisar, observar, estudiar y analizar uno o más objetos de evaluación para facilitar la comprensión, lograr clarificación, u obtener evidencia. La entrevista es el proceso de realizar discusiones con individuos o grupos dentro de la organización para facilitar comprensión, lograr clarificación, o identificar la localización de la evidencia. Los resultados de la evaluación son utilizados para apoyar en la determinación sobre la efectividad de los controles de seguridad a través del tiempo.
Este documento es una guía hacia los aspectos técnicos básicos para realizar evaluaciones en seguridad de la información. Presenta métodos técnicos de prueba y examen, además de técnicas las cuales una organización podría utilizar como parte de una evaluación, y revela a los profesionales sobre su ejecución y el impacto potencial posible sobre los sistemas y redes. Para una evaluación exitosa, y tenga un impacto positivo sobre la postura de seguridad de un sistema (y por último la organización completa), elementos más allá de la ejecución de la prueba y examen deben apoyar el proceso técnico. Sugerencias de estas actividades - incluyendo un proceso robusto de planificación, análisis de la causa raíz, e informes personalizados - están también presentes en esta guía.
Las guías técnicas y de procesos presentados en este documento permiten a las organizaciones:
- Desarrollar una política para evaluación en seguridad de la información, metodología, y roles individuales, además de responsabilidades relacionadas hacia aspectos técnicos de la evaluación
- Un plan preciso para una evaluación técnica en seguridad de la información, proporcionando una guía para determinar cuales sistemas evaluar, y la perspectiva de la evaluación, direccionar consideraciones logísticas, desarrollar un plan de evaluación, y asegurar consideraciones políticas y legales
- Ejecutar seguramente y efectivamente una evaluación técnica en seguridad de la información, utilizando los métodos y técnicas presentadas, además de responder hacia cualquier incidente el cual pueda ocurrir durante la evaluación
- Manejar adecuadamente datos técnicos (recolección, almacenamiento, transmisión, y destrucción) a través del proceso de evaluación
- Realizar análisis e informes para traducir los hallazgos técnicos en acciones para la mitigación de riesgos, los cuales mejorarán la postura de seguridad en la organización
La información presentada en estas publicación tiene como propósito ser utilizada para una variedad de propósitos de evaluación. Por ejemplo, algunas evaluaciones se enfocan en verificar un control de seguridad particular (o controles) cumplan requerimientos, mientras otros tienen como propósito identificar, validar, y evaluar las debilidades en seguridad explotables en los sistemas. Las evaluaciones son también realizadas para incrementar la capacidad en una organización de mantener una defensa proactiva en la red de computadoras. Las evaluaciones no reemplazan a las implementaciones de los controles en seguridad, y el mantenimiento en seguridad del sistema.
Para lograr evaluaciones técnicas en seguridad, y asegurar las pruebas técnicas en seguridad, además de los exámenes proporcionen el máximo valor, NIST recomienda a las organizaciones:
Establecer una política de evaluación en seguridad de la información
Esto identifica los requerimientos de la organización para ejecutar evaluaciones, y proporciona contabilidad para los individuos apropiados, de tal manera se asegure la evaluación es realizada de acuerdo con estos requerimientos. Los tópicos una política de evaluación debe direccionar incluye los requerimientos organizacionales con el cual la evaluación debe cumplir, roles, y responsabilidades, adherencia hacia una metodología establecida de evaluación, frecuencia de evaluación, y requerimiento de documentación.
Implementar una metodología de evaluación repetible y documentada
Esto proporciona consistencia y estructura para las evaluaciones, expedita la transición de un nuevo equipo de evaluación, y direcciona las limitaciones de recursos asociados con las evaluaciones. Utilizar tal metodología permite a las organizaciones maximizar el valor de las evaluaciones mientras se minimiza el posible riesgo introducido por ciertas técnicas de evaluación. Estos riesgos pueden variar desde no obtener la suficiente información sobre la postura en seguridad de la organización, por temor a impactar en la funcionalidad de los sistemas o disponibilidad de la red, por la ejecución de técnicas sin las salvaguardas apropiadas. Los procesos minimizando el riesgo causado por ciertas técnicas de evaluación incluyen utilizar profesionales con experiencia, desplegar planes completos de evaluación, registrar las actividades de los profesionales, realizar pruebas fuera del horario de oficina, y realizar las pruebas sobre sistemas de producción duplicados (por ejemplo sistemas en desarrollo). Las organizaciones necesitan determinar el nivel de riesgo dispuestos a aceptar para cada evaluación, y adaptar sus enfoques en consecuencia.
Determinar los objetivos de cada evaluación de seguridad, y adaptar el enfoque en consecuencia
las evaluaciones de seguridad tienen objetivos específicos, niveles aceptables de riesgo, y disponibilidad de recursos. Debido a ninguna técnica individual proporciona un cuadro completo de la seguridad de una organización cuando se ejecuta sola, las organizaciones deben utilizar una combinación de técnicas. Esto ayuda a las organizaciones a limitar el riesgo y uso de recursos.
Analizar los hallazgos, y desarrollar técnicas de mitigar el riesgo para arreglar las debilidades
Para asegurar las evaluaciones de seguridad proporcionan su último valor, las organizaciones deben conducir un análisis de causa raíz después de completar una evaluación, para permitir la traducción de los hallazgos en técnicas para mitigación accionables. Estos resultados pueden indicar las organizaciones deben direccionar no únicamente las debilidades técnicas, sino también las debilidades en los procesos y procedimientos organizacionales.
Fuentes:
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/