Los retos de la certificación de seguridad según ENISA. Una visión crítica

ENISA ha publicado con fecha diciembre de 2016 el informe titulado "Retos de la certificación de seguridad en entornos TIC emergentes" [PDF] en el que realiza un análisis del escenario de certificación en cinco sectores: energía, transporte marítimo y ferroviario, TIC y salud.

El objetivo de esta entrada es comentar algunas de las reflexiones y las conclusiones de dicho informe:

"...sin un estándar aprobado, pruebas harmonizadas y certificación correspondiente a nivel europeo..."

Es evidente que debe existir la posibilidad de que una certificación emitida en un Estado Miembro de la Unión Europea sea utilizada en otro país, pero quizás el enfoque que debamos plantearnos no sea que todos hablemos esperanto, sino que, existiendo distintas lenguas en cada territorio seamos capaces de traducir del francés al inglés, y de éste al castellano y posteriormente al italiano.

De esta manera, en lugar de tratar de ponernos de acuerdo, que va a ser muy complicado, simplemente deberemos desarrollar mecanismos para poder traducir entre sistemas de certificación.

La conclusión clave es que cada sector tiene sus propios retos funcionales y de seguridad lo que hace que sea un reto el objetivo de un marco de certificación común

No podemos estar más de acuerdo: Es evidente que cada sector, es más, cada organización se enfrenta a un escenario de riesgo y, cada uno, además tiene su propio apetito por el riesgo, lo cual conduce, indefectiblemente, a que cada sector y cada organización tenga su estándar de seguridad y, por esa misma razón no es que sea un reto contar con un marco de certificación común. Es imposible.

Por este motivo, una propuesta basada en niveles, como la que propone LEET Security proporciona el marco adecuado para "poner de acuerdo" esos diferentes estándares de seguridad de cada sector.

Los dispositivos aislados certificados son considerados confiables. Sin embargo, después de su integración en un entorno real, puede que no sea el caso.

... se ha observado que una pequeña parte de la seguridad estará soportada por los componentes de los dispositivos que conforman los sistemas, mientras que la mayor parte de la seguridad dependerá de los procesos y procedimientos implementados.

Estas dos conclusiones (que son comunes a todos los sectores analizados) lo que nos dicen es que la certificación de producto es condición necesaria, pero no suficiente. Por mucho que un dispositivo esté certificado, si la operación no es correcta, de nada sirve ese diseño seguro. De nuevo, esta conclusión nos corrobora que el enfoque adoptado por LEET Security, orientado a evaluar las medidas de seguridad implementadas en la operación de un servicio, es el adecuado.

La externalización de tareas o funciones específicas incrementa el riesgo de ser vulnerable a ciber ataques.

Tanto los proveedores como los propietarios de los activos deben adoptar una visión holística en lo relativo a la certificación de la seguridad y no enfocarse simplemente en los elementos funcionales de los dispositivos que utilizan. Solo después de la verificación de un sistema completo, incluyendo los procedimientos de operación y mantenimiento, se puede considerar ciber seguro.

Si hay algo en lo que nos hemos enfocado en LEET Security, es en la seguridad de la cadena de suministro (como demuestra, sin ir más lejos, nuestra colaboración con INCIBE para desarrollar el modelo C4V). Nuestra metodología de calificación está siendo incorporada a los procesos de compras y homologación de proveedores en compañías de referencia puesto que el etiquetado resultante de la calificación, aporta la necesaria transparencia sobre las medidas de seguridad implementadas por los proveedores de servicios.

Pero, en ningún caso se puede considerar, por muchas que hayan sido las verificaciones a los que hayan sido sometidos los servicios, que son ciber seguros, puesto que la seguridad absoluta no existe. Por lo tanto, pensamos que es más adecuado el enfoque que proponemos desde LEET Security que es, evaluar la robustez de las medidas de seguridad implementadas y dar una opinión en una escala de 1 a 5 (de D a A+) de ese grado de robustez.

Una preocupación general es el uso de dispositivos ... conectados a sistemas complejos y críticos que están, en su mayor parte, no supervisados.

Este es un aspecto interesante, puesto que en el estudio que acabamos de realizar, resulta que la monitorización es justo el aspecto que peor evaluación ha obtenido en las calificaciones emitidas en el pasado año 2016.

Se recomienda a los proveedores de servicios de ciber seguridad que implementen un marco de gestión de servicios TI en su organización como prueba de que sus servicios satisfacen las necesidades de sus clientes.

Más aún, los clientes deberían seleccionar proveedores de servicios con un sistema de gestión de servicios TI basado en estándares reconocidos internacionalmente, como, por ejemplo, ITIL , ISO20000, etc.

Evidentemente, todo grano hace granero y si el proveedor de servicios cuenta con un sistema de gestión de servicios TI va a proporcionar más garantías que si no lo tiene, pero hablando de seguridad nos parece una recomendación demasiado suave y sobre todo confusa: Contar con un sistema de gestión no implica que el servicio tenga un nivel mínimo de seguridad. Si ENISA quiere hacer una recomendación útil en este aspecto, consideramos que lo que debería recomendar sería que los clientes emplearan métodos que les permitieran conocer el nivel de seguridad implementado en los servicios que están utilizando (y ahí, la calificación y el etiquetado de la seguridad no tienen competencia).