(Entrada publicada inicialmente en el blog del CERTSI_)
Cómo veíamos en la primera entrada de esta serie dedicada al modelo C4V, el nivel de ciberseguridad de los servicios externos es fundamental para evaluar las capacidades en ciberseguridad de cualquier organización: De nada sirve incrementar los niveles de seguridad de una organización, si los niveles de sus proveedores no están a la misma altura, puesto que (no hace falta decir que) ”la seguridad es tan fuerte como el eslabón más débil”.
En este sentido, el modelo C4V sigue la misma filosofía que el resto de elementos del ENCI: proporcionar herramientas a los usuarios del CERTSI para mejorar el nivel de protección de las infraestructuras críticas.
Entonces, ¿cómo se utiliza C4V para asegurar la cadena de valor? Como el propio modelo indica, se espera que se utilice C4V como parte del modelo de gestión de riesgo-proveedor que debe implementar el operador. Para los no familiarizados con el término, esta gestión consiste en implementar procesos para:
Clasificar los servicios
Para la clasificación, hemos de seleccionar aquellos parámetros que nos ayuden a identificar qué servicios son más críticos para la operación del servicio. Algunos ejemplos pueden ser: acceso a entornos de producción, acceso a gran cantidad de información o a información sensible, acceso desde el exterior, tipo de servicio, etc. Es importante realizar esta clasificación para cada servicio, puesto que un mismo tipo de servicio, utilizado para fines distintos puede tener criticidad diferente.
El objetivo es contar con el menor número posible de criterios objetivos que permitan determinar la criticidad de un servicio (de esta manera, podrá ser realizado por el propio gestor del servicio o un área de compras corporativa). Idealmente, deberíamos ser capaces de representar gráficamente estos criterios en un árbol de decisión que cupiera en una página.
Establecer los requisitos de seguridad y supervisión
En esta actividad es dónde el modelo C4V aporta su mayor valor ya que permite asociar unos requisitos de seguridad a cada nivel de criticidad, de esta manera, a un servicio que trate información pública se le asociaría, por ejemplo, el nivel D de confidencialidad, pero si tratara información crítica, quizás habría que pedirle una A, o incluso una A+ (el nivel más elevado). Gracias a que el modelo dispone de 5 niveles de capacidades (organizadas desde la D hasta la A+) en 3 dimensiones de seguridad (confidencialidad, integridad y disponibilidad), tenemos una gran flexibilidad para fijar dichos criterios.
En cuanto al grado de supervisión, existen varias opciones que, normalmente también guardan alguna relación con la criticidad del servicio (a mayor criticidad del servicio, el mecanismos de supervisión elegido suele ser más exigente):
Lo habitual es que estos requisitos y los mecanismos de supervisión se incorporen a los procesos de Compras del operador para que formen parte del proceso habitual y permita asegurar que todos los servicios contratados tienen un nivel de protección acorde a su criticidad.
Evaluar y hacer el seguimiento
Una vez puesto en marcha este proceso, lo "único" que queda es echarlo a rodar para que todos los servicios vayan siendo evaluados conforme al modelo C4V y, de esta forma, podamos conocer en todo momento, el nivel de protección que nos proporcionan dichos servicios y evaluar nuestro nivel de riesgo para tomar decisiones sobre si hay que aumentar la protección, mantenerla o reducirla, en función del escenario de amenazas que tengamos por delante.
En definitiva, el modelo C4V desarrollado conjuntamente entre INCIBE y LEET Security, es una herramienta que nos permite conocer de manera objetiva y eficiente el nivel de seguridad de nuestra cadena de valor con una escala homogénea que simplifica nuestra gestión de riesgos de proveedores. Además, las calificaciones emitidas por LEET también cumplen los requisitos del C4V, lo que simplifica aún más el conocer el nivel de seguridad de los servicios y de los proveedores implicados en ellos.