¿Cuál es el nivel de ciberseguridad de mi cadena de valor?

(Entrada publicada inicialmente en el blog del CERTSI_)

Cómo veíamos en la primera entrada de esta serie dedicada al modelo C4V, el nivel de ciberseguridad de los servicios externos es fundamental para evaluar las capacidades en ciberseguridad de cualquier organización: De nada sirve incrementar los niveles de seguridad de una organización, si los niveles de sus proveedores no están a la misma altura, puesto que (no hace falta decir que) ”la seguridad es tan fuerte como el eslabón más débil”.

En este sentido, el modelo C4V sigue la misma filosofía que el resto de elementos del ENCI: proporcionar herramientas a los usuarios del CERTSI para mejorar el nivel de protección de las infraestructuras críticas.

Entonces, ¿cómo se utiliza C4V para asegurar la cadena de valor? Como el propio modelo indica, se espera que se utilice C4V como parte del modelo de gestión de riesgo-proveedor que debe implementar el operador. Para los no familiarizados con el término, esta gestión consiste en implementar procesos para:

1. Clasificar los servicios según su nivel de criticidad
2. Establecer requisitos de seguridad y supervisión en función de dicha criticidad
3. Evaluar y realizar un seguimiento del cumplimiento de dichos requisitos

Clasificar los servicios

Para la clasificación, hemos de seleccionar aquellos parámetros que nos ayuden a identificar qué servicios son más críticos para la operación del servicio. Algunos ejemplos pueden ser: acceso a entornos de producción, acceso a gran cantidad de información o a información sensible, acceso desde el exterior, tipo de servicio, etc. Es importante realizar esta clasificación para cada servicio, puesto que un mismo tipo de servicio, utilizado para fines distintos puede tener criticidad diferente.

El objetivo es contar con el menor número posible de criterios objetivos que permitan determinar la criticidad de un servicio (de esta manera, podrá ser realizado por el propio gestor del servicio o un área de compras corporativa). Idealmente, deberíamos ser capaces de representar gráficamente estos criterios en un árbol de decisión que cupiera en una página.

Establecer los requisitos de seguridad y supervisión

En esta actividad es dónde el modelo C4V aporta su mayor valor ya que permite asociar unos requisitos de seguridad a cada nivel de criticidad, de esta manera, a un servicio que trate información pública se le asociaría, por ejemplo, el nivel D de confidencialidad, pero si tratara información crítica, quizás habría que pedirle una A, o incluso una A+ (el nivel más elevado). Gracias a que el modelo dispone de 5 niveles de capacidades (organizadas desde la D hasta la A+) en 3 dimensiones de seguridad (confidencialidad, integridad y disponibilidad), tenemos una gran flexibilidad para fijar dichos criterios.

En cuanto al grado de supervisión, existen varias opciones que, normalmente también guardan alguna relación con la criticidad del servicio (a mayor criticidad del servicio, el mecanismos de supervisión elegido suele ser más exigente):

• Cuestionarios: Consiste en elaborar cuestionarios (según las medidas de seguridad aplicables extraídas del C4V) que se envían a los respectivos proveedores de los servicios  para que confirmen que tienen implementadas dichas medidas. Este mecanismo es el que ofrece menos garantías, puesto que las respuestas son proporcionadas por el propio proveedor sin ningún tipo de validación, por lo que no es recomendable para los servicios más críticos.
• Revisión de primera o segunda parte: Consiste en la revisión del cumplimiento de las medidas necesarias por el tipo de servicio por el propio operador o una empresa contratada por éste. Este mecanismo ofrece un nivel de garantía más elevado, pero por el contrario, es el más costoso de implementar, no sólo por el propio coste de la auditoría, sino porque los resultados no se pueden reutilizar.
• Revisión por terceros independientes: Estas revisiones pueden adoptar diversas formas: auditoría, certificación o calificación. En resumen, se trata de encargar la revisión a un tercero independiente, tanto del operador como del proveedor. La ventaja de utilizar el modelo C4V es que permite la reutilización de los resultados, evitando el coste de la repetición innecesaria de los procesos de evaluación. El aspecto clave de este planteamiento es asegurar la independencia y capacitación técnica del evaluador, pero a cambio permite un nivel de garantías elevado a un coste más razonable, puesto que el proveedor puede distribuir el coste entre todos sus clientes.

Lo habitual es que estos requisitos y los mecanismos de supervisión se incorporen a los procesos de Compras del operador para que formen parte del proceso habitual y permita asegurar que todos los servicios contratados tienen un nivel de protección acorde a su criticidad.

Evaluar y hacer el seguimiento

Una vez puesto en marcha este proceso, lo "único" que queda es echarlo a rodar  para que todos los servicios vayan siendo evaluados conforme al modelo C4V y, de esta forma, podamos conocer en todo momento, el nivel de protección que nos proporcionan dichos servicios y evaluar nuestro nivel de riesgo para tomar decisiones sobre si hay que aumentar la protección, mantenerla o reducirla, en función del escenario de amenazas que tengamos por delante.

En definitiva, el modelo C4V desarrollado conjuntamente entre INCIBE y LEET Security, es una herramienta que nos permite conocer de manera objetiva y eficiente el nivel de seguridad de nuestra cadena de valor con una escala homogénea que simplifica nuestra gestión de riesgos de proveedores. Además, las calificaciones emitidas por LEET también cumplen los requisitos del C4V, lo que simplifica aún más el conocer el nivel de seguridad de los servicios y de los proveedores implicados en ellos.