Cómo evaluar mi nivel de capacidades en ciberseguridad según C4V

Publicado el 03/11/2017, por INCIBE
Cómo evaluar mi nivel de capacidades en ciberseguridad según C4V

Después de haber analizado el porqué de un modelo de evaluación de capacidades de ciberseguridad en la primera entrada de esta serie dedicada al modelo C4V y de haber explicado cómo llevar a cabo una adecuada gestión de riesgos en la cadena de valor en la segunda, esta tercera entrada está dedicada a cómo realizar una evaluación sobre nosotros mismos.

Para abordar esta evaluación de nuestras propias capacidades en ciberseguridad, los usuarios del CERTSI tienen a su disposición una herramienta de auto-evaluación que ayuda a realizar el proceso. No en vano, el modelo C4V comparte el mismo objetivo del resto de componentes del ENCI: proporcionar herramientas para mejorar el nivel de protección de las infraestructuras críticas.

Pero, antes de comenzar a cumplimentar la información solicitada por la herramienta, es importante entender algunas cosas del modelo C4V.

Identificación del alcance

Para definir el alcance de la evaluación debemos identificar la arquitectura concreta del sistema que presta el servicio a evaluar.

Es importante destacar que "el alcance debería incluir todos los sistemas conectados y no segregados completamente de cualquiera de los componentes del sistema puesto que pueden afectar a la seguridad del mismo", es decir, si no existiera ningún tipo de segmentación en la red, toda ella debería ser incluida en el alcance (!).

Y, en cuanto a los componentes a considerar en el alcance son los típicos de este tipo de análisis: personas, procesos y tecnología (servidores, aplicaciones, componentes de red, incluyendo los virtualizados y, por supuesto, los componentes propios de los sistemas de control industrial).

Criterio para la determinación del nivel de capacidad

No todos los controles incluidos en el modelo tienen la misma consideración (o llamemos, "importancia") y por ello, no es necesario contar con todos ellos para estar en un nivel dado de capacidad, sino que para salir evaluado en un nivel habrá que haber implantado:

  • el 100% de los controles denominados de prioridad 1 correspondientes a dicho nivel;
  • al menos, el 85% de los de prioridad 2; y
  • al menos, el 50% de los controles de prioridad 3.

Independencia y competencia del evaluador

El modelo no determina ningún esquema de evaluación concreto (auto-evaluación, auditoría, etc.) pero sí que recomienda utilizar un evaluado independiente de los responsables de la operación del sistema ya sea, interno (típicamente, auditoría interna) o externo (empresa auditora independiente).

Además, como en cualquier evaluación, es necesario asegurar que los evaluadores cuenten con los conocimientos y experiencia suficiente para llevar a cabo dicha evaluación.

Una vez asegurados estos antecedentes, los pasos para auto-evaluarse con la herramienta propuesta son muy sencillos:

  1. Identificar, si se desea, un nivel objetivo (sino, se evalúa el modelo completo).
  2. Delimitar el alcance - Es decir, indicar si hay algún dominio o dominios, de los 14 que componen el modelo que no aplican (por ejemplo, desarrollo propio o utilización de terceros).
  3. Indicar si se han implementado o no los controles que aparecen en el listado detallado (también se puede indicar individualmente que un control concreto no aplica).
  4. Revisar el nivel de capacidades asignado - En función de las respuestas indicadas la herramienta se encarga de calcular los porcentajes por tipos de controles, dimensiones y niveles y generar el nivel (ya sabéis de A+ a D) de capacidad en el que el sistema se encuentra en cada una de las dimensiones (confidencialidad, integridad y disponibilidad).

Esta auto-evaluación permite identificar los eslabones más débiles del sistema puesto que los controles más débiles o menos maduros son los que marcan el nivel de calificación. Este mecanismo permite asegurar que los sistemas son cada vez más robustos, asegurándonos que siempre se invierte en mejoras que repercuten en la mejora de los niveles de capacidad del sistema completo.

Os invitamos a probar la herramienta y compartir vuestra experiencia con nosotros... en definitiva la hemos hecho para vosotr@s.

Antonio Ramos, Socio Fundador de LEET Security