alphaspirit - Fotolia
La diferencia entre evaluaciones de seguridad y auditorías de seguridad
Las organizaciones pueden utilizar auditorías de seguridad para verificar su estatura de seguridad. Sin embargo, las evaluaciones de seguridad podrían ser la mejor herramienta para usar. El experto Ernie Hayden explica la diferencia.
Cada vez es más común que los clientes industriales tengan preocupación y conciencia de las amenazas, tanto cibernéticas como físicas, para sus sistemas de control industrial y las TI empresariales. Esto es especialmente cierto a la luz de los ataques de WannaCry y el ransomware Petya que han estado en las noticias recientemente.
La acción inicial de un cliente puede ser evaluar sus opciones para la seguridad del sistema, y ellos a menudo piden una inspección de seguridad de sistemas de control industrial (ICS). Estas inspecciones son, frecuentemente, vistas como auditorías por parte del cliente; sin embargo, en lugar de eso, el cliente está mejor con una evaluación.
¿Cuál es la diferencia entre las auditorías de seguridad y las evaluaciones de seguridad? Las diferencias son bastante sustanciales, y cada una produce un nivel diferente de escrutinio y diferentes conjuntos de resultados accionables. Además, cada una da a la gerencia un sentido diferente de lo mal que su seguridad está, o no está.
Auditorías de seguridad versus evaluaciones de seguridad
Para entender las diferencias entre auditorías y evaluaciones, hay algunos puntos a considerar. El primero es que el propósito de una auditoría de seguridad es comparar los resultados con un estándar o conjunto de estándares específicos, y encontrar huecos específicos donde la norma no se cumple o no se alcanza.
En una auditoría, el inspector compara las actividades del cliente con una lista particular de requisitos en un estándar de la industria. Básicamente, la auditoría identifica si el cliente cumple o no estos requisitos, pero no necesariamente si el cliente los supera.
El problema con este enfoque es que el cliente necesita identificar el estándar que esperan seguir, y el auditor necesita tener el conocimiento y la capacidad de identificar si el requisito estándar es verdaderamente satisfecho o no. Desafortunadamente, el auditor tiende a no mirar más allá de los requisitos de la norma para las áreas que necesitan atención. Una auditoría busca el logro mínimo.
Ha sido mi experiencia personal que los clientes industriales fuera de las industrias norteamericanas de energía eléctrica y petróleo/gas no saben normalmente qué normas deben cumplir. Por lo tanto, la auditoría ni siquiera puede ser de valor, ya que el cliente nunca ha trabajado hacia un estándar de todos modos.
El segundo punto a considerar es que las evaluaciones de seguridad son acerca de la comprensión de la postura de seguridad del cliente. El objetivo de la evaluación es permitir que los inspectores utilicen su experiencia y conocimientos prácticos, junto con otros estándares y directrices reconocidos para la seguridad cibernética y física de ICS, y busquen maneras en que el cliente pueda lograr un mayor nivel de rendimiento y no simplemente el cumplimiento mínimo. La evaluación no es un enfoque de estrictamente aprobado o fallido, sino que pretende dar al cliente una idea de la realidad actual de la seguridad.
Las evaluaciones de seguridad también proporcionan normalmente diferentes gradientes de riesgo para la instalación y sus operaciones. Por ejemplo, una evaluación puede categorizar los hallazgos como un impacto crítico, de alto impacto, de impacto medio o de bajo impacto. La evaluación también debería proporcionar nominalmente retroalimentación al cliente sobre las fortalezas identificadas, así como las conclusiones informativas que están fuera del alcance de la evaluación de seguridad. Básicamente, una evaluación proporciona al cliente una lista de acciones a tomar para mitigar los problemas y lograr una situación más ideal, en lugar de simplemente satisfacer un requisito mínimo en una norma.
Finalmente, considere que los estándares de seguridad pueden ser utilizados y citados durante una evaluación. Sin embargo, para una evaluación, la experiencia del evaluador también puede identificar la calidad de la consecución de una norma. Esto es beneficioso para el cliente, ya que pueden medir el esfuerzo y los recursos necesarios para corregir un problema.
Referencias a utilizar para las evaluaciones de seguridad
Las auditorías de seguridad se llevan a cabo en relación con una norma o conjunto de estándares específicos, pero ello no implica que no se permita a las evaluaciones utilizar ningún tipo de normas o directrices. Por el contrario, cuanto más conocimiento y experiencia tenga un asesor en el área de los controles cibernéticos y físicos para ICS, mejor estará el cliente.
Por lo tanto, los evaluadores a menudo se basan en documentos seleccionados para ayudar con el desempeño de la evaluación. Algunos recursos excelentes para estas evaluaciones incluyen "Evaluaciones de Seguridad Cibernética de Sistemas de Control Industrial" del Centro para la Protección de la Infraestructura Nacional de Gran Bretaña, y el Departamento de Seguridad Nacional de los Estados Unidos; la "Guía de Seguridad de los Sistemas de Control Industrial (ICS)" del Instituto Nacional de Estándares y Tecnología; "Seguridad para Automatización Industrial y Sistemas de Control"; el "Código de Prácticas –Técnicas de Seguridad– de Tecnología de la Información para la Gestión de Seguridad de la Información"; y la información proporcionada en el sitio web del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial. Pero, no olvide, la evaluación no necesariamente utiliza éstos como listas de verificación de cumplimiento.