Initial Global Analysis of Data

Una vez realizado el Trabajo Fin de Master: NUTRIA: “Una metodología de Ciberseguridad para Pymes en entornos industriales” para verificar la viabilidad de la metodología, expertos en el área de ciberseguridad evaluaron el trabajo realizado aportando las siguientes validaciones:

v Gonzalo Porlán Moreno, Ingeniero de Telecomunicaciones, especializado en redes

y Sistema de Comunicación, cuenta con experiencia en el desarrollo de sistemas de comunicaciones y evaluaciones de productos IT, según la norma Common Criteria (ISO/IEC 15408), FIPS 140-2 y auditorías EMVco, participando en más de 50 proyectos.

En la actualidad, director técnico para Common Criteria, en los laboratorios de Applus, especialistas en evaluación de seguridad de EAL1 a EAL6 tanto de software como smartcards, circuitos integrados y cajas de seguridad.

“Con respecto a la metodología NUTRIA, se destacarán -de forma resumida- los aspectos más importantes de cada área genérica:

o Identificación: recogida en las fases I y II, describe la identificación tanto de los procedimientos existentes, como de los activos y las necesidades. Es destacable cómo dentro del análisis se incluyen aspectos concretos como es el estudio del tráfico de red con objeto de identificar los flujos principales de comunicación. Esto es especialmente relevante en la industria manufacturera, donde el tiempo de reacción es muy importante e identificar y proteger estos flujos puede suponer una ventaja estratégica.

o Actuación: descrita en las fases III, IV y V, supone la utilización de un criterio sistemático que permite la segregación del problema en conjuntos más pequeños, contribuye a acotar las medidas de seguridad que son de aplicación para cada conjunto y ser más eficiente en la cobertura de las necesidades identificadas. Además, el considerar escenarios catastróficos (se considera que el sistema fallará y por tanto se considera la inclusión de medidas paliativas y de recuperación), lejos de suponer una desconfianza en las medidas de seguridad, supone un acercamiento al escenario más real posible y considerar todas las posibilidades.

o Evaluación: descrita en la fase VI, la formación se incluye como un aspecto a considerar desde el primer momento, puesto que los medios humanos suelen ser el eslabón más débil del sistema de seguridad, mientras que los medios técnicos pueden ser perfectamente conocidos y controlados. La evaluación incluye tanto evaluación del propio personal como evaluación del propio sistema y la efectividad de las medidas implementadas con respecto al análisis que se realizó para el caso.

La definición de la metodología NUTRIA es correcta desde el punto de vista formal, puesto que incluye las fases más importantes de toda metodología. Además, esta metodología está diseñada para analizar y dar respuesta al problema concreto de la seguridad TO en la pequeña y mediana empresa, para lo que incluye los mecanismos y procedimientos necesarios para abarcar dicho problema.”

Propuesta de mejora

Teniendo en cuenta que la seguridad es un aspecto cambiante, tal y como se dice en la introducción, donde van evolucionando las técnicas de ataque y defensa, se debería modificar el esquema para que fuera un esquema circular y definir un periodo de validez. Quizá estas sucesivas iteraciones se podrían contemplar como un sistema de auditorías internas que fuera más ligero que una vuelta inicial, que se entiende que se realizaría en más profundidad.

Sugiero que la metodología incluya el establecimiento de un esquema/organigrama responsable del mantenimiento y la toma de decisiones relativos a la seguridad, como resultado de la aplicación de la metodología. En ese esquema inicial se podrían identificar las responsabilidades genéricas de cada rol”.

v José A. Rivas, matemático especializado en ciencias de la computación y seguridad

informática. Actualmente es el responsable del Laboratorio de Seguridad en Madrid para Applus+ Laboratories. Ha realizado evaluaciones de seguridad a diferentes dispositivos/soluciones, principalmente bajo la norma Common Criteria.

Presidente del Subcomité 6 integrado en el Comité Técnico Nacional 320 – Ciberseguridad y Protección de Datos Personales – en UNE y miembro activo de OWASP Madrid. Participa de otros grupos de trabajo internacionales (OWASP IoT Project, GlobalPlatform…).

“La presente metodología – NUTRIA – divide a lo largo de 6 fases, las diferentes tareas que una empresa (pequeña – mediana) debe ejecutar para lograr un sistema ciber-robusto en un entorno industrial.

Se describen acciones esenciales para la correcta protección de los activos de dicho sistema. Acciones que van desde el conocer tu propio sistema e identificar los distintos elementos que lo componen, análisis de vulnerabilidades, respuesta ante incidentes o recuperación ante incidentes. Todo ello contrastado bajo estándares (ISO/IEC 62443) o recomendaciones de entidades (INCIBE o CCI) del sector industrial. Lo que permite afirmar que la metodología está en línea con las demandas/intereses del sector. Propuesta de mejora

o Atendiendo al nombre de la fase 6 – Evaluación Continua – tendría sentido modificar el diagrama de fases de la metodología para que fuera un esquema cíclico.

o Según la descripción de la Fase 1 – Preparación – y la Fase 2 – Identificación y análisis del entorno – se podrían contemplar como una única fase, en lo referente a la recopilación de la información de protección de la seguridad de las instalaciones.

o La fase 4 – Respuesta –Se debería considerar la realización de un análisis forense, listado y revisión de los activos afectados, mecanismos que encajarían en este tipo de situaciones.

o Un check-list de auditoria basado en esta metodología podría ser un añadido de valor al trabajo.”

v Sergio González de Castro, Graduado en Ingeniería Informática por la

Universidad Politécnica de Madrid. Cuenta con más de 5 años de experiencia profesional directa en ciberseguridad, en una gran índole de proyectos. Como referente técnico de ciberseguridad industrial de Applus+ Laboratories, ejecuta evaluaciones de sistemas y dispositivos para diversos tipos de dispositivos de control industrial, incluyendo sistemas de edificación inteligente.

“Análisis de la metodología NUTRIA:

• Identificación: La metodología detalla las fases y pasos a tratar de una forma detallada pero flexible para poder acoger diferentes tipologías de sectores, empresas y realidades del entorno evaluado. Las técnicas de ciberseguridad para sistemas con comunicaciones más recomendables se ven reflejadas, no detectándose carencias evidentes en la misma. La criticidad de las telecomunicaciones en el mundo de Industria 4.0 se encuentra adecuadamente reflejada.

• Actuación: el desglosado en subtareas favorece la comprensión en profundidad del sistema objetivo, realizando los debidos análisis de riesgos para establecer una protección adecuada para los distintos activos. La catalogación de activos y redes, así como la creación de un adecuado plan de continuidad de negocio, en base a la salvaguarda de los respaldos de seguridad imponen una introspección sobre la resiliencia del sistema al operador del mismo importante para garantizar la continuidad de cualquier PYME ante un ciberataque.

• Evaluación: ejercitando la introspección, la evaluación continua permite a la PYME continuar refinando el resultado de la última iteración de NUTRIA, mejorando procesos, análisis, formaciones, y los demás aspectos de la metodología, de una forma más madura. Este acercamiento a ISO9001 en los procesos de mejora continua resulta crucial en el cambiante mundo de la ciberseguridad, y permite asumir los cambios que pueda traer la adopción de la industria 4.0.

La acertada aproximación a los elementos más distinguidos de otras metodologías permiten a NUTRIA gozar de una robustez poco habitual para una metodología naciente.

Propuesta de mejora

1. Una propuesta que aumentaría la usabilidad de la metodología sería el incluir una evaluación completa de un sistema, con todos los componentes y sub-fases. Esto permitiría a PYMES con recursos más limitados intentar comprender el valor de la metodología, y permitir que se comprendan conceptos que pueden ser más complejos para implementadores poco versados en ciberseguridad,

2. En línea con la propuesta anterior, la inclusión de unas plantillas para los elementos más reiterativos sería de interés para las PYMES que adopten la metodología, simplificando el proceso inicial de tareas como pueda ser el inventariado, los planes de formación, esquemas y direccionamientos de red, y otros similares.