Método de entrevista
Fase 4, Tarea 1: Plan de evaluación de los controles de seguridad
El evaluador de los controles de seguridad desarrolla un plan de evaluación detallado que se utilizará como mapa para llevar a cabo la evaluación independiente de los controles de seguridad. Este plan especifica qué componentes del sistema se evaluarán, qué herramientas automatizadas o procesos manuales se utilizarán, y cuáles serán los límites de la prueba. El plan de pruebas también debe incluir reglas de compromiso acordadas (ROE) que han sido aprobadas por el propietario del sistema de información y el funcionario que lo autoriza. Estas REO deben definir el alcance y la profundidad de la evaluación de seguridad, los puntos de contacto (POC) para los eventos o incidentes que ocurran durante el evento de prueba, las herramientas y técnicas aceptables aprobadas para llevar a cabo la evaluación, y los niveles de acceso requeridos para completar una evaluación o evento de prueba exitoso. El plan de pruebas se desarrolla a partir del conjunto de pruebas existentes del sistema de información (BOE) que presenta el propietario de los sistemas de información al evaluador del control de seguridad, incluido el plan de seguridad de los sistemas (SSP), los documentos de ingeniería, arquitectura y política, las guías del usuario y del administrador, y los planes de pruebas anteriores y los resultados de las pruebas. Un BOE completo en este punto garantiza que el evaluador entiende el sistema de información tal y como se ha construido, con el nivel de detalle necesario que permitirá al SCA desarrollar un plan de pruebas que compruebe adecuadamente la postura de seguridad del sistema y la implementación de los controles de seguridad requeridos. Los controles que han sido evaluados y verificados por un evaluador que ha sido considerado independiente por el funcionario autorizante (durante los pasos anteriores en el RMF) para proporcionar suficientes protecciones y cumplimiento para el sistema o el proveedor de control común no necesitarán ser reevaluados; los resultados de la evaluación independiente inicial pueden ser utilizados como prueba de cumplimiento con el requisito de ese control. En los casos en los que el evaluador no fue considerado independiente, el plan de evaluación y los resultados pueden ser utilizados por el evaluador de control independiente para formar una línea de base del cumplimiento del sistema de información para acelerar la evaluación, si el plan de prueba anterior se considera adecuado. Si el plan anterior no es adecuado, tendrá que ser mejorado, reescrito o desarrollado desde cero por el evaluador de control independiente.
El plan de evaluación proporciona los objetivos para el evento de prueba de los evaluadores de control de seguridad independientes. Este plan para la evaluación del control identifica quién llevará a cabo el evento de prueba y los procedimientos que se utilizarán para validar que los controles de seguridad están en su lugar y funcionan según lo diseñado para proporcionar seguridad y cumplimiento. Un plan completamente desarrollado tiene dos propósitos para la organización. En primer lugar, establece las expectativas adecuadas para la evaluación de los controles de seguridad definiendo los procedimientos que se utilizarán para evaluar el sistema o el proveedor de controles, así como los límites y el alcance de la prueba. A continuación, obliga a los evaluadores a un nivel de esfuerzo definido, garantizando que los recursos no se malgasten en pruebas demasiado complejas, y da lugar a una evaluación correcta de los requisitos de los controles de seguridad. En algunos casos, es necesaria una estrategia de pruebas compleja en función de la criticidad del sistema o de la información que contiene. En todos los casos, el nivel de complejidad y detalle en la evaluación de los controles de seguridad debe ser compatible con la criticidad del sistema o del conjunto de controles comunes.
Hay tres tipos principales de evaluaciones utilizadas para probar los controles de seguridad requeridos para ser implementados en el sistema: la evaluación de prueba y evaluación de desarrollo, la verificación y validación independiente (IV&V), y un tercer tipo, uno que apoya cualquiera de los siguientes: evaluaciones que apoyan la autorización o reautorización; la evaluación de monitoreo continuo; y las evaluaciones de remediación, o regresión. Para las evaluaciones de autorización o reautorización se requiere un equipo de evaluación independiente, definido por el funcionario autorizante. Este nivel de independencia también es necesario para las evaluaciones del IV&V, incluidas las evaluaciones diseñadas para que sus resultados sean utilizados por el IV&V o las pruebas de evaluación/reevaluación, como las pruebas realizadas al principio del desarrollo del sistema. A menudo, es más ventajoso tener un equipo dedicado de evaluadores independientes asignados para llevar a cabo todos estos tipos de evaluaciones para garantizar que los resultados pueden ser utilizados para apoyar los eventos de autorización y reautorización, así como IV&V. La independencia implica que el evaluador esté libre de cualquier conflicto de intereses real o percibido con respecto al diseño y desarrollo de los controles de seguridad del sistema. Para lograr este nivel de independencia, el responsable de la autorización puede recurrir a una organización separada del equipo de diseño y desarrollo, incluidas otras organizaciones o un equipo contratado, para realizar evaluaciones independientes y de los controles de seguridad. Si se utilizan recursos contratados, es importante que el propietario del sistema no esté directamente involucrado en el proceso de contratación para garantizar la independencia de los evaluadores de control.
El plan de pruebas de seguridad debe definir los tipos de herramientas manuales y automatizadas que se utilizarán en el evento de prueba; la máxima eficacia se puede obtener mediante la utilización de pruebas automatizadas y procedimientos de prueba al realizar evaluaciones de control de seguridad, siempre que sea posible. Cuando se utilice una herramienta de evaluación automatizada o una aplicación de pruebas para validar el control, el plan de pruebas debe indicar los ajustes, perfiles, complementos y otros ajustes de configuración de la herramienta automatizada utilizada. Hay muchos casos en los que las herramientas automatizadas no pueden evaluar un control de seguridad o tendrán que ser reforzadas por procesos y procedimientos manuales. En estos casos, los procedimientos manuales deben estar completamente documentados, incluyendo los pasos dados, los comandos introducidos y los elementos de menú seleccionados. La documentación detallada garantiza que la prueba pueda repetirse con precisión y, en el caso de la reciprocidad, permite a las personas que inspeccionan el plan de prueba como parte del conjunto de pruebas entender cómo se evaluó cada control.
Además de documentar los pasos dados para completar la tarea de prueba específica para cada control de seguridad, es importante documentar el resultado esperado del evento de prueba. Esto suele aparecer como una parte del evento probado para cada control, normalmente después de los pasos detallados de la prueba. Esta documentación permite al SCA y a otras partes interesadas conocer el resultado esperado del sistema o dispositivo, que dará lugar a la superación con éxito de ese evento de prueba específico. En algunos casos, hay múltiples resultados que son aceptables; para estos eventos, puede ser más prudente enumerar los resultados que resultarían en el fracaso del evento de prueba; entonces el plan de prueba debe indicar que cualquier resultado, excepto los enumerados, indica que el control está implementado correctamente.
Además de ser independiente, el evaluador del control de seguridad debe tener una buena cantidad de experiencia técnica en la implementación y evaluación de los controles técnicos, operativos y de gestión. Estos tres tipos de controles pueden ser implementados como controles comunes, ser controles específicos del sistema o implementados como controles híbridos, basados en la forma en que el sistema fue desarrollado y diseñado. Por esta razón, el evaluador debe tener experiencia en la evaluación de una amplia gama de implementaciones de control en un número de diferentes entornos y tecnologías.
Al desarrollar el plan de pruebas de control de seguridad, el SCA debe hacer referencia a NIST SP 800-53A a menudo, ya que este documento define la forma en que el control debe ser evaluado. El SP 800-53A es a menudo referido por el término griego para el carácter A, el «alfa». El alfa define tres formas diferentes de evaluar un control de seguridad: examinar, entrevistar y probar. El NIST define estos tres eventos en el SP 800-53A como sigue:
El método de examen es el proceso de revisión, inspección, observación, estudio o análisis de uno o más objetos de evaluación (es decir, especificaciones, mecanismos o actividades). El objetivo del método de examen es facilitar la comprensión del evaluador, lograr una aclaración u obtener pruebas. El método de la entrevista es el proceso de mantener conversaciones con individuos o grupos de individuos dentro de una organización para, una vez más, facilitar la comprensión del evaluador, lograr una aclaración u obtener pruebas. El método de prueba es el proceso de ejercitar uno o más objetos de evaluación (es decir, actividades o mecanismos) bajo condiciones específicas para comparar el comportamiento real con el esperado.
Generalmente, los eventos de prueba son técnicos; sin embargo, algunos eventos de prueba implican la revisión de la documentación, mientras que algunas tareas de examen y entrevista requieren una forma de evaluación técnica -más comúnmente la revisión de la configuración del sistema o la salida. Aunque no es una definición oficial, una regla general es que los eventos de examen se centran en la revisión de la documentación o la salida del sistema, los eventos de entrevista se centran en hablar con diferentes personas, y los eventos de prueba son evaluaciones técnicas. El SCA utilizará estos requisitos para asegurarse de que el plan de pruebas que está elaborando aborda la forma específica en que debe evaluarse el control. El alfa también contiene tres apéndices que pueden ser útiles en este punto. El apéndice D define los métodos de evaluación, los objetos aplicables y los atributos; el apéndice G explica cómo desarrollar un SCA y una plantilla de SCA; y el apéndice G detalla cómo crear casos de evaluación para un plan de pruebas, así como ejemplos de casos de evaluación que pueden ser utilizados como plantillas.
Determinar la profundidad y la cobertura de las pruebas es importante cuando se desarrolla una evaluación de controles de seguridad o un plan de pruebas, ya que la evaluación o el plan establece el nivel de esfuerzo utilizado para probar cada control. Estos factores definen el rigor y el alcance de las pruebas requeridas para cada control específico y es jerárquico, proporcionando mayores requisitos de evaluación para las mayores garantías necesarias para algunos sistemas de información. La profundidad de la evaluación determina el nivel de detalle requerido para la comprobación completa de los controles de seguridad y puede ser uno de los tres valores de los atributos: básico, centrado o exhaustivo. La cobertura define el alcance o la amplitud de la evaluación e incluye los mismos atributos de básico, centrado y exhaustivo. Estos atributos de profundidad y cobertura son asignados por la organización cuando se define un programa de gestión de riesgos para toda la organización que apoyará el RMF. Normalmente, a medida que aumentan los requisitos de seguridad de los sistemas de información, también aumentan los requisitos de alcance y rigor de la evaluación de los controles de seguridad. El Apéndice D del NIST SP 800-53A define los requisitos de profundidad y cobertura para cada uno de los métodos de evaluación de examinar, entrevistar y probar. Partes de este documento se han reproducido en el Apéndice D por conveniencia; sin embargo, antes de completar el desarrollo del plan de evaluación, el evaluador de controles de seguridad debe verificar que esta información está actualizada; la última versión aprobada está en el sitio web del NIST.
Armado con esta información, el SCA puede desarrollar el plan de pruebas. Utilizando el SP 800-53A, el SCA puede identificar los métodos de evaluación que se utilizarán para cada evento de prueba, para cada control. Como ejemplo, el objetivo de evaluación para AC-3(6), Access Enforcement, que aparece en SP 800-53A, se cita aquí:
OBJETIVO DE EVALUACIÓN: Determinar si:
(i)
la organización define la información del usuario y/o del sistema que debe cifrarse o almacenarse fuera de línea en una ubicación segura; y
(ii)
la organización cifra, o almacena fuera de línea en una ubicación segura, la información del usuario y/o del sistema definida por la organización.
Métodos y objetos de evaluación potenciales:
Examinar: .
Entrevistar: .
Prueba: .
Esta es una mejora del control de seguridad principal AC-3. Verifica dos mejoras clave que deben ser implementadas en los sistemas donde este control es obligatorio. Como se indica en el objetivo de evaluación (i), la mejora verifica que la organización ha identificado la información del sistema que debe ser encriptada o almacenada fuera de línea, y como se indica en la parte (ii), que la organización efectivamente encripta o almacena esta información fuera de línea,. Los métodos y objetos de evaluación definen lo que se requiere para evaluar estos dos componentes. En este caso, los tres métodos -examinar, entrevistar y probar- son necesarios para una evaluación completa de la mejora.
Al desarrollar el plan de evaluación de los controles de seguridad, el evaluador de los controles de seguridad desarrolla primero un método para examinar el sistema. El SCA evalúa los métodos en la sección «select from» del método de examen. La SCA puede examinar cualquiera de los siguientes documentos o todos ellos: la política de control de acceso, los procedimientos que abordan la aplicación del acceso, la documentación de diseño del sistema de información, los ajustes de configuración del sistema de información y la documentación asociada, los registros de auditoría del sistema de información y otros documentos o registros pertinentes. El evaluador valora el método de prueba definido para esta mejora y, a continuación, elabora un plan de prueba para evaluar los mecanismos automatizados que implementan las funciones de control de acceso. A continuación, el evaluador revisa el BOE presentado por el sistema para determinar las tecnologías que se utilizarán para implementar el cifrado o el almacenamiento fuera de línea para los tipos de información requeridos, incluidos los resultados del procedimiento de prueba o los resultados esperados de la evaluación. Por último, el evaluador observa que esta mejora tiene un requisito de entrevista para que, durante la evaluación, se realice la parte de la entrevista. Aunque no es obligatorio, algunos evaluadores desarrollan un guión para realizar la entrevista y otros sólo utilizan los resultados de los otros métodos de la evaluación (examinar y probar) para determinar las preguntas de la entrevista de forma ad hoc durante la prueba.
En cualquier caso, los resultados de la entrevista deberían apoyar la identificación y evaluación de un sistema con una implementación correcta de esta mejora, en línea con los requisitos documentados descubiertos en el componente examinar y los resultados de la prueba. De este modo, se garantiza que el personal de apoyo del sistema entiende los requisitos de esta mejora, tal y como los han definido la organización y los propietarios del sistema. Si la evaluación resulta en una falla de cualquiera de los métodos, el control será catalogado como una falla o un pase parcial/una falla parcial, dependiendo de las reglas de compromiso de la evaluación.
El resultado de esta tarea es un plan de prueba completamente desarrollado, revisado y aprobado que define los evaluadores de control de seguridad, el proceso de evaluación y los límites de la evaluación, e incluye ROE aprobados. Se define la independencia del equipo de evaluación y, en ciertos casos, se requiere el uso de evaluadores independientes, según lo determine el funcionario autorizante. El plan de pruebas, una vez desarrollado y revisado, es aprobado por el OA.
En el Apéndice G se incluye una sección de un ejemplo de plan de evaluación de controles de seguridad