Herramienta de evaluación de ciberseguridad para sistemas de control industrial y organizaciones en general.
Blog sobre seguridad informática. Con temas como: Auditoria, Test penetración, Malware, Informática Forense, Antivirus, SCADA, DDoS, SQL injection, OSINT…
La herramienta de evaluación de ciberseguridad (CSET®) proporciona un enfoque sistemático y disciplinado para evaluar postura de seguridad de una organización. Es una herramienta que guía a los propietarios y operadores de activos a través de un proceso paso a paso para evaluar su sistema de control industrial (ICS) y prácticas de seguridad de la red de tecnología de la información (TI). Los usuarios pueden evaluar su propia postura de ciberseguridad utilizando muchos reconocidos estándares y recomendaciones, gubernamentales y de la propia industria. El Departamento de Seguridad Nacional (DHS) y el Centro de Integración nacional de ciberseguridad y comunicaciones (NCCIC) desarrolló la aplicación CSET y la ofrece en sin costo para los usuarios finales.
CSET ayuda a evaluar su información y prácticas operativas de ciberseguridad de sistemas operativos, realizando una serie de preguntas detalladas sobre componentes del sistema y arquitecturas, así como políticas y procedimientos operativos. Estas preguntas se derivan de los estándares aceptados de ciberseguridad de la industria. Cuando se completan los cuestionarios, CSET proporciona un tablero de gráficos que muestra áreas de fortaleza y debilidad, así como una lista priorizada de recomendaciones para fortalecer la postura de ciberseguridad de la organización. CSET incluye soluciones, buenas prácticas, acciones correctores y mejoras de componentes. CSET admite la capacidad de comparar múltiples evaluaciones, establecer una línea de base y determinar tendencias.
Este proceso de evaluación puede ser utilizado efectivamente por las organizaciones, en todos los sectores para evaluar las redes ICS o IT. Este proceso comprende 5 fases:
1. Seleccionar estándares
Los usuarios seleccionan uno o más estándares de ciberseguridad reconocidos por el gobierno y la industria. Luego CSET genera preguntas que son específicas para esos requisitos. Incluye algunos estándares de muestra:
- Catálogo DHS de sistemas de control de seguridad: recomendaciones para desarrolladores de normas;
- Estándares de Protección de Infraestructura Crítica (CIP) de NERC 002-009;
- Publicación especial NIST 800-82, Guía para el control industrial Seguridad de sistemas;
- Publicación especial NIST 800-53, Seguridad recomendada Controles para sistemas de información federales;
- Marco de ciberseguridad del NIST;
- Guía reglamentaria de la NRC 5.71 Programas de ciberseguridad para Instalaciones nucleares;
- Comité de Instrucción de Sistemas de Seguridad Nacional (CNSSI) 1253;
- Pautas de ciberseguridad de los sistemas de control INGAA para Industria de gasoductos de gas natural;
- Pautas de NISTIR 7628 para la ciberseguridad de la red inteligente.
2. Determinar el nivel de seguridad
El nivel de garantía de seguridad (SAL) está determinado por las respuestas a preguntas relacionadas con las posibles consecuencias de un ciberataque exitoso en una organización, instalación, sistema de ICS, o subsistema. Se puede seleccionar o calcular y proporciona un nivel recomendado de rigor de ciberseguridad necesario para proteger contra el peor de los casos.
3. Crear un diagrama
CSET contiene una interfaz gráfica de usuario que permite a los usuarios crear un diagrama de la topología de la red e identificar la «criticidad» de la componentes de red. Los usuarios pueden crear un diagrama desde cero, importar un diagrama de plantilla preconstruido o importar un diagrama existente Microsoft Visio. Los usuarios pueden definir zonas de ciberseguridad, componentes críticos y rutas de comunicación de red. La paleta de iconos con componentes de sistema y red, permiten a los usuarios construir y modificar diagramas simplemente arrastrando y colocando componentes en su lugar.
4. Responda las preguntas
CSET luego genera preguntas utilizando la topología de red, los estándares de seguridad seleccionados y SAL como base. El equipo de evaluación puede seleccionar la mejor respuesta para cada pregunta utilizando la configuración de red real de la organización y las políticas y procedimientos de seguridad implementados. Se pueden ingresar notas o archivos adjuntos a preguntas individuales, marcándolas para su posterior revisión o proporcionando aclaraciones. Cada pregunta tiene información de referencia asociada, que se proporciona para aclaración. El sistema también muestra los requisitos subyacentes, cualquier texto complementario y recursos adicionales para ayudar a abordar el problema identificado.
5. Revisión de análisis e informes
El panel de análisis proporciona interacción con gráficos y tablas que presentan los resultados de la evaluación en forma resumida y detallada. Los usuarios pueden fácilmente desplazar contenido o «profundizar» para ver información más granular. También proporciona las principales áreas de preocupación que se priorizan según la información de amenazas actual. Se pueden imprimir informes diseñados profesionalmente para facilitar la comunicación con la gerencia y otros miembros del personal.
Esta herramienta junto con la herramienta monitorización C2MON desarrollada por el CERN, descrita en el articulo “Plataforma de control y monitorización, ideal para entornos industriales”, forman dos herramientas imprescindibles para organizaciones con sistemas SCADA.
Presentación CSET:
Guia de uso CSET:
Más información y descarga de CSET:
https://github.com/cisagov/cset
La entrada Herramienta de evaluación de ciberseguridad para sistemas de control industrial y organizaciones en general. se publicó primero en GURÚ DE LA INFORMÁTICA.
Fuente: El Gurú de la informática : Herramienta de evaluación de ciberseguridad para sistemas de control industrial y organizaciones en general.