CCN-CERT, Soluciones de Ciber Seguridad

Inspecciones y verificación de la seguridad

La auditoría de seguridad profundizará en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante, dentro del alcance establecido para la misma.

El Centro Criptológico Nacional lleva a cabo inspecciones de seguridad que permiten verificar la seguridad implementada en un Sistema y que los servicios y recursos utilizados cumplen con lo mínimo especificado y requerido en la política de seguridad (máxime en todos aquellos sistemas que manejan información clasificada) dentro del proceso de auditoría de seguridad establecido.

El alcance de la auditoría viene determinado por el ámbito, objetivo, actividades a realizar, medios y técnicas a aplicar que, junto a la periodicidad, se traducen en diferentes tipos de inspección de acuerdo con la tabla que se adjunta. Los niveles indicados vienen a dar respuesta al cumplimiento del gobierno de la seguridad (Nivel 1 y 2) y a la auditoría técnica (Nivel 3, 4 y 5).

Tipos de Inspecciones de Seguridad

NIVEL 1 NIVEL 2 NIVEL 3* NIVEL 4 NIVEL 5
ALCANCE Conocimiento de la gobernanza de la seguridad del Sistema Mejora en la gestión “global” de la seguridad Reconocimiento objetivo de que el Sistema opera dentro del marco de seguridad definido Conocimiento “real y completo” de la criticidad y riesgo del Sistema Conocimiento “real y estimado” de la criticidad y riesgo del Sistema
ÁMBITO Elemento (producto, servicio, dispositivo, aplicación,…) y Sistema Elemento (producto, servicio, dispositivo, aplicación,…) y Sistema Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión Elemento (producto, servicio, dispositivo, aplicación,…), Sistema e Interconexión
OBJETIVO Determinar los servicios proporcionados y arquitectura del Sistema Determinar las propiedades y funciones de seguridad del Sistema Determinar el nivel de seguridad de un Sistema y su grado de cumplimiento con la política de seguridad. Evaluación de la configuración del sistema y vulnerabilidades existentes Llegar a conocer la configuración del sistema, la superficie de exposición a vulnerabilidades y las amenazas existentes Llegar a conocer la superficie de exposición a vulnerabilidades y amenazas existentes
ACTIVIDADES Análisis Análisis
Verificación Manual
Análisis
Verificación Manual
Verificación Automática
Evaluación de la seguridad
Análisis
Verificación Manual
Verificación Automática
Prueba de seguridad en Caja Blanca
Análisis
Verificación Manual
Verificación Automática
Prueba de Intrusión en Caja Negra
MEDIOS Y TÉCNICAS Revisión Documentación Revisión Documentación
Gestión Configuración
Cuestionarios (ST&E Plan)
Entrevistas
Revisión Documentación
Gestión Configuración
Cuestionarios (ST&E Plan)
Entrevistas
Herramientas Seguridad
Herramientas y técnicas de análisis de vulnerabilidades y de evaluación de la seguridad del sistema Herramientas de identificación de activos y técnicas de evaluación y explotación de vulnerabilidades
PERIODICIDAD Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas Periódica y acorde con la Política de Seguridad, Procedimiento de Acreditación y Plan de Acciones Correctivas Con carácter excepcional dependiendo de la sensibilidad del Sistema o bien periódica si así lo estableciese la política de seguridad Con carácter excepcional dependiendo de la sensibilidad del Sistema o bien periódica si así lo estableciese la política de seguridad

* Recomendado para sistemas que manejan información clasificada / ENS