CSET, Herramienta para evaluación de riesgos. Parte II.


Siguiendo con la primera parte donde os presentaba CSET vamos a recorrer ahora los distintos pasos en su utilización.

Tras la instalación, al iniciar la herramienta accederemos a la pestaña “Home”. Allí nos encontraremos con una pantalla donde tendremos las opciones de crear un proyecto, dónde guardarlo, etc.

CSET_01

Para lleva a cabo nuestro análisis deberemos crear un fichero donde se recogerá toda la información referente a nuestro análisis, añadiendo información complementaria en la pestaña “Information”. Para ello deberemos completar algunos campos como nombre, contacto, nombre de las instalaciones, entre otros.

CSET_02

Listo el punto anterior, el siguiente será definir los “Standards” que utilizaremos como referencia.

CSET_03_01

Tendremos tres opciones “Questions”, para el usuario medio con un conjunto de preguntas generales; “Requirements”, dirigido a técnicos con conocimiento de los estándares disponibles para cada uno de los ámbitos; y finalmente “CyberSecurity Framework”, orientado a la protección de infraestructuras Críticas.

En mi caso he seleccionado “Requirements”, apareciendo las distintas opciones que siguen. Tomaré como ejemplo “Process Control and SCADA – NIST Special Publication 800-82″.

CSET_03_02

Aquí llegamos a un punto clave, el “Security Assurance Level”, es decir el grado de seguridad al que queremos llegar con nuestro análisis.

CSET_04_01

A modo general podremos elegir entre 4 tipos de niveles, “Very high”, “High”, “Moderate” o “Low”; pudiendo hacerlo a su vez en los tres pilares de la ciberseguridad, “Confidentiality”, “Integrity” y “Availavility”. Luego, en la parte izquierda, existen otros parámetros más específicos acerca del potencial impacto para la economía de la organización o la población civil.

CSET_04_02

CSET_04_03

En el siguiente paso podremos realizar una ilustración sobre cómo están interconectados nuestros sistemas. Esto nos proporciona tener una visión gráfica de los elementos involucrados en el análisis ayudando a interpretar otros apartados. Bien editado por nosotros mismos o importándolo desde un fichero Microsoft Visio este será su sitio. Como podemos observar, disponemos de una variedad de equipos como PLC, RTU, HMI, entre las distintas temáticas como IT, Medical, Radio, General, Zone, etc.

CSET_05

De nuestra selección en el paso “Standard”, a continuación llega el momento de empezar a responder las preguntas en el apartado “Requirements”. Puede ser algo aburrido, pero crucial para poder identificar las deficiencias y diseñar soluciones. Puesto que hemos elegido el SP 800-82 del NIST, las preguntas irán dirigidas en esa dirección. Como muestra la imagen, comenzaremos con “Policy Vulnerabilities” y finalizaremos con “Technical Controls” no sin antes pasar por un conjunto de ellos. En la parte derecha tendremos información complementaria, además de la inclusión de ficheros adjuntos que pudieran ser necesarios o interesantes.

CSET_05_02

Respondidas las preguntas, el siguiente paso será analizar los resultados. Tras todo cumplimentado, tendremos los mismos en la pestaña “Analysis”. Estarán organizados bajo distintas categorías, teniendo varias opciones para su visualización tal y como aparece en la  parte izquierda de la pantalla, bajo “Dashboard”, “Assessment”, “Ranked Questions”, etc.

CSET_06

Finalmente, con todo lo anterior es la hora de generar el reporte definitivo. Dependiendo a quién vaya dirigido tendremos varias opciones en lo que a contenido se refiere. Para ello en “Report selection” elegiremos entre las opciones disponibles. La herramienta también nos ofrece la posibilidad de presentarlo en dos formatos, PDF o DOCX.

CSET_06_02

Así pues tendremos en nuestro caso un resultado como el que sigue.

CSET_07

Esta tarea que hemos visto, además de cómo realizarla, debe considerarse de vital importancia. No podemos llevar a cabo un plan y una estrategia de seguridad si no sabemos cómo, ni de qué manera, evaluar nuestras debilidades. Una vez detectadas entonces, y sólo entonces, podremos plantearnos la manera de cómo corregirlas. Sin embargo para poder solucionar un problema no solo debemos realizarnos las preguntas correctas sino adaptadas a cada entorno. Esto es, no es lo mismo una fábrica de coches, que una farmacéutica, que una de distribución de agua potable o una central nuclear. Las consecuencias de que se produzca una brecha en la seguridad podrán llegar a ser más o menos graves y con un posible impacto sobre población civil. Así pues, debemos contar con algo que nos oriente en esta labor, especialmente cuando la solución pasa por involucrar a profesionales de entornos tan distintos como son IT y OT. CSET es una excelente herramienta que nos facilitará y cubrirá nuestras necesidades en este ámbito por lo que resulta obligado contar con ella para securizar nuestras instalaciones.

Un saludo, nos vemos en la próxima!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s