Un proyecto financiado por la Unión Europea ha producido un herramental y métodos descargables para ayudar a las empresas y organizaciones a adoptar una estrategia de ciberseguridad más exhaustiva. Los resultados tan positivos de esta iniciativa también han contribuido a la formulación de nuevas normas en el sector.

Economía digital

Grandes grupos empresariales, servicios públicos como los hospitales y compañías de suministros como las empresas energéticas utilizan sistemas de red cada vez más complejos a fin de lograr una gestión eficiente y sin obstáculos. La dependencia de estos sistemas les hace, no obstante, más susceptibles a sufrir ataques cibernéticos («hacking»), que pueden costar a las empresas sumas millonarias por interrupciones de servicio y menoscabo de su reputación, y en el caso de que afecten a servicios públicos, pueden incluso poner en riesgo la vida de personas. «El hecho de que nueve de cada diez fallos de seguridad de software estén provocados por defectos de las aplicaciones supone una vulnerabilidad crucial que los hackers pueden explotar», afirma Juergen Grossmann, del Instituto Fraunhofer de Alemania, responsable de normalización del proyecto RASEN. «Para asegurar la protección de grandes sistemas en red, como los que utilizan las mayores empresas, es necesario comprender todos los riesgos potenciales de seguridad de fondo. Sin embargo, existe un problema fundamental, y es que la complejidad de los sistemas puede dificultar enormemente la realización de evaluaciones y pruebas». Enfoques integrales sobre ciberseguridad El proyecto RASEN ha buscado la forma de tratar esta cuestión abordando las evaluaciones de riesgos para la seguridad y las pruebas de seguridad mediante un planteamiento más integral. Hasta ahora, ambos aspectos se habían gestionado como áreas diferenciadas. «El sector demanda enfoques más integrados para poder hacer frente a los retos que plantea la seguridad, pero actualmente no existe ninguna norma que haga suficiente hincapié en la necesidad de integrar de manera sistemática las evaluaciones de los riesgos para la seguridad y las pruebas de seguridad», explica Grossmann. «Así pues, nos propusimos encontrar el modo de ser más útiles a las empresas y organizaciones que se muestran dispuestas a llevar a cabo un análisis exhaustivo de riesgos de los sistemas en red y a gran escala». El proyecto RASEN dio comienzo con una composición sistemática de los resultados de la evaluación de seguridad. De este modo, es posible analizar cada una de las partes de un sistema TIC por separado antes de realizar una evaluación global a partir de los resultados individuales. En segundo lugar, el equipo combinó las evaluaciones de riesgo para la seguridad de alto nivel con pruebas de seguridad de bajo nivel. «Con este planteamiento, las evaluaciones de riesgo pueden servir para derivar casos de pruebas de seguridad, y los resultados de estas pruebas se pueden emplear para verificar o poner al día las evaluaciones de riesgos», explica Grossmann. «Además, estos métodos abarcan las evaluaciones de riesgos para la seguridad desde perspectivas distintas. Por ejemplo, las evaluaciones de riesgos legales abordan las amenazas para la seguridad dentro de un contexto jurídico, mientras que las evaluaciones de riesgos para la seguridad examinan la probabilidad de que se produzcan amenazas y analizan las consecuencias previstas». Resultados con aplicación práctica Los resultados del proyecto RASEN se han plasmado ahora en un herramental que ayudará a las empresas y organizaciones a combinar las evaluaciones de riesgos para la seguridad y las pruebas de seguridad. La meta del equipo del proyecto es lograr que la metodología desarrollada sea lo más operativa y práctica posible. El método del proyecto RASEN, junto con algunas de las herramientas, ya se puede descargar del sitio web del proyecto, mientras que la herramienta de RACOMAT permite a los usuarios combinar la evaluación de riesgos para la seguridad basada en componentes con las pruebas de seguridad. Las pruebas se pueden integrar sin mayores problemas en las simulaciones de incidentes que la herramienta utiliza para elaborar sus análisis de riesgos compositivos. «Nuestros métodos son repetibles, lo que significa que una evaluación continua a través de una reevaluación rápida contribuirá a mantener la validez de los resultados aun cuando el sistema de destino o su entorno cambie y evolucione», afirma Grossmann. «Por ejemplo, nuestra herramienta RACOMAT accede a bibliotecas que contienen artefactos de análisis de riesgo como patrones de ataques y patrones de pruebas de seguridad, generando un grado elevado de reusabilidad». Buena parte del proceso se puede realizar de manera automática. El proyecto RASEN también ha sentado las bases de varios proyectos de investigación nuevos —Fraunhofer participa por ejemplo en el proyecto http://www.prevent-project.org/ (PREVENT)— y ha contribuido a la formulación de nuevas normas para este sector. «El Instituto Europeo de Normas de Telecomunicaciones ha adoptado varios documentos de normalización (por ejemplo, ETSI EG 203251 y ETSI TR 101 583) que se han remitido a organismos de normalización internacionales», apunta Grossmann. «Estos documentos recogen los resultados del proyecto en el área de la evaluación de riesgos para la seguridad».

Palabras clave

RASEN, ciberseguridad, herramental, servicios públicos, hackeo, vulnerabilidad, sistemas en red, normalización, amenaza, RACOMAT