Apuntes sobre ISO/IEC 27017:2015 o los controles específicos para Cloud Computing

La ISO 27017 es una norma específica de seguridad con controles de seguridad para proveedores y clientes en entornos Cloud Computing, tomando como base la familia de normas ISO 27001.

El estándar internacional ISO/IEC 27017:2015 está diseñado para que las organizaciones lo usen como referencia para seleccionar controles de seguridad de la información de servicios en la nube al implementar un sistema de administración de seguridad de la información de informática en la nube basado en ISO/IEC 27002. Los proveedores de servicios en la nube también pueden usar este documento como guía para implementar controles de protección comúnmente aceptados.

Este estándar proporciona instrucciones adicionales para las implementaciones específicas para la nube basadas en la norma ISO/IEC 27002, así como controles adicionales para abordar los riesgos y las amenazas de seguridad de la información específicos de la nube que hacen referencia a las cláusulas 5-18 de la norma ISO/IEC 27002:2013 sobre controles, instrucciones de implementación y otra información. En concreto, en este estándar se proporcionan instrucciones sobre 37 controles de la norma ISO/IEC 27002, además de siete nuevos controles que no se encuentran en la ISO/IEC 27002. Estos nuevos controles abordan las siguientes áreas de importancia:

• Roles y responsabilidades compartidos en un entorno informático en la nube
• Eliminación y devolución de los activos de los clientes del servicio en la nube una vez que finaliza el contrato
• Protección y separación del entorno virtual de un cliente de los entornos de otros clientes
• Requisitos de refuerzo de las máquinas virtuales para satisfacer las necesidades de la empresa
• Procedimientos para las operaciones administrativas de un entorno informático en la nube
• Permitir a los clientes supervisar las actividades pertinentes en un entorno informático en la nube
• Alineación de la administración de seguridad de las redes virtuales y físicas

Para tener en cuenta:

La norma 27017 no deja de ser un listado de buenas prácticas específicas en materia de seguridad para un ámbito muy concreto (Cloud), pero no dispone de un sistema de referencia de conformidad propio. Ese es el motivo principal de que no sea certificable como tal. Por tanto, los sellos que algunas organizaciones muestran sobre ISO 27017 no son certificaciones como tal, sino algo totalmente privado y sin una validez equiparable a ISO 27001. Por ejemplo, hay algunas entidades que ahora disponen de un EY Certificate Point de ISO 27017, pero no se trata de certificación oficial como la que se pueda obtener de un ente certificador. Son garantías que ofrece esta entidad, pero no cumple con las características de ISO para poder certificarlo. Lo más adecuado de cara a publicitar el cumplimiento de esta norma por una entidad es realizar una declaración de cumplimiento, aunque evidentemente no tiene la misma validez que una certificación oficial.

Anuncio publicitario

Riesgo

Según el Diccionario de la RAE, el riesgo es definido como una «contingencia o proximidad de un daño». En este mismo sentido, la ISO define el riesgo como un efecto que se tiene de la incertidumbre de los objetivos. Con el tiempo, el concepto de riesgo pasó desde las áreas económicas y financieras a otras disciplinas como, por ejemplo, ingeniería, medicina, química, estudios ambientales, salud, seguridad y psicología, entre otras. Al hacerlo, se asoció con connotaciones negativas y el riesgo empezó a verse menos como oportunidad de ganancia y más con la posibilidad de pérdida, amenaza, peligro o alguna forma de daño.

En el entorno interno de la empresa se considera de manera principal la posibilidad de pérdida, porque pueden ocurrir diversas situaciones que resultan onerosas y obligan a invertir recursos destinados a crecimiento y fortalecimiento. En el entorno global, las organizaciones tienen mayores exigencias por el número de competidores existentes, lo cual implica asumir mayores riesgos, adoptar acciones para mitigarlos, proteger su patrimonio y buscar la continuidad del negocio. Por tanto, las organizaciones se esfuerzan por la identificación de riesgos emergentes, internos y externos, para seleccionar la mejor acción para explotarlos, evitarlos, prevenirlos, asumirlos, transferirlos o ignorarlos. En consecuencia, muchas organizaciones asumen riesgos para obtener mayores ganancias financieras o empresariales, mostrando al mundo cómo entenderlo, medirlo y sopesar sus consecuencias.

Existen diferentes marcos de referencia, modelos, normas, estándares y metodologías que ayudan a las organizaciones en la gestión de riesgos que pueden presentarse en el logro de los objetivos:

ISO/IEC 27005

Hace parte de la familia de normas del Sistemas de Gestión de Seguridad de la Información que ayuda a organizaciones de todo tipo y tamaño a implementar y operar un SGSI. Brinda pautas para gestionar los desafíos del riesgo legal que pueden enfrentar las organizaciones y es afín a la ISO 31000. La personalización de las pautas se aplica a cualquier organización y contexto. Esta norma internacional da un enfoque para la gestión del riesgo legal de una industria o sector.

PMBOK Del PMI

La ejecución exitosa de los proyectos es fundamental para la creación de valor, el crecimiento sostenible y la consecución de los objetivos. Las organizaciones existen para generar más valor a sus grupos de interés, enfrentándose así a la incertidumbre de si puede aumentar o disminuir su valor.

Metodología de gestión de riesgo

La organización puede definir su propia metodología, adaptar o acoger alguna existente de acuerdo con las necesidades. En general, no existe un modelo o metodología correcta, sino que cada uno tiene ventajas, limitaciones y aplicaciones específicas. Por eso, algunos se acomodan a ciertas condiciones y momentos, convirtiéndose en caso de éxito y, a veces, generalizándose a varias organizaciones.

Entorno organizacional

Los ganadores serán quienes se adapten al cambio, redefiniendo las organizaciones, creando nuevos mercados, abriendo senderos, reinventando las normas de competencia y cuestionando el statu quo. La gestión de riesgos está abordando desafíos como, por ejemplo, la inclusión social. Para ello, se requiere una exploración desde múltiples perspectivas, para comprender la relación entre el riesgo y la organización, en el entorno externo e interno. Con la explotación de recursos en zonas protegidas y la pandemia, los temas ambientales y de salud han generado polarización política y constantes disputas sobre cuáles son los riesgos reales, la apreciación de los expertos sobre estos riesgos y la legitimidad de las administraciones para gestionarlos.

Autoengaño

En la organización se construyen modelos del entorno y de ella, para actuar, comprender la realidad, anticipar el futuro y construir los planes. Desde esta perspectiva, la organización no puede verse como «es» y, por ende, cada operación de conciencia de sí misma, es un autoengaño en un mundo complejo. El autoengaño emerge después de ocurrido el evento y puede descubrirse en el proceso de diagnóstico a posteriori de la organización. En otras ocasiones, la experiencia conlleva a la anticipación del tipo de riesgo equivocado, el que se cree se puede calcular y controlar, cuando el de- sastre surge de lo que no se sabe y no se puede calcular.

Conocimiento distribuido

Independientemente de las razones, diversos actores de la organización detectan y apropian una parte del saber. Por ende, el administrador debe apoyarse en la parte que posee cada uno, crear las condiciones para la consecución de objetivos concertados y dirigirlos de un modo particular dependiendo del momento. Hoy el riesgo tiene un alcance transdisciplinario y una aplicación multinivel, es un concepto con un alcance y un poder organizativo sin precedentes. El trabajo de los directivos es precisamente saber correr riesgos.

Desorganización

La organización genera los elementos necesarios para la propia supervivencia y funcionamiento, aunque tiende a degenerarse porque la decadencia es un fenómeno normal. Inevitablemente la desorganización y la degeneración acompañarán al proceso, cuando no se definen los reguladores que mantengan a la organización dentro de límites viables. Con demasiada libertad, la organización tenderá al caos por carencia de guía. Si existe demasiado control, no podrá ser flexible y adaptable.

Talento humano

La actitud facilita lograr metas, asumir riesgos, agregar valor y enfocarse en los resultados. Para ello, los colaboradores deben cambiar actitudes y comportamientos para aprender, correr riesgos, innovar, crear nuevas habilidades y competencias, trabajar en equipo, comprometerse e involucrarse de manera creativa y proactiva en la organización. De igual manera, es necesario innovar para que los talentos permanezcan en la organización y la apalanquen. Adoptar mecanismos que los atraigan, encanten y agraden y hagan de la organización un mejor lugar para trabajar.

Cultura del riesgo

El término cultura de riesgo se usa para describir la atmósfera o cultura corporativa en la que se promueve la gestión del riesgo. Basados en lógicas y creencias culturales, los individuos advierten, abordan y responden a ciertos riesgos y no atienden a otros potenciales En consecuencia, existen organizaciones con culturas en las que el riesgo se considera una responsabilidad colectiva. Por tanto, es necesario que las organizaciones promuevan la cultura de riesgo.

Comunicación

Es importante generar un clima que promueva la comunicación. De esta manera, se puede evitar que la organización sufra situaciones permanentes de pérdida de control, por carencia de buenos mecanismos de comunicación, información y toma de decisiones. Las estructuras de interacción pueden facilitar o inhibir la comunicación. Esto se puede llamar una «crisis participativa», porque se ha excluido al individuo de la participación en el proceso debido a la ausencia de adecuados «canales de comunicación» o bucle de retroalimentación.

Monitoreo permanente

Los gerentes requieren, para lograr una gestión del riesgo, un sistema que indique en forma oportuna las desviaciones, porque los sucesos imprevistos pueden ocurrir y alterar los resulta dos deseados.

Realimentación y decisiones

Los directivos sólo pueden desempeñarse bien si los colaboradores asumen la responsabilidad de instruirlos, es decir, indicarles lo que debe hacerse en las diferentes áreas. Sin embargo, dichos colaboradores pueden sabotearlos ofreciéndoles un argumento objetivo o racional, el cual debe aceptarse porque su validez se funda en la verdad. La organización puede verse como un todo en el cual cada una de las partes debe contribuir al funcionamiento del conjunto. Con realimentación en los diferentes puntos, niveles e integrantes se participa de forma creativa en el cumplimiento de objetivos y toma de decisiones. Por ende, la dirección adquiere teóricamente un carácter menos autocrático, porque en dicha toma de decisiones se involucra de alguna manera a los representantes de las diferentes áreas de la organización.

Información y Tecnología

Con la transformación digital, I&T son fundamentales para el soporte, la sostenibilidad y el crecimiento de las organizaciones. Ahora, en la mayoría de los sectores, los directivos no pueden delegar, ignorar o evitar las decisiones relacionadas con información y tecnología. Las amenazas son globales, con diferente criticidad y cada día surgen nuevas que aprovechan las vulnerabilidades internas de la organización, impactando la seguridad de la información. Esto hace complejo el panorama porque el acceso a la información es un factor crítico en el desarrollo de la economía y las TIC facilitan su disponibilidad.

Con la ubicuidad de la tecnología se crea una nueva era dorada del espionaje. Las redes informáticas modernas amplían las oportunidades para todo tipo de inteligencia, en la cual nuevos actores pueden participar en estas actividades y cualquier persona u organización se convierta en objetivos. La transformación digital ha impulsado la implementación de tecnologías, modificado la operación de las empresas y los mercados y contribuido con nuevas prácticas de control, de manera específica el control algorítmico. Quien tiene el control despliega el algoritmo.

El control algorítmico determina qué debe realizarse, el orden, período de tiempo y grado de precisión. Al igual que en anteriores formas de control racional, los empleadores pueden utilizar la tecnología para priorizar decisiones que implementan los colaboradores. Los algoritmos se perciben no sólo como herramientas que facilitan la eficiencia y mejoran los intercambios de información, sino como instrumentos controvertidos que pueden incluir preferencias ideológicas, implementadas de acuerdo con intereses particulares poderosos, o tener sesgos de entrenamiento que generan discriminaciones. La gestión algorítmica, omnipresente y automática, es un método de control costo-efectividad, pero lejos de ser satisfactorio para todas las partes. Por tal razón, son los trabajadores los primeros en reaccionar ante el control algorítmico que puede generar concentración de poder y discriminación.

EL FACTOR HUMANO Y LA COMUNICACIÓN DE RIESGOS

Sasse y Flechais identificaron factores humanos que pueden afectar la gobernanza de la seguridad, incluidas las personas: tener problemas para usar las herramientas de seguridad correctamente; no comprender la importancia de los datos, el software y los sistemas para su organización; no creer que los activos están en riesgo (es decir, que serían atacados); o no entender que su comportamiento pone en riesgo el sistema. Esto destaca que el riesgo no se puede mitigar solo con la tecnología, y que la evaluación de las preocupaciones es importante. Si la percepción del riesgo es tal que existe una opinión generalizada de que las personas no creen que sus activos serán atacados, a pesar de que las estadísticas muestran que las brechas de seguridad cibernética aumentan año tras año, entonces es probable que haya un problema con la seguridad cibernética. Cultura de seguridad en la organización. Educar a las personas dentro de una organización es vital para garantizar la adopción cultural de los principios definidos en el plan de gestión de riesgos y la política de gobierno de seguridad asociada. Las personas generalmente seguirán el camino de menor resistencia para hacer un trabajo, o buscarán el camino de mayor recompensa. Como señalan Sasse y Flechais, las personas no siguen el comportamiento de seguridad requerido por una de dos razones: (1) no pueden comportarse como se requiere (un ejemplo es que no es técnicamente posible hacerlo; otro es que los procedimientos de seguridad y las políticas disponibles para ellos son grandes, difíciles de digerir o poco claras), (2) no quieren comportarse de la manera requerida (un ejemplo de esto puede ser que les resulta más fácil trabajar en torno a la propuesta de bajo riesgo pero política que consume mucho tiempo; otra es que no están de acuerdo con la política propuesta).
Weirich y Sasse estudiaron el cumplimiento de las reglas de contraseñas como un ejemplo de cumplimiento de la política de seguridad y descubrieron que la falta de cumplimiento estaba asociada con personas que no creían que estaban personalmente en riesgo o que serían responsables por no seguir las reglas de seguridad. Por lo tanto, es necesario garantizar un sentido de responsabilidad y un proceso de rendición de cuentas, en caso de incumplimiento de la política. Por supuesto, esto debe tener en cuenta las implicaciones legales y éticas, así como los problemas culturales relacionados con el incumplimiento de las reglas, lo cual es un acto de equilibrio. La comunicación de riesgos, por lo tanto, juega un papel importante en la gobernanza que incluye aspectos tales como:
• Educación: particularmente en torno a la concientización sobre los riesgos y el manejo cotidiano de los riesgos, incluida la evaluación y gestión de riesgos y preocupaciones;
• Capacitación e inducción del cambio de comportamiento: tomando la conciencia proporcionada por la educación y cambiando las prácticas y procesos internos para adherirse a la política de seguridad;
• Creación de confianza: tanto en torno a la gestión de riesgos de la organización como a las personas clave: desarrolle confianza con el tiempo y manténgala a través de un sólido desempeño y manejo de riesgos.
• Participación: particularmente en el proceso de toma de decisiones sobre riesgos, brindando a las partes interesadas la oportunidad de participar en la evaluación de riesgos y preocupaciones y participar en la resolución de conflictos.
Finalmente, predicar con el ejemplo es de suma importancia en el proceso de comunicación de riesgos. Es probable que las personas se sientan resentidas si parece que la alta gerencia no cumple con las mismas reglas y principios de gestión de riesgos. Compromiso visible de los altos cargos en un aspecto cultural importante de la comunicación de riesgos.

¿QUÉ ES LA GOBERNANZA DEL RIESGO Y POR QUÉ ES ESENCIAL?

La evaluación de riesgos y el desarrollo de principios de mitigación para gestionar los riesgos solo pueden ser efectivos cuando se implementa una política de gobernanza coordinada y bien comunicada dentro del sistema que se gestiona. Millstone et al. propuso tres modelos de gobernanza:
• Tecnocrático: donde la política está directamente informada por la ciencia y la evidencia de la experiencia del dominio.
• Decisorio: donde la evaluación de riesgos y la política se desarrollan utilizando insumos más allá de la ciencia solamente. Por ejemplo, incorporando impulsores sociales y económicos.
• Transparente (inclusivo): donde el contexto para la evaluación de riesgos se considera desde el principio con aportes de la ciencia, la política, la economía y la sociedad civil. Esto desarrolla un modelo de ‘evaluación previa’, que incluye las opiniones de partes interesadas más amplias, que da forma a la evaluación de riesgos y la política de gestión posterior.
Ninguno es correcto o incorrecto. Existe un delicado equilibrio entre el conocimiento y los hallazgos de los expertos científicos y las percepciones del público en general. Si bien el enfoque tecnocrático puede parecer lógico para algunos propietarios de riesgos que trabajan sobre la base del razonamiento que utiliza evidencia, es absolutamente crucial para una gobernanza de riesgos efectiva incluir la visión más amplia de las partes interesadas. El trabajo de Rohrmann y Renn sobre la percepción del riesgo destaca algunas razones clave para esto. Identifican cuatro elementos que influyen en la percepción del riesgo:
• juicio intuitivo asociado a probabilidades y daños;
• factores contextuales que rodean las características percibidas del riesgo (p. ej., familiaridad) y la situación de riesgo (p. ej., control personal);
• asociaciones semánticas vinculadas a la fuente del riesgo, las personas asociadas con el riesgo y las circunstancias de la situación de asunción del riesgo;
• confianza y credibilidad de los actores involucrados en el debate del riesgo.
Estos factores no son particularmente científicos, estructurados o basados ​​en evidencia pero, como señalaron Fischoff et al., tales formas de definir probabilidades se contrarrestan con la fuerza de la creencia que las personas tienen sobre la probabilidad de que un evento indeseable afecte sus propios valores. En última instancia, desde una perspectiva de gobernanza, cuanto más inclusivo y transparente sea el desarrollo de la política, más probable será el apoyo y la aceptación del grupo más amplio de partes interesadas, incluidos los legos y el personal operativo, para las políticas y principios de gestión de riesgos.
Hay varios elementos que son clave para una gobernanza de riesgos exitosa. Como gran parte del proceso de evaluación de riesgos, no existe una solución única para todos los esfuerzos. Sin embargo, un principio importante es garantizar que la actividad de gobernanza (ver más abajo) esté estrechamente relacionada con la actividad cotidiana y la toma de decisiones. El riesgo cibernético es tan importante como la salud y la seguridad, los procesos financieros y los recursos humanos. Estas actividades ahora están bien establecidas en la toma de decisiones. Por ejemplo, al contratar personal, el proceso de recursos humanos está a la vanguardia de la actividad del reclutador. Al viajar al extranjero, los empleados siempre consultarán las restricciones financieras y los procesos para viajar. La seguridad cibernética debe pensarse de la misma manera: un conjunto claro de procesos que reducen el riesgo de daño a las personas y al negocio. Todos los involucrados en el funcionamiento diario del sistema en cuestión deben comprender que, para que la seguridad sea efectiva, debe ser parte de la cultura operativa diaria. El enfoque de gobernanza del riesgo cibernético es clave para esta adopción cultural.

¿POR QUÉ ES IMPORTANTE LA EVALUACIÓN Y GESTIÓN DE RIESGOS?

La evaluación de riesgos involucra tres componentes centrales: (i) identificación y, si es posible, estimación del peligro; (ii) evaluación de la exposición y/o vulnerabilidad; y (iii) estimación del riesgo, combinando la probabilidad y la severidad. La identificación se relaciona con el establecimiento de eventos y los resultados posteriores, mientras que la estimación se relaciona con la fuerza relativa del resultado. La exposición se relaciona con los aspectos de un sistema abiertos a los actores de amenazas (p. ej., personas, dispositivos, bases de datos), mientras que la vulnerabilidad se relaciona con los atributos de estos aspectos que podrían ser atacados (p. ej., susceptibilidad al engaño, fallas de hardware, vulnerabilidades de software). . La estimación del riesgo puede ser cuantitativa (p. ej., probabilística) o cualitativa (p. ej., basada en escenarios) y captura el impacto esperado de los resultados. El concepto fundamental de la evaluación de riesgos es utilizar procesos analíticos y estructurados para capturar información, percepciones y evidencias que relacionen lo que está en juego, el potencial de eventos deseables e indeseables y una medida de los posibles resultados e impacto. Sin ninguna de esta información, no tenemos ninguna base para comprender nuestra exposición a las amenazas ni idear un plan para gestionarlas. Una parte del proceso de evaluación de riesgos que a menudo se pasa por alto es la evaluación de preocupaciones. Esto se deriva de la literatura sobre la percepción pública del riesgo, pero también es importante para la evaluación del riesgo de seguridad cibernética. Además de los aspectos científicos más probatorios del riesgo, la evaluación de preocupaciones incluye percepciones más amplias de las partes interesadas sobre: ​​peligros, repercusiones de los efectos del riesgo, miedo y pavor, control personal o institucional sobre la gestión de riesgos y confianza en los gestores de riesgos.

El proceso de gestión de riesgos implica revisar la información recopilada como parte de las evaluaciones de riesgos (y preocupaciones). Esta información constituye la base de las decisiones que conducen a tres resultados para cada riesgo percibido:
• Intolerable: el aspecto del sistema en riesgo necesita ser abandonado o reemplazado, o si no es posible, las vulnerabilidades deben ser reducidas y la exposición limitada.
• Tolerable: los riesgos se han reducido con métodos razonables y apropiados a un nivel tan bajo como sea razonablemente posible (ALARP) o tan bajo como sea razonablemente permisible (ALARA). Una gama de opciones puede incluir mitigar, compartir o transferir el riesgo, cuya selección dependerá del apetito de riesgo de los gestores de riesgos (y de la empresa en general).
• Aceptable: la reducción del riesgo no es necesaria y puede realizarse sin intervención. Además, el riesgo también se puede utilizar para buscar oportunidades (también conocido como «riesgo al alza»), por lo que el resultado puede ser aceptar y aceptar el riesgo en lugar de reducirlo.
Decidir cuál seleccionar dependerá de una serie de factores, por ejemplo (como se sugiere en ISO31000:2018), incertidumbre tangible e intangible, consecuencias de la realización del riesgo (buena o mala), apetito por el riesgo, capacidad organizacional para manejar el riesgo, etc.

Más allá de este marco de decisión, Renn define cuatro tipos de riesgo que requieren diferentes planes de gestión de riesgos. Éstos incluyen:
• Riesgos rutinarios: siguen un proceso de toma de decisiones bastante normal para la gestión. Se proporcionan estadísticas y datos relevantes, se definen los resultados deseables y los límites de aceptabilidad, y se implementan y hacen cumplir las medidas de reducción de riesgos. Renn da ejemplos de accidentes automovilísticos y dispositivos de seguridad.
• Riesgos complejos: donde los riesgos son menos claros, puede ser necesario incluir un conjunto más amplio de evidencia y considerar un enfoque comparativo como el análisis de costo-beneficio o la rentabilidad. La disidencia científica, como los efectos del tratamiento de drogas o el cambio climático, son ejemplos de esto.
• Riesgos inciertos: cuando existe una falta de previsibilidad, factores como la reversibilidad, la persistencia y la ubicuidad se convierten en consideraciones útiles. Se debe adoptar un enfoque de precaución con un enfoque continuo y administrado para el desarrollo del sistema mediante el cual los efectos secundarios negativos pueden contenerse y revertirse. La resiliencia ante resultados inciertos es clave aquí.
• Riesgos ambiguos: cuando las partes interesadas más amplias, como el personal operativo o la sociedad civil, interpretan el riesgo de manera diferente (p. ej., existen diferentes puntos de vista o falta de acuerdo sobre los controles de gestión), la gestión de riesgos debe abordar las causas de las diferentes opiniones. Renn usa el ejemplo de los alimentos genéticamente modificados donde las preocupaciones por el bienestar entran en conflicto con las opciones de sostenibilidad. En este caso, la gestión de riesgos debe permitir la toma de decisiones participativa, con medidas discursivas destinadas a reducir la ambigüedad a una serie de opciones manejables que pueden evaluarse y valorarse más.
Las opciones de gestión, por lo tanto, incluyen un enfoque de gestión basado en el riesgo (análisis de riesgo-beneficio u opciones comparativas), un enfoque basado en la resiliencia (donde se acepta que el riesgo probablemente permanecerá pero debe contenerse, por ejemplo, utilizando los principios ALARA/ALARP) , o un enfoque basado en el discurso (incluida la comunicación de riesgos y resolución de conflictos para hacer frente a las ambigüedades). Sin una consideración efectiva de la aceptabilidad del riesgo y un plan de reducción de riesgo adecuado, es probable que la respuesta a los resultados adversos sea desorganizada, ineficaz y probablemente conduzca a una mayor propagación de los resultados no deseados.
La gestión eficaz del riesgo a través de métodos de evaluación estructurados es particularmente importante porque, aunque nuestra definición práctica de riesgo se basa en las consecuencias de interés para las personas, nosotros (como sociedad) no somos muy buenos para evaluar este riesgo. El artículo de Slovic sobre la percepción del riesgo destaca que las percepciones relacionadas con el riesgo de temor (por ejemplo, accidentes nucleares) son clasificadas como de mayor riesgo por los legos, pero mucho más bajas por los expertos en el campo que entienden la evidencia relacionada con las limitaciones de seguridad y los controles para tales sistemas. La clasificación de riesgo de los expertos tiende a seguir los resultados indeseables esperados o registrados, como muertes, mientras que los legos se ven más influenciados por su juicio intuitivo (un accidente nuclear podría afectar a toda mi familia). Por lo tanto, existe un desajuste entre el riesgo percibido y el real. Como personas, tendemos a exagerar los riesgos raros pero relacionados con el temor (p. ej., incidentes nucleares y ataques terroristas), pero minimizamos los comunes (p. ej., delincuencia callejera y accidentes en el hogar), aunque estos últimos matan a muchas más personas.
Esta es también la razón por la cual la evaluación de preocupaciones es importante en el proceso de gestión de riesgos junto con la evaluación de riesgos. El libro de Schneier Más allá del miedo señala que tenemos una sensación natural de seguridad en nuestro propio entorno y una mayor sensación de riesgo fuera de este. Por ejemplo, nos sentimos seguros caminando por una calle al lado de nuestra casa pero nerviosos al llegar a una nueva ciudad. Como sociedad, rara vez estudiamos estadísticas a la hora de tomar decisiones; se basan en las percepciones de exposición a la amenaza, nuestro control percibido sobre las amenazas y su posible impacto. La evaluación de riesgos nos ayuda a capturar aspectos cuantitativos y cualitativos del mundo que nos permiten hacer una estimación realista de cuán seguros podemos estar de que ocurrirán eventos adversos y cómo afectarán a lo que más valoramos. Esto se aplica a nosotros personalmente como individuos y como grupos de personas con un objetivo común: salvar el planeta, administrar un negocio o educar a los niños. Necesitamos capturar nuestros objetivos, comprender qué podría conducir al fracaso para lograrlos y poner en marcha procesos para alinear medidas realistas para reducir los daños infligidos a nuestros objetivos.
Cuando se hace bien, la evaluación y gestión de riesgos permite a los responsables de la toma de decisiones garantizar que el sistema funcione para lograr los objetivos deseados definidos por las partes interesadas. También puede garantizar que el sistema no sea manipulado (intencionalmente o de otra manera) para producir resultados no deseados, así como tener procesos implementados que minimicen el impacto en caso de que ocurran resultados no deseados. La evaluación y gestión de riesgos también se trata de presentar información de manera transparente, comprensible y de fácil interpretación para diferentes audiencias, de modo que las partes interesadas responsables estén conscientes de los riesgos, cómo se gestionan, quién es responsable de gestionarlos y estén en acuerdo sobre cuál es el límite aceptable de exposición al riesgo. Esto es absolutamente crucial para gestionar con éxito el riesgo porque, si los riesgos no se presentan claramente a los responsables de la toma de decisiones (ya sean técnicos, sociales, económicos o de otro tipo), se pasará por alto el impacto de no gestionarlos y el sistema quedará expuesto. Del mismo modo, si el propósito de la gestión de riesgos no se aclara a las personas a nivel operativo, junto con sus propias responsabilidades y rendición de cuentas por los impactos de los riesgos, no aceptarán el plan de gestión de riesgos y el sistema permanecerá expuesto. En términos más generales, si no se escuchan las preocupaciones de las partes interesadas más amplias (por ejemplo, la sociedad civil) o si existe una falta de confianza en el plan de gestión de riesgos, podría haber un rechazo generalizado del sistema planificado que se propone.
Tan importante como es transmitir los riesgos claramente a las partes interesadas, es igualmente importante enfatizar que los riesgos no siempre se pueden eliminar. Es probable que haya algún riesgo residual para las cosas que valoramos, por lo que se deben mantener discusiones entre los que toman las decisiones y aquellos que están involucrados en las operaciones de un sistema. En última instancia, los responsables de la toma de decisiones, que deberán rendir cuentas por no gestionar el riesgo, determinarán el nivel de tolerancia al riesgo, ya sea que se acepte, evite, mitigue, comparta o transfiera el riesgo. Sin embargo, es posible que partes interesadas más amplias, como aquellas involucradas en las operaciones del sistema, puedan tener puntos de vista diferentes sobre cómo administrar el riesgo, dado que es probable que tengan diferentes valores que están tratando de proteger. Para algunos, ahorrar dinero será clave. Para otros, la reputación es el foco principal. Para las personas que trabajan dentro del sistema, puede ser la velocidad del proceso o la facilidad para realizar las tareas diarias. El propósito de la evaluación y gestión de riesgos es comunicar estos valores y garantizar que se tomen decisiones para minimizar los riesgos a un conjunto acordado de valores gestionándolos adecuadamente, mientras maximiza la “aceptación” del proceso de gestión de riesgos. En el contexto más amplio de riesgos para la salud y la seguridad, este concepto se relaciona con la noción de ALARP (tan bajo como sea razonablemente posible): poder demostrar que se han realizado esfuerzos y cálculos significativos para calcular el equilibrio entre la aceptación y la mitigación del riesgo, a favor de seguridad y protección. Una vez más, es importante resaltar aquí que la evaluación de preocupaciones es una parte importante de la evaluación de riesgos para garantizar que la política de evaluación de riesgos (el enfoque acordado para la evaluación de riesgos) sea informada por los responsables del riesgo, los afectados por el riesgo y los que deben actuar. de una manera que mantenga el plan de gestión día a día. De manera crucial, se debe reconocer que el impacto de eventos únicos a menudo puede extenderse más allá de los daños directos y extenderse mucho más en las cadenas de suministro. Como dice Slovic, los resultados de un evento actúan como las ondas de una piedra arrojada a un estanque, primero directamente dentro de la empresa o sistema en el que ocurrió, y luego en subsistemas y empresas y componentes interdependientes.
Uno de los principales impulsores de la evaluación y gestión de riesgos es demostrar el cumplimiento. Esto puede ser el resultado de la necesidad de contar con la aprobación de cumplimiento auditada de los organismos internacionales de normalización para obtener contratos comerciales; para cumplir con las demandas legales o reglamentarias (p. ej., en Europa, la directiva de Redes y Sistemas de Información (NIS) exige que los operadores de servicios esenciales (como la infraestructura nacional crítica) sigan un conjunto de 14 principios orientados a objetivos); o para mejorar la comerciabilidad de una empresa a través de mejoras percibidas en la confianza pública si se obtiene la certificación. Esto a veces puede conducir a una evaluación de riesgos de «casilla de verificación» en la que el resultado se centra menos en la gestión del riesgo y más en lograr el cumplimiento. Esto puede resultar en una falsa sensación de seguridad y dejar a la organización expuesta a riesgos. Esto nos lleva de vuelta a la definición de trabajo de riesgo de Renn. Estos ejemplos se centran en la gestión del riesgo de no cumplir con varias posiciones políticas y, como resultado, pueden descuidar el enfoque más amplio sobre el impacto en los valores que tienen las partes interesadas organizacionales, sociales o económicas más amplias. El contexto y el alcance de la gestión de riesgos deben adoptar esta visión de resultados más amplia para que sea un ejercicio útil y valioso que mejore la preparación y la resiliencia ante resultados adversos.
Con base en estos factores, la evaluación y gestión de riesgos es ciertamente un proceso, no un producto. Es algo que, cuando se hace bien, tiene el potencial de mejorar significativamente la resiliencia de un sistema. Cuando se hace mal (o no se hace en absoluto), puede generar confusión, daños a la reputación y un impacto grave en la funcionalidad del sistema. Es un proceso que a veces se percibe como sin importancia antes de que uno lo necesite, pero crítico para la continuidad del negocio en tiempos de crisis. A lo largo del proceso de evaluación de riesgos, debemos ser conscientes de que la percepción del riesgo varía significativamente en función de una variedad de factores y que, a pesar de la evidencia objetiva, no cambiará. Para usar un ejemplo de, proporcionar evidencia de que el riesgo anual de vivir al lado de una planta de energía nuclear es equivalente al riesgo de viajar 3 millas adicionales en un automóvil, no necesariamente reduce la percepción del riesgo dadas las diferencias que rodean a la percepción general de los diferentes escenarios. Intuitivamente, la comunicación y el respeto por las medidas cualitativas y cuantitativas de evaluación de riesgos son fundamentales para su práctica. Ambas medidas exhiben ambigüedad (por ejemplo,) y, a menudo, carecemos de datos de calidad sobre el riesgo, por lo que la evidencia solo llega hasta cierto punto. Siempre existirá la necesidad de un juicio humano subjetivo para determinar la relevancia y los planes de gestión, lo que en sí mismo conlleva sus propias limitaciones, como la falta de conocimiento experto y el sesgo cognitivo.

¿QUÉ ES EL RIESGO?

El riesgo está en el corazón de la vida cotidiana. Desde un niño que toma la decisión de saltar de un árbol hasta una decisión de inversión del director ejecutivo de una empresa multimillonaria, todos tomamos decisiones que potencialmente nos impactan como individuos e impactan nuestras redes sociales más amplias y nuestro entorno. Definir el riesgo es, por lo tanto, un asunto altamente filosófico y polémico. Los trabajos seminales de Slovic y Renn sobre la percepción del riesgo capturan los temas de amplio alcance que rodean este debate y brindan una definición de trabajo que abstrae la pregunta para permitirnos involucrarnos con el tema del riesgo en un nivel sociotécnico. La definición de trabajo de riesgo de Renn es la posibilidad de que las acciones o eventos humanos tengan consecuencias que tengan un impacto en lo que los humanos valoran. Esto fundamenta el riesgo en el valor humano, que se aplica tanto al ejemplo del niño como al del director ejecutivo. También se aplica a contextos de seguridad cibernética en un mundo donde las personas y la tecnología están intrínsecamente vinculadas. El fracaso de uno para apoyar el éxito del otro puede conducir al desastre social, económico y técnico. La definición de trabajo del impacto en los valores plantea otra cuestión sobre cómo definir el valor y los indicadores de captura que se pueden utilizar para medir y gestionar el riesgo. Renn define tres elementos abstractos básicos requeridos para esto: resultados que tienen un impacto en lo que los humanos valoran, posibilidad de ocurrencia (incertidumbre) y una fórmula para combinar ambos elementos. Estos elementos son el núcleo de la mayoría de los métodos de evaluación de riesgos. Dichos métodos tienen como objetivo proporcionar un enfoque estructurado para capturar las entidades de valor y la probabilidad de que los resultados no deseados afecten a las entidades, teniendo en cuenta que incluso algo con muy baja probabilidad puede realizarse y tener un impacto significativo en un valor. Por lo tanto, utilizamos la definición de trabajo de riesgo de Renn para la discusión en este KA en el contexto del riesgo cibernético.

Un desafío clave con la evaluación y gestión de riesgos es hacer suposiciones explícitas y encontrar el equilibrio entre las percepciones de riesgo subjetivas y la evidencia objetiva. La evaluación de riesgos es, por lo tanto, un proceso de recopilación de observaciones y percepciones del mundo que pueden justificarse mediante razonamiento lógico o comparaciones con resultados reales. La gestión de riesgos, por otro lado, es el proceso de desarrollar y evaluar opciones para abordar los riesgos de una manera que sea aceptable para las personas cuyos valores pueden verse afectados, teniendo en cuenta que el acuerdo sobre cómo abordar el riesgo puede implicar un espectro de (en ) tolerancia – de la aceptación al rechazo. La Gobernanza de Riesgos es un conjunto general de procesos y principios en curso que tiene como objetivo garantizar la conciencia y la educación de los riesgos que se enfrentan cuando ocurren ciertas acciones, y para inculcar un sentido de responsabilidad y rendición de cuentas a todos los involucrados en su gestión. Es la base de la toma colectiva de decisiones y abarca tanto la evaluación como la gestión de riesgos, incluida la consideración de los contextos legal, social, organizativo y económico en los que se evalúa el riesgo. Esta área de conocimiento explora todos estos temas y proporciona información sobre la evaluación, la gestión y la gobernanza de riesgos desde una perspectiva de la ciencia de la seguridad cibernética que es accesible tanto para particulares como para pymes y grandes organizaciones.

VERIFICACIÓN Y MÉTODOS FORMALES

La fragilidad humana significa que con frecuencia surgen fallas en el diseño o la codificación del sistema, y ​​estas a menudo dan lugar a vulnerabilidades de seguridad. La disciplina de Ingeniería de Software ha realizado muchos esfuerzos para intentar minimizar la introducción de tales fallas y para ayudar a su detección temprana cuando surgen.
En su forma más básica, la verificación y validación de los sistemas de software implica pruebas de coherencia, comportamiento uniforme/previsto y conformidad con las especificaciones. Por su naturaleza, tales pruebas nunca pueden ser completas o exhaustivas en ningún sistema realista, y necesariamente serán deficientes para encontrar fallas deliberadas o fallas de diseño sistémico. Los enfoques de verificación y modelado buscan razonar sobre diseños e implementaciones para probar matemáticamente que tienen las propiedades de seguridad requeridas.
Los métodos formales son enfoques de modelado y verificación basados ​​en el uso de lenguajes, lógica y matemáticas para expresar especificaciones de sistemas y software, y para modelar diseños de protocolos y sistemas. Para el modelado y la verificación de la seguridad, el modelo del adversario también se incorpora al razonamiento, de modo que los diseños puedan verificarse con respecto a sus requisitos de seguridad en el contexto de clases particulares de amenazas. Pruebas rigurosas establecen que ningún ataque de una clase particular es posible, estableciendo la seguridad del diseño contra tipos particulares de adversario. Hay dos enfoques principales para el modelado formal: computacional y simbólico.
El enfoque de modelado computacional está cerca del sistema real: es una metodología formal en un nivel matemático más fundamental, donde los mensajes son cadenas de bits, las funciones criptográficas se definen como funciones en cadenas de bits, los participantes del sistema son generalmente máquinas de Turing interactivas y Los parámetros de seguridad dan métricas asintóticas a esta metodología: la longitud de las claves, la complejidad de los algoritmos o la medida de las probabilidades varían con el parámetro de seguridad. Se considera que el adversario es una máquina de Turing de tiempo polinómico probabilístico. Las definiciones precisas de las funciones criptográficas se pueden capturar y analizar dentro del modelo. Los requisitos de seguridad se expresan como propiedades en el modelo que incluye al adversario, y generalmente se considera que una propiedad de seguridad se cumple si la probabilidad de que no se cumpla es insignificante en el parámetro de seguridad.
El modelado formal se ha utilizado en el campo de la seguridad durante algunas décadas, en muchos de los KA clasificados en CyBOK under Systems Security, Infrastructure Security y Software & Platform Security. Por ejemplo, en el área de control de acceso, el modelo de Bell-La Padula proporciona un modelo abstracto de las reglas que determinan si un sujeto con cierta autorización de seguridad debe tener un tipo particular de acceso a un objeto con una clasificación de seguridad determinada. El objetivo de este modelo es evitar la desclasificación de datos; trabajos posteriores generalizaron esto a métodos para prevenir ciertos flujos de información. Se han propuesto otros modelos de control de acceso para lograr otras propiedades, como la integridad. Los métodos formales permiten que las propiedades de seguridad clave se expresen y prueben en el modelo formal. Las propiedades de no interferencia se han formalizado en términos de ejecuciones utilizando sistemas de transición, y las descripciones de sistemas con semántica de sistemas de transición pueden evaluarse frente a tales propiedades.
El enfoque de modelado simbólico es más abstracto que el enfoque computacional y se ha aplicado en una variedad de sabores al modelado y análisis de protocolos de seguridad: secuencias de interacciones entre agentes para lograr un objetivo de seguridad como la autenticación o el intercambio de claves. Los enfoques basados ​​en la lógica, como la lógica BAN, proporcionan un lenguaje para expresar requisitos como la confidencialidad y la autenticación, hechos relacionados con el envío y la recepción de mensajes de protocolo y reglas de inferencia para permitir el razonamiento sobre la corrección. Los enfoques basados ​​en el lenguaje, como Applied Pi, proporcionan lenguajes para describir protocolos explícitamente y construyen un modelo de todas las posibles ejecuciones, incluidos los pasos antagónicos, para razonar sobre las garantías que el protocolo puede proporcionar. Las propiedades de seguridad se expresan en términos de lo que debe ser cierto para cada ejecución en el modelo, por ejemplo, si Bob cree al final de la ejecución de un protocolo que comparte una clave de sesión con Alice, entonces el adversario tampoco está en posesión de esa clave. clave de sesión.
Aunque los cimientos de los enfoques formales están maduros, el desafío ha sido hacerlos prácticos. La aplicación de enfoques formales requiere una gestión cuidadosa de los detalles intrincados, lo que en la práctica requiere el apoyo de herramientas para permitir la verificación mecanizada y comprobar las pruebas. El soporte de herramientas para el enfoque simbólico proviene de herramientas de métodos formales de propósito general aplicadas a problemas de seguridad como Isabelle/HOL o FDR, o de herramientas adaptadas específicamente a la seguridad como Tamarin o ProVerif. Estas herramientas típicamente toman ya sea un enfoque de prueba de teoremas o un enfoque de verificación de modelos donde el espacio de estado se explora exhaustivamente.
La verificación que utiliza los enfoques de modelado computacional ha sido de naturaleza más matemática, aunque ahora se han desarrollado herramientas como CryptoVerif y EasyCrypt para respaldar las pruebas computacionales. Los enfoques simbólico y computacional se pueden usar juntos: un ataque en un modelo simbólico generalmente dará lugar a un ataque en el modelo computacional, por lo que es valioso llevar a cabo un análisis simbólico de un sistema primero para verificar y diseñar cualquier ataque identificado. Una vez que se verifica un modelo simbólico, se necesita algo de trabajo adicional para establecer la seguridad en el modelo computacional. Esto puede llevarse a cabo directamente o mediante la aplicación de técnicas generales, como la solidez computacional, que dan condiciones para que los resultados simbólicos se apliquen al modelo computacional.
Estas herramientas ahora se están volviendo lo suficientemente sólidas como para verificar protocolos implementados como TLS1.3, que se ha verificado mediante una combinación de ambos enfoques, pero aún requieren orientación experta. El desarrollo adicional del soporte de la herramienta es un área de investigación activa.

CONDICIONES LATENTES DE DISEÑO

A medida que más y más sistemas ciberfísicos se conectan a otros sistemas e Internet, la complejidad inherente que surge de una conectividad a gran escala y la naturaleza crítica de seguridad de algunos de los sistemas ciberfísicos significa que otros principios también se vuelven muy relevantes. Uno de esos principios es el de las condiciones de diseño latentes de la investigación en el dominio de sistemas críticos para la seguridad realizada por James Reason. En el contexto de la seguridad cibernética, las condiciones de diseño latentes surgen de decisiones pasadas sobre un sistema (o sistemas). A menudo permanecen ocultos (o no considerados) y solo salen a la luz cuando ciertos eventos o configuraciones se alinean, en el caso de que las vulnerabilidades de seguridad de los sistemas ciberfísicos queden expuestas a medida que se conectan a otros sistemas o a Internet. Reason se refiere a esto como el modelo de queso suizo donde se alinean diferentes agujeros en las rebanadas. El punto clave a tener en cuenta es que ya no podemos considerar la pérdida de información como una consecuencia potencial de las infracciones de seguridad cibernética, sino que también debemos considerar las implicaciones de seguridad. Además, la seguridad por diseño no siempre es una posibilidad y, a medida que los sistemas heredados se conectan a otros entornos en red, se deben considerar las condiciones de diseño latentes (inseguras) que pueden manifestarse y cómo mitigar su impacto.

PRINCIPIOS DEL NIST

El NIST enumera principios más contemporáneos en el diseño de sistemas. Incorporan y amplían los principios de Saltzer y Schroeder. Se clasifican en tres grandes familias relacionadas con: ‘Arquitectura y diseño de seguridad’ (es decir, organización, estructura e interfaces); «Capacidad de seguridad y comportamientos intrínsecos» (es decir, de qué se tratan las protecciones); y ‘Life Cycle Security’ (es decir, los relacionados con el proceso y la gestión). Como tales, esos principios se refieren específicamente a la arquitectura de seguridad, los controles específicos y la gestión de procesos de ingeniería.
Varios de los principios del NIST se relacionan directamente con los de Saltzer y Schroeder, como el mecanismo menos común, el acceso mediado eficientemente, el uso compartido minimizado, los elementos de seguridad minimizados, la complejidad reducida, el privilegio mínimo, los valores predeterminados seguros y el permiso predicado, y la seguridad aceptable.
En particular, los nuevos principios se ocupan de la mayor complejidad de los sistemas informáticos modernos y enfatizan el diseño modular limpio, es decir, con abstracción clara, modularidad y capas, dependencias parcialmente ordenadas, capacidad de evolución segura. Otros principios reconocen que no todos los componentes de un sistema seguro pueden operar con el mismo nivel de seguridad y exigen que se beneficien de una estructura de confianza jerárquica, en la que la falla de seguridad de algunos componentes no pone en peligro todas las propiedades del sistema. El principio del Umbral de Modificación Inversa establece que aquellos componentes que son los más críticos para la seguridad, también deben ser los más protegidos contra modificaciones o manipulaciones no autorizadas. La protección jerárquica establece que los componentes de seguridad menos críticos no necesitan protegerse de los más críticos.
El marco NIST también reconoce que los sistemas modernos están interconectados y proporciona principios sobre cómo asegurarlos. Estos deben conectarse en red utilizando canales de comunicación confiables. Deben disfrutar de una composición distribuida segura, lo que significa que si se componen dos sistemas que aplican la misma política, su composición también debería, al menos, aplicar la misma política. Finalmente, el principio de confianza autosuficiente establece que un sistema seguro debe permanecer seguro incluso si está desconectado de otros componentes remotos.
Los principios del NIST amplían qué tipos de mecanismos de seguridad son aceptables para los sistemas del mundo real. En particular, los principios de seguridad económica, seguridad de desempeño, seguridad de factores humanos y seguridad aceptable establecen que los controles de seguridad no deben ser demasiado costosos, degradar demasiado el rendimiento o ser inutilizables o inaceptables para los usuarios. Este es un reconocimiento de que los controles de seguridad respaldan las propiedades funcionales de los sistemas y no son un objetivo en sí mismos.
Además de los principios, NIST también describe tres estrategias clave de arquitectura de seguridad. El concepto de monitor de referencia es un control abstracto que es suficiente para hacer cumplir las propiedades de seguridad de un sistema. Defense in Depth describe una arquitectura de seguridad compuesta por múltiples controles superpuestos. El aislamiento es una estrategia mediante la cual diferentes componentes se separan física o lógicamente para minimizar la interferencia o la fuga de información.
Tanto el NIST como Saltzer y Schroeder destacan que los principios solo brindan orientación y deben aplicarse con habilidad a los problemas específicos que se presenten para diseñar arquitecturas y controles seguros. La desviación de un principio no conduce automáticamente a ningún problema, pero tales desviaciones deben identificarse para garantizar que cualquier problema que pueda surgir se haya mitigado adecuadamente.

PRINCIPIOS DE SALTZER Y SCHROEDER

Saltzer y Schroeder enumeraron los primeros principios de diseño recopilados para la ingeniería de controles de seguridad en 1975. Estos se propusieron en el contexto de la ingeniería de sistemas operativos multiusuario seguros que respaldan las propiedades de confidencialidad para su uso en organizaciones gubernamentales y militares. Esta motivación los sesga de alguna manera, sin embargo, también han resistido la prueba del tiempo al ser aplicables al diseño de controles de seguridad de manera mucho más amplia.

Los ocho principios que enumeran son los siguientes:

• Economía de mecanismo. El diseño de los controles de seguridad debe seguir siendo lo más simple posible, para garantizar un alto grado de seguridad. Los diseños más simples son más fáciles de razonar formal o informalmente, para argumentar que son correctos. Además, los diseños más simples tienen implementaciones más simples que son más fáciles de auditar o verificar manualmente para obtener un alto nivel de seguridad. Este principio subyace en la noción de Trusted Computing Base (TCB), es decir, la colección de todos los componentes de software y hardware en los que se basa un mecanismo o política de seguridad. Implica que el TCB de un sistema debe permanecer pequeño para garantizar que mantenga las propiedades de seguridad esperadas.
• Valores predeterminados a prueba de fallos. Los controles de seguridad deben definir y permitir operaciones que puedan identificarse positivamente como conformes con una política de seguridad y rechazar todas las demás. En particular, Saltzer y Schroeder advierten contra los mecanismos que determinan el acceso intentando identificar y rechazar comportamientos maliciosos. El comportamiento malicioso, ya que está bajo el control del adversario y, por lo tanto, se adaptará, es difícil de enumerar e identificar de forma exhaustiva. Como resultado, basar los controles en la exclusión de la infracción detectada, en lugar de la inclusión de un buen comportamiento conocido, es propenso a errores. Cabe destacar que algunos controles de seguridad modernos violan este principio, incluido el software antivirus basado en firmas y la detección de intrusos.
• Mediación completa. Todas las operaciones en todos los objetos en un sistema deben verificarse para garantizar que estén de acuerdo con la política de seguridad. Dichos controles generalmente implicarían asegurarse de que el sujeto que inició la operación esté autorizado para realizarla, suponiendo un mecanismo sólido para la autenticación. Sin embargo, los controles de seguridad modernos pueden no basar las verificaciones en la identidad de dicho sujeto, sino en otras consideraciones, como tener una «capacidad».
• Diseño abierto. La seguridad del control no debe basarse en el secreto de su funcionamiento, sino únicamente en secretos o contraseñas bien especificados. Este principio sustenta la seguridad cibernética como un campo de estudio abierto: permite a académicos, ingenieros, auditores y reguladores examinar cómo funcionan los controles de seguridad para garantizar su corrección o identificar fallas, sin socavar su seguridad. El enfoque opuesto, a menudo llamado «seguridad por oscuridad», es frágil, ya que restringe quién puede auditar un control de seguridad y es ineficaz contra las amenazas internas o los controles que pueden someterse a ingeniería inversa.
• Separación de privilegios. Los controles de seguridad que se basan en múltiples sujetos para autorizar una operación brindan mayor seguridad que los que se basan en un solo sujeto. Este principio está incorporado en los sistemas bancarios tradicionales y se traslada a los controles de seguridad cibernética. Sin embargo, si bien suele ocurrir que aumentar el número de autoridades involucradas en la autorización de una operación aumenta la seguridad en torno a las propiedades de integridad, también suele disminuir la seguridad en torno a las propiedades de disponibilidad. El principio también tiene límites, relacionados con la dilución excesiva de la responsabilidad que conduce a una “tragedia de los bienes comunes de seguridad” en la que ninguna autoridad tiene incentivos para invertir en seguridad asumiendo que los demás lo harán.
• Privilegios mínimos. Los sujetos y las operaciones que realizan en un sistema deben realizarse utilizando la menor cantidad de privilegios posibles. Por ejemplo, si una operación solo necesita leer cierta información, no se le deben otorgar los privilegios para escribir o eliminar esta información. Otorgar el conjunto mínimo de privilegios garantiza que, si el sujeto está corrupto o el software es incorrecto, se reduce el daño que pueden causar a las propiedades de seguridad del sistema. La definición de arquitecturas de seguridad se basa en gran medida en este principio y consiste en separar grandes sistemas en componentes, cada uno con los menores privilegios posibles, para garantizar que los compromisos parciales no puedan afectar o tener un efecto mínimo en las propiedades de seguridad generales de un sistema completo.
• Mecanismo menos común. Es preferible minimizar el intercambio de recursos y mecanismos del sistema entre diferentes partes. Este principio está fuertemente influenciado por el contexto de la ingeniería de sistemas multiusuario seguros. En dichos sistemas, los mecanismos comunes (como memoria compartida, disco, CPU, etc.) son vectores de posibles filtraciones de información confidencial de un usuario a otro, así como de posibles interferencias de un usuario en las operaciones de otro. Su realización extrema considera que los sistemas que no deben interferir entre sí tienen «espacios de aire». Sin embargo, el principio tiene límites cuando se trata de utilizar infraestructuras compartidas (como Internet) o recursos informáticos compartidos (como sistemas operativos multiusuario, que naturalmente comparten CPU y otros recursos).
• Aceptabilidad psicológica. El control de seguridad debe ser utilizable naturalmente para que los usuarios apliquen la protección de forma «rutinaria y automática». Saltzer y Schroeder, afirman específicamente que “en la medida en que la imagen mental del usuario sobre sus objetivos de protección coincida con los mecanismos que debe utilizar, se minimizarán los errores”.
Saltzer y Schroeder también brindan otros dos principios, pero advierten que solo se aplican de manera imperfecta a los controles de seguridad cibernética:
• Factor de trabajo. Los buenos controles de seguridad requieren más recursos para eludirlos que los disponibles para el adversario. En algunos casos, como el costo de la fuerza bruta de una clave, se puede calcular el factor de trabajo y los diseñadores pueden estar seguros de que los adversarios no pueden estar lo suficientemente dotados para probarlos todos. Sin embargo, para otros controles, este factor de trabajo es más difícil de calcular con precisión. Por ejemplo, es difícil estimar el costo de un infiltrado corrupto o el costo de encontrar un error en el software.
• Grabación comprometida. A veces se sugiere que se utilicen registros o bitácoras confiables que permitan la detección de un compromiso en lugar de controles que eviten un compromiso. La mayoría de los sistemas registran eventos de seguridad, y las operaciones de seguridad dependen en gran medida de estos registros confiables para detectar intrusiones. Los méritos y costos relativos de los dos enfoques dependen en gran medida del contexto.
Esos principios, a su vez, se basan en precedentes mucho más antiguos, como los principios de Kerckhoff relacionados con los sistemas criptográficos. Kerchoff destaca que los sistemas criptográficos deben ser prácticamente seguros, sin exigir el secreto de su funcionamiento (diseño abierto). También destaca que las claves deben ser cortas y memorables, el equipo debe ser fácil de usar y aplicable a las telecomunicaciones, todo lo cual se relaciona con la aceptabilidad psicológica de los diseños.