Cumplir con los requisitos de CMMC requiere tiempo, esfuerzo y coordinación de los equipos de pruebas, seguridad y TI. El éxito depende de la comprensión de los requisitos de CMMC y cómo estos se aplican a la tecnología operativa como los sistemas de pruebas.
CMMC se basa en NIST 800-171 rev. 2, que contiene 110 controles organizados en 14 familias. Hay muchos recursos en línea para obtener listas de estos controles, incluyendo el sitio NIST, donde se puede descargar un documento de texto que describe los requisitos o una hoja de cálculo que enumera los requisitos, o NIST 800-171A que incluye instrucciones a los asesores para cómo evaluar cada control. encontrará un análisis de los controles de NIST 800-171 en otros sitios web de seguridad
El más importante conocer cómo se aplican estos controles a los sistemas de pruebas. Los sistemas de pruebas difieren de los sistemas de TI por varias razones:
Con estas diferencias en mente, revisemos algunos de los temas en el NIST 800-171.
Los primeros 22 controles en el NIST 800-171 se refieren a restringir quién tiene acceso al sistema de pruebas. El sistema necesita restringir el acceso a los usuarios autorizados y restringir los procesos automatizados (dispositivos) que tienen acceso al sistema. Un ingeniero de pruebas necesita identificar a todos los usuarios potenciales del sistema y sus roles. En este análisis, tenga en cuenta que algunos usuarios pueden ser procesos remotos como bases de datos que mueven datos del sistema de pruebas a una base de datos central.
Para cada uno de los usuarios identificados, el arquitecto del sistema necesita crear una estrategia para la autenticación. ¿Utilizará el inicio de sesión estándar de Windows para controlar quién tiene acceso al sistema? ¿Qué derechos de acceso tendrán los operadores y en qué se diferencia de los administradores? ¿Cómo se autenticarán los procesos remotos en el sistema?
Los equipos de pruebas también deben considerar el acceso físico y cómo eso cambia el sistema. Como ethernet es un bus importante en los sistemas de pruebas actuales, es posible que alguien se conecte a un dispositivo moviendo el cable. ¿Cómo garantizará que no se puedan tomar datos del dispositivo a través de una conexión directa? Si no puede controlar esto, ¿puede proteger físicamente los cables?
NIST 800-171 se centra en proporcionar el nivel correcto de acceso para cada operación, por lo que un arquitecto de pruebas debe considerar cómo aplicar este principio de acceso de mínimo privilegio. En sistemas donde el operador no está conectado individualmente (por ejemplo, un laboratorio donde varias personas trabajan juntas en el probador), los privilegios de acceso deben estar estrictamente restringidos. Cuando algo requiere privilegios más altos, como instalar una actualización de software, el sistema debe requerir que un administrador individual inicie sesión para realizar la acción.
Varios de los requisitos de control de acceso se pueden cumplir con herramientas estándar de gestión de identidades de TI. Si el sistema de pruebas está basado en Windows, los equipos de pruebas pueden trabajar con su grupo de TI para aprovechar las herramientas de identidad corporativa. Si el sistema está desconectado o utiliza dispositivos no compatibles con los sistemas de TI, los arquitectos de pruebas deben considerar cómo cumplir con los requisitos básicos, como la complejidad de la contraseña y los intentos limitados de inicio de sesión.
Los requisitos de esta familia se centran en asegurarse de que los operadores y administradores estén debidamente capacitados en los principios de ciberseguridad específicos de sus funciones. Los equipos de pruebas pueden ser capaces de retransmitir la capacitación proporcionada por sus equipos de TI. Si los sistemas de pruebas requieren acciones o protocolos específicos, puede ser necesario desarrollar capacitación para cumplir con estos requisitos.
Un principio central en el NIST 800-171 es la capacidad de saber quién realizó acciones específicas. Esto es útil para detectar acciones maliciosas, y en caso de un incidente esto es útil para identificar el daño hecho y realizar un análisis de causa raíz. Para ello, los sistemas de pruebas deben diseñarse para registrar acciones específicas.
Para ser efectivos, los registros de auditoría deben capturar acciones privilegiadas, aquellas acciones que cambian el acceso o las configuraciones. Los registros de auditoría crean un registro de cualquier acción en el sistema: quién ha iniciado sesión, qué datos se mueven, qué objetos del sistema se cambian. Para ser preciso, el sistema de auditoría debe tener un reloj confiable para las marcas de tiempo. Y para ser confiables, los registros de auditoría deben estar protegidos contra cambios o eliminaciones.
Como parte del diseño del sistema de pruebas, los arquitectos de pruebas deben diseñar un plan para crear, actualizar y proteger estos registros de auditoría.
Implementar un sistema de pruebas seguro a menudo requiere que el equipo de pruebas aplique ajustes de configuración que pongan el sistema y los componentes en un estado más seguro. NIST 800-171 requiere que el equipo capture una imagen de esta configuración como línea base para que el sistema pueda restablecerse rápidamente a esa configuración.
Las guías de implementación de tecnología segura (STIG) proporcionan una forma para que los administradores del sistema se aseguren de que el sistema permanezca en las configuraciones más seguras. Los proveedores trabajan con la Agencia de Sistemas de Información de Defensa (DISA) para crear STIG, que incluyen instrucciones para comprobar y ajustar las configuraciones de sus productos. Una vez aprobados, los STIG están disponibles en la base de datos DoD. Siempre que sea posible, reúna STIG para los componentes de software de un sistema de pruebas.
La administración de identidades y cuentas es otra parte importante del NIST 800-171. Esto requiere que los sistemas autentiquen a los usuarios y otros sistemas antes de proporcionar acceso. Al igual que la gestión de acceso, los equipos de pruebas pueden confiar en herramientas informáticas para la autenticación de tecnologías de PC estándar en el sistema.
Los arquitectos de pruebas necesitan buscar formas de autenticar los componentes en el sistema. Los componentes Ethernet, las bases de datos y las PCs conectadas en red deben autenticarse antes de conectarse al sistema de datos de prueba.
Cuando las defensas fallan y un sistema es atacado, una organización necesita responder rápidamente. Esta familia de controles requiere que los equipos planifiquen estas fallas, incluyendo el seguimiento de incidentes, la prueba del sistema y el establecimiento de una manera de informar sobre incidentes a las autoridades apropiadas.
Los sistemas de pruebas requieren un mantenimiento regular, incluyendo la calibración. El NIST 800-171 requiere que los equipos planifiquen prevenir fallas en la protección durante las sesiones de mantenimiento.
El hardware debe ser borrado de cualquier dato sensible antes de ser enviado para su reparación o calibración. Los proveedores deben proporcionar cartas de volatilidad con instrucciones para borrar correctamente las ubicaciones de memoria de estos dispositivos, y los equipos de pruebas deben establecer procesos para proteger los datos como parte de los procesos de mantenimiento.
Cuando los datos sensibles se almacenan en dispositivos multimedia, estos deben protegerse lógica y físicamente. Los datos en los dispositivos deben estar encriptados. Los dispositivos deben estar protegidos contra robos y los sistemas deben evitar el acceso desde dispositivos desconocidos como unidades USB.
Un arquitecto de pruebas debe considerar dónde se almacenarán los datos y cómo protegerlos en esas ubicaciones. Las herramientas de TI pueden ser útiles para estas ubicaciones: Windows Bitlocker puede encriptar datos en la mayoría de las PCs de servidor. Para otros dispositivos, el programa de pruebas puede necesitar encriptar los datos antes del registro de datos, o controlar qué dispositivos están autorizados a conectarse.
Garantizar que solo ciertas personas tengan acceso al sistema de pruebas y a los datos, se deben establecer procesos que verifiquen a las personas y controlen el acceso cuando cambian los roles. Los equipos de pruebas deben considerar cómo implementar procesos dentro de las políticas existentes de la empresa para administrar quién tiene acceso a los sistemas.
La seguridad del sistema a veces se omite a través de acciones físicas: cambiar conexiones, eliminar unidades o ajustar parámetros físicos del sistema. Al planificar un sistema de pruebas, el equipo de pruebas debe considerar formas de asegurar el sistema físicamente. Esto puede requerir controlar el acceso a la habitación o bloquear ciertos componentes del sistema.
Ningún plan de seguridad es perfecto, y los atacantes ajustan continuamente sus estrategias. Para mantener la seguridad del sistema, los equipos de pruebas deben evaluar periódicamente su perfil de riesgo y realizar los ajustes necesarios. Los equipos de seguridad utilizan las pruebas de vulnerabilidad para exponer las debilidades. Los equipos de pruebas deben planificar una estrategia de pruebas de seguridad que exponga las debilidades del sistema. Las empresas más grandes pueden tener un equipo de seguridad que pueda diseñar una prueba, o los equipos de pruebas pueden contratar a un consultor externo para diseñar una prueba de seguridad.
Las evaluaciones de seguridad proporcionan a un equipo una forma de examinar la eficacia de los controles de seguridad establecidos y de buscar formas de mejorarlos. Los equipos de seguridad deben reunirse periódicamente para revisar y actualizar el sistema de seguridad.
NIST 800-171 es más eficaz cuando el sistema está claramente definido y los controles se aplican dentro de esa definición del sistema. Junto con los componentes del sistema, la definición debe incluir conexiones a sistemas externos. Este conjunto de requisitos requiere que esas conexiones sean seguras y estén protegidas. Esta protección debe garantizar que los datos no se comuniquen fuera del sistema seguro. Cuando los datos se comunican intencionalmente, deben ser encriptados para evitar escuchas en los datos.
Esta familia de controles NIST 800-171 incluye requisitos adicionales para identificar fallas del sistema y actualizar esos flujos. Esto incluye mantener actualizadas las protecciones de código malicioso. Los equipos de pruebas necesitan crear un plan para revisar y actualizar los sistemas, con mínimas interrupciones en el sistema de pruebas.
Este artículo proporciona una descripción general de cómo las familias de control NIST 800-171 se aplican a los sistemas de pruebas. Los equipos de pruebas deben revisar estos requisitos como parte de un plan de implementación del sistemas de pruebas.
Vea cómo NI proporciona recursos para ayudar a su equipo a cumplir con estos requisitos.