Los magníficos siete

Billy Hogg, consultor de seguridad GRC en Prism Infosec, reflexiona sobre la auditoría de ciberseguridad Assure de la CAA y expone las siete mejores formas de afrontarla

img_34-6.jpg
Los datos de EATM-CERT mostraron que los ciberataques aumentaron un 530% entre 2019-2020
Todas las imágenes son cortesía de Prism Infosec

Los ciberataques dirigidos al sector de la aviación se han disparado durante la pandemia de COVID-19. Un informe de julio de 2021 de Eurocontrol Think Paper basado en datos de su Equipo Europeo de Respuesta a Emergencias Informáticas en la Gestión del Tráfico Aéreo (EATM-CERT) descubrió que los ataques aumentaron un 530% entre 2019-2020 y advirtió de la creciente amenaza de los sindicatos criminales patrocinados por el Estado u organizados y de los actores maliciosos capaces de llevar a cabo intrusiones dirigidas a gran escala. Los resultados se hicieron eco de los del Informe de la Encuesta de Ciberseguridad Aeroportuaria COVID-19 del Consejo Internacional de Aeropuertos (ACI), que afirmó que el 61,5% de los aeropuertos sufrió un ataque durante 2020. Ambos informes hacen hincapié en la necesidad de reforzar las defensas y atender a los posibles nuevos vectores de amenaza.

Tomar medidas

Consciente de la necesidad de contrarrestar las ciberamenazas, la Autoridad de Aviación Civil del Reino Unido (CAA) lanzó en enero de 2020 su plan de ciberseguridad Assure. Como modelo de auditoría acreditada por terceros, Assure proporciona a las organizaciones aeroportuarias acceso a expertos del sector en ciberseguridad, lo que significa que pueden evaluar su seguridad frente a los vectores de amenaza actuales y emergentes. Los proveedores de ciberseguridad de Assure deben estar acreditados por los organismos del sector de la seguridad Crest o IASME (Information Assurance for Small and Medium Enterprises Consortium) y deben estar especializados en ciberauditoría y gestión de riesgos, ciberseguridad técnica o sistemas de control industrial (ICS)/tecnología operativa (OT).

El programa Assure se aplica a todas las organizaciones que se consideran incluidas en el ámbito de aplicación del CAP 1753, que detalla el proceso de supervisión de la ciberseguridad para la aviación, como los aeropuertos, las compañías aéreas y los proveedores de navegación aérea. El CAP 1753 comprende un proceso de seis pasos: compromiso, determinación del alcance de los sistemas críticos, autoevaluación cibernética para la aviación, la ciberauditoría Assure, la declaración provisional de garantía y la declaración final y el certificado de conformidad.

img_35-1.jpg
Billy Hogg, de Prism Infosec, conoce bien el sector de la aviación, ya que fue técnico de aviónica en BAE Systems Arabia Saudí y técnico de radar aéreo en la RAF.
img_35-2.jpg
Según ACI, el 61,5% de los aeropuertos sufrió un ciberataque en 2020
Getty Images/iStockphoto

Las organizaciones deben identificar sus sistemas críticos (utilizando las orientaciones del CAP 1849) y evaluarlos con respecto al Marco de Evaluación Cibernética (CAF) para la Aviación (utilizando las orientaciones del CAP 1850). El CAF para la aviación ha sido adaptado del CAF ideado por el Centro Nacional de Ciberseguridad del gobierno del Reino Unido para evaluar las infraestructuras críticas, por lo que es muy respetado y proporciona una evaluación basada en los resultados y fundada en catorce principios y cuatro objetivos clave. La evaluación precede a la auditoría Assure, que determina si la organización ha cumplido los requisitos del CAF.

Lucha por el cumplimiento

Assure es un requisito obligatorio para los aeropuertos del Reino Unido, con el que todos debían haber cumplido a finales de 2021. Sin embargo, la pandemia de coronavirus hizo que muchos de ellos tuvieran problemas tanto financieros como de recursos disponibles, y que muchos equipos técnicos trabajaran a distancia. Aunque las cosas se están normalizando poco a poco, los aeropuertos siguen encontrando que el proceso de Assure es largo y costoso, ya que la recopilación de pruebas, la evaluación y la auditoría suelen durar meses.

Pasar por el proceso por primera vez también ha sido desalentador. Por ello, muchos aeropuertos han solicitado con éxito una prórroga a la CAA. Otros recurren a terceros de Assure para que les ayuden en la parte de evaluación del proceso, lo cual es perfectamente aceptable, siempre que utilicen un proveedor cibernético de Assure diferente para llevar a cabo la auditoría.

La fase de autoevaluación puede ser larga, ya que requiere la recopilación y registro de pruebas, que pueden adoptar diversas formas, desde documentos y manuales hasta observaciones y entrevistas. La situación se complica cuando intervienen proveedores de equipos y terceros. Puede que haya empresas distintas que se encarguen de la formación operativa o del mantenimiento de un sistema, en cuyo caso el aeropuerto no tiene contrato ni supervisión directa y, por tanto, no dispone de pruebas que respalden el proceso. En estos casos, el auditor tendría que dirigirse a los proveedores para obtener pruebas y solicitar documentación o realizar una entrevista, pero es un proceso probatorio que depende de la buena voluntad de todos los implicados. Nada de esto está contemplado en el contrato de prestación de servicios y lo más probable es que estos servicios y contratos tengan que renegociarse en el futuro para adaptarse al nuevo proceso de cumplimiento.

Maximizar el rendimiento

Dado que la auditoría de Assure puede ser tan prolongada, ¿cómo pueden los aeropuertos hacer que el proceso sea menos doloroso? He aquí siete maneras de minimizar el impacto y maximizar el valor del resultado.

1. El análisis de brechas

Es fácil enfocar el proceso como un ejercicio obligatorio de "marcar casillas", pero si se adopta este enfoque, la organización dedicará mucho tiempo, esfuerzo y costes para obtener muy pocos beneficios, y corre el riesgo de proporcionar a la CAA datos de baja calidad. Si se intenta identificar las oportunidades para mejorar tanto la seguridad como la resistencia, el valor del proceso será en última instancia mucho mayor.

Para maximizar el valor, hay que explorar qué problemas ha puesto de manifiesto el proceso y dónde se pueden realizar cambios efectivos. Si se cuenta con proveedores y servicios gestionados, hay que comprobar si la organización dispone de suficientes conocimientos, documentación, privilegios de acceso al sistema, etc., para seguir operando con normalidad en caso de que el proveedor no esté disponible. Si no es así, ¿ha identificado la organización este riesgo y lo ha gestionado adecuadamente?

Habrá algunos sistemas que no permitan realizar un análisis Gap, simplemente porque, aunque estén en el ámbito de aplicación, no son cibersistemas y gran parte del proceso CAF no se aplica o no encaja bien con su funcionamiento.

2. Elección cuidadosa de los sistemas críticos

Hay que estudiar detenidamente qué sistemas críticos entran en el ámbito de aplicación del PAC 1753. Ha habido muchos ejemplos de sistemas que se han incluido al principio del proceso, pero que se han retirado del ámbito de aplicación durante la auditoría, ya que no deberían haberse incluido en un principio. Del mismo modo, ha habido algunos ejemplos en los que se han excluido sistemas que deberían haberse considerado dentro del ámbito de aplicación. Las organizaciones deberían acordar, tanto internamente como con la CAA, qué sistemas están en el ámbito de aplicación y se consideran críticos para las operaciones, a fin de poder priorizar los recursos.

Asimismo, en el proceso de determinación del alcance, la opción de agrupar los sistemas debe seguir las orientaciones del CAP 1849. Un ejemplo sería el equipaje de bodega. ¿Las cintas de equipaje, las máquinas de rayos X y las máquinas de detección de explosivos forman parte del mismo sistema o están separadas? No hay un enfoque correcto o incorrecto al respecto,todo depende de la arquitectura y los controles empleados, pero puede ser lógico que todo sea un solo sistema, incluso si las cintas de equipaje son accedidas y mantenidas por un subcontratista, los escáneres por otro y las actividades de escaneo por un tercero. La cuestión es: ¿pueden agruparse lógicamente dentro de su organización?

3. Conformidad con el CAP 1849

Los documentos de alcance suelen ser los menos completos cuando se presentan al auditor en el paso 4 del proceso CAP 1753. Sin embargo, el contexto que proporcionan, junto con un diagrama bien diseñado, tiene un valor incalculable para ayudar al auditor a evaluar con precisión el CAF y, lo que es posiblemente más importante, para aportar valor a la hora de recomendar mejoras. El documento también tiene un valor incalculable para los evaluadores de la CAA, que sólo tendrán acceso al CAF, a los documentos de alcance, al informe y al plan de acción correctiva (no recogen las pruebas documentadas utilizadas por el auditor).

4. Elegir a las partes interesadas adecuadas

Existen numerosos ejemplos en los que el CAF es completado por una persona, a menudo alguien que trabaja en TI para toda la organización. Esto puede dar lugar a una perspectiva única para el contenido del CAF, lo que aumenta el tiempo que el auditor dedica a revisar las pruebas documentadas o a entrevistar al personal para intentar captar la información solicitada. También puede dar lugar a que la organización puntúe los resultados de forma incorrecta por numerosas razones.

img_36-2.jpg
En el proceso de determinación del alcance, la opción de agrupar sistemas como las máquinas de rayos X y las cintas de equipaje debe seguir las orientaciones del CAP 1849
Getty Images/iStockphoto
img_36-1_0.jpg
La protección de los datos de los pasajeros es uno de los elementos más importantes de la ciberseguridad de los aeropuertos
Getty Images/iStockphoto

En la medida de lo posible, hay que contar con la participación del propietario del sistema que se está evaluando, ya que es quien mejor entiende el proceso tanto desde el punto de vista de la ciberseguridad como de la continuidad de la actividad. Además, cuanto más amplio sea el público que participe en la autoevaluación del CAF, más probable será que las pruebas capturadas y la puntuación sean más precisas, ofreciendo una imagen más completa que si es una sola persona la que rellena el formulario.

5. Ser honesto

Puede ser difícil decidir dónde colocar las respuestas en el CAF y la honestidad es la mejor política en este caso. A veces las organizaciones son demasiado optimistas o pesimistas en sus respuestas, lo que sesga los resultados entre la puntuación de la organización y la de los auditores.

Una puntuación baja constante obligará a la organización a añadir muchos más elementos al Plan de Acción Correctiva que sigue a la auditoría y que se lleva a cabo antes de su presentación a la CAA. Este trabajo no suele estar planificado, lo que puede afectar a los plazos de entrega. Un enfoque demasiado pesimista también puede dar lugar a que se genere más trabajo y a desacuerdos entre las partes internas sobre las acciones correctivas que se han planteado en respuesta a la evaluación del CAF.

Contar con una serie de partes interesadas, propietarios de sistemas y gestores que participen en la cumplimentación del CAF en primer lugar dará lugar a un proceso mucho más fluido de auditoría, acción correctiva y seguimiento del CAA.

6. Listado exacto

Cuando se aportan pruebas en apoyo de las respuestas del CAF de una organización, es vital que la información pueda ser fácilmente referenciada y localizada por el auditor, que no tendrá ningún conocimiento local y puede carecer de acceso a los datos de la empresa. A la hora de cumplimentar el CAF, es esencial que el auditor no sólo pueda acceder a las pruebas, sino que pueda navegar fácilmente por ellas.

Además, si el documento es extenso, no se limite a referenciar el propio informe, sino también el capítulo o la página donde se encuentran las pruebas. Si las pruebas se obtienen mediante una entrevista, enumere el papel o el nombre de la persona a la que se va a entrevistar (el campo de comentarios debe contener también información que el auditor pueda verificar). Hay que tener en cuenta que la CAA no suele realizar ninguna entrevista, por lo que toda la información que necesita debe ser proporcionada por la organización y verificada por el auditor.

img_38-1_0.jpg
Cuanto más amplia sea la audiencia que participe en la autoevaluación del CAF, mejor.
Getty Images/iStockphoto

7. Crear un plan de acción correctiva

Se recomienda que la organización se autoevalúe continuamente durante el proceso y que plantee acciones correctivas a medida que se identifiquen lagunas entre la puntuación y las etapas del perfil. Estas acciones correctivas también pueden documentarse en las pruebas del CAF, lo que aumentará la confianza del CAA en que las acciones correctivas están en marcha.

El Plan de Acciones Correctivas debe realizarse en cualquier herramienta que la organización utilice para la gestión de tareas. Es necesario que las acciones planteadas puedan separarse y notificarse a la CAA.

Adoptar un enfoque inteligente

El CAF para la aviación se adoptó específicamente para evitar que la auditoría se tratara como un ejercicio de marcar casillas, pero siempre existe el peligro de que eso ocurra en un momento en que los recursos son escasos, los costes se disparan y los ingresos disminuyen. Para evitarlo, los aeropuertos deben adoptar un enfoque inteligente del proceso Assure. Tienen queracionalizar lo que puedan, determinando quién tiene que participar y cuándo, estudiando la mejor manera de presentar el cumplimiento y componiendo el Plan de Acción Correctiva a medida que avanzan en el proceso. También tienen que establecer el riesgo e identificar dónde es necesario poner remedio para reforzar las defensas. Aunque la auditoría Assure es compleja y requiere mucho tiempo, es sin duda un paso en la dirección correcta en la lucha contra la ciberdelincuencia. Ha establecido un marco que, a medida que se perfeccione y se adapte al sector, será cada vez más valioso. Ha permitido a los aeropuertos evaluar críticamente sus sistemas de TI y OT al mismo tiempo, proporcionando una visión holística de la postura de seguridad. Además, proporciona acceso directo a los especialistas en ciberseguridad que, con su conocimiento de las vulnerabilidades y explotaciones del sistema, pueden asesorar sobre las medidas correctivas que son prácticas y significativas.

img_38-2_0.jpg
La auditoría Assure puede ser un proceso largo, pero Prism Infosec lo considera un paso en la dirección correcta
Getty Images/iStockphoto