Requisitos mínimos de seguridad para la compra de productos y servicios TIC según ENISA

Recientemente ENISA ha publicado la versión 1.0 de un documento que nos ha parecido muy interesante, titulado "Base de requerimientos mínimos de seguridad indispensables para la adquisición de productos y servicios TIC seguros" (enlace).

Se trata de un documento elaborado por un grupo de trabajo de expertos designados por distintos Estados Miembros (en particular, por Austria, Francia, Alemania, Chequia, España, Holanda y Finlandia) que aplica también, como no podía ser de otra manera, a los suministradores de los proveedores de servicios.

Antes de mapear los requerimientos de seguridad incluidos en el documento de ENISA con los de LEET Security, hemos de hacer algunas reflexiones sobre el documento:

  1. Nos parece muy adecuada la existencia de unos requisitos mínimos que puedan ser contrastables para todo tipo de componente o dispositivo, puesto que, de esta manera se garantiza que no hay un eslabón (más) débil.
    Aunque nos parece un poco atrevido decir que los que cumplan estos requisitos sean "seguros" y los que no, sean "inseguros", puesto que todos coincidiremos en que, por mucho que cumplan estos requisitos mínimos, no podemos decir que sean invulnerables (estando de acuerdo en que no se debería admitir que ningún producto no cumpliera con dichos requisitos mínimos).
  2. Siguiendo con esta filosofía, se reconoce que podrán existir casos en que estos requisitos mínimos serán suficientes, pero habrá otros (la mayoría, a nuestro juicio) en que serán necesarios requisitos adicionales y será necesario que el cliente asegure que el proveedor cumple esos requisitos adicionales.
    En este aspecto, es donde la calificación juega un papel importante puesto que, una vez que se cumplen los requisitos mínimos, los niveles de la calificación muestran cuánto por encima del mínimo están las medidas de seguridad del servicio evaluado (algo para lo que la certificación del sistema de gestión respecto a la ISO27001 no sirve - de hecho, podríamos decir que se la considera como condición necesaria pero no suficiente).
  3. Aunque se habla de productos y servicios, en realidad, de los 10 principios enunciados, 7 están enfocados a producto y solo 3 a servicio (gestión de la calidad, jurisdicción UE y restricción del uso de datos).
    Por lo que nos preguntamos, ¿no tendría sentido desarrollar otro documento, como el comentado, pero más orientado a los servicios que a los productos?

Finalmente, y como habíamos comentado, en la tabla siguiente se trazan los requerimientos mínimos del documento con las secciones de la metodología de evaluación de LEET Security, identificando, a su vez, los requisitos que se establecen en ésta para el nivel mínimo de calificación ('D D D'). Aún considerando que la metodología de LEET Security está orientada a servicios, vemos que hay un solape de casi un 50% entre ambas propuestas.

Req. ENISA LEET Security Requisitos Nivel DDD
Seguridad por Diseño [SO.05] Requerimientos de seguridad para SSII  
[MO.01] Logs de Auditoría x
[SD.05] Control de Vulnerabilidades Técnicas x
Mínimo Privilegio [AC.03] Identificación y Autenticación de Usuarios  
[AC.01] Requisitos de Negocio para Control de Acceso x
[AC.04] Sistema de Gestión de Contraseñas x
Autenticación Fuerte [AC.02] Procedimeintos seguros de acceso  
Protección de Activos [CR.01] Gestión de claves x
[FS.05] Protección de Dispositivos Físicos en Tránsito  
[NC.05] Preservando la Confidencialidad en redes públicas  
Seguridad de la Cadena de Suministro [MO.02] Monitorización de uso del sistema  
Transparencia de la Documentación [SO.04] Seguridad de la Documentación del Sistema  
[SO.01] Gestión de Cambios x
Gestión de la Calidad [TP.02] Evaluación de la Cadena de Suministro x
Continuidad del Servicio [SD.05] Control de vulnerabilidades Técnicas x
Jurisdicción UE [CO.01] Cumplimiento con Requerimientos Legales x
Restricción de Uso de Datos [TP.01] Procesamiento Compartido x
N/A [SO.03] Procedimiento Gestión de Información x
[PS.02] Formación y Concienciación x
[FS.01] Perímetro de seguridad física x
[FS.03] Ubicación y protección de equipos x
[RE.04] Backups de información x
[RE.06] Aspectos de seguridad del BCP x
[CO.02] Cumplimiento con políticas, normas y técnicas x
[NC.02] Controles de enrutamiento de redes x
[IH.01] Notificación de eventos e incidentes de seguridad x
[IH.02] Gestión de incidentes y mejoras de seguridad x