maxkabakov - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Cómo las fuentes de entropía interactúan con planes de seguridad y privacidad

NIST publicó un borrador de su 'Marco de Gestión de Riesgos para Sistemas de Información y Organizaciones'. Conozca lo que implica este informe, y cómo los controles de fuente de entropía desempeñan un papel clave.

En un nuevo documento, "Marco de administración de riesgos para sistemas de información y organizaciones", el NIST proporciona una guía importante para los profesionales de seguridad de la información responsables de administrar los riesgos relacionados con los sistemas de información. Este marco puede ser especialmente útil cuando se considera cómo usar fuentes de entropía para proteger sistemas y redes.

NIST divide un ciclo de vida del sistema con su Marco de Gestión de Riesgos, que incluye siete pasos: preparar, categorizar, seleccionar, implementar, evaluar, autorizar y monitorear.

Debido a que cada paso comienza con un resumen de las tareas y los resultados, las organizaciones que ejecutan el Marco de Gestión de Riesgos (RMF) por primera vez deben realizar estos pasos en orden secuencial. Sin embargo, si el último paso, el monitoreo, revela cambios en los controles de seguridad y privacidad, las organizaciones deben regresar para ajustar el marco. Los controles de seguridad y privacidad deben ser específicos del sistema, lo que es común para múltiples sistemas o una configuración híbrida.

Los controles de fuente de entropía deben incluirse en un plan de seguridad y privacidad, ya que los controles dependen de las fuentes de entropía para generar claves criptográficas a partir de bits aleatorios. La entropía se puede obtener de fuentes físicas, como golpes de teclado, movimientos del mouse y tiempos de acceso al disco duro, así como de un servidor de entropía como servicio (EaaS) basado en la nube.

EaaS puede ser útil para máquinas virtuales, nubes y contenedores en los que no hay actividad directa del usuario. El servidor puede enviar entropía a un cliente que haya solicitado una clave pública, y un valor aleatorio que genere el servidor puede firmarse con la clave privada de EaaS.

En este consejo, revisaremos cada paso del ciclo de vida de NIST RMF, con especial atención en cómo encajan los controles de fuente de entropía.

El primer paso es prepararse. La preparación, en este caso, incluye identificar, documentar y publicar controles comunes que los sistemas organizacionales pueden heredar. Un plan de seguridad y privacidad debe contener una descripción de una implementación de control común, incluidos los requisitos, entradas y comportamiento de salida esperado de los controles de fuente de entropía. Los activos de los interesados que deben protegerse, como los teclados físicos y los ratones, deben identificarse y priorizarse a nivel del sistema.

A nivel organizativo, un funcionario senior para la gestión de riesgos y un oficial senior de la agencia para la privacidad deben ser los principales responsables del esfuerzo de gestión de riesgos. Sin embargo, a nivel del sistema, el propietario del sistema probablemente estará más familiarizado con los controles de seguridad y privacidad específicos del sistema, incluidos los controles de fuente de entropía.

El siguiente paso es categorizar, donde se determinan los impactos adversos a las operaciones y los activos de la organización, como los hackers que acceden a bits aleatorios desde teclados y ratones. El propietario del sistema tiene la responsabilidad principal de documentar las descripciones y categorizaciones del sistema y debe estar familiarizado con los diferentes tipos de fuentes de entropía. Un oficial que autoriza y un funcionario senior de agencia para la privacidad deben ser responsables de revisar y aprobar la categorización de seguridad; el propietario del sistema debe compartir los documentos de respaldo sobre fuentes de entropía con estos funcionarios.

El siguiente es el paso de selección, donde los controles de seguridad y privacidad, incluidos los controles de fuente de entropía, se documentan en el plan de seguridad y privacidad. El plan debe ser revisado y aprobado por un oficial de autorización, mientras que el propietario del sistema y el proveedor de control común seleccionan y adaptan los controles, incluidos los de fuentes de entropía validadas.

Luego sigue el paso de implementación, y es donde se implementan y actualizan los controles especificados en los planes de privacidad y seguridad del sistema. La implementación incluye la instalación de componentes del sistema que han sido probados, evaluados o validados por instalaciones de evaluación aprobadas por terceros, como el Laboratorio de Pruebas del Programa de Validación de Módulos Criptográficos NIST y el Programa Nacional de Acreditación Voluntaria de Laboratorios, que son laboratorios acreditados en pruebas y validación de fuentes de entropía. Con esto, se puede establecer una línea de base de configuración inicial para el sistema y el propietario del sistema y el proveedor de control común pueden asumir la responsabilidad de la implementación.

El siguiente paso es evaluar, que es cuando un asesor o equipo de evaluación es seleccionado para realizar evaluaciones de control y para desarrollar, revisar y aprobar planes de evaluación de seguridad y privacidad. Los controles deben evaluarse de acuerdo con los planes de evaluación de privacidad y seguridad, y deben tomarse medidas de remediación para abordar las deficiencias en los controles.

Se debe desarrollar un plan de acción e hitos que detallan los planes de remediación para los riesgos inaceptables identificados en los informes de evaluación de seguridad y privacidad. El evaluador de control es el principal responsable de la evaluación, y el propietario del sistema, el proveedor de control común y el oficial de autorización deben asumir un rol menor.

El paso de autorización es el siguiente. Aquí es donde un funcionario de alta gerencia determina si el riesgo de seguridad y privacidad para los activos de la organización es aceptable, basado en la operación de un sistema o el uso de controles comunes.

Este paso comienza enviando un paquete de autorización a un oficial de autorización que determina su tolerancia al riesgo. Sobre la base de las respuestas de riesgo, ya sean altas o bajas, los controles comunes se aprueban o rechazan; dichos controles incluyen Autorización para operar, Autorización provisional para operar, Denegación de autorización para operar y Autorización provisional para realizar pruebas. Las decisiones de autorización, las vulnerabilidades significativas y los riesgos deben informarse a un oficial que autoriza.

El último paso en el proceso es el monitoreo, donde se monitorean el sistema de información y el entorno o las operaciones para garantizar que las evaluaciones continuas de la efectividad del control se basen en la estrategia de monitoreo. Las respuestas a los riesgos y las actualizaciones de las autorizaciones deben estar documentadas y actualizadas, y los informes sobre la postura de seguridad y privacidad de la organización deben enviarse al funcionario que lo autoriza, a los líderes principales y ejecutivos.

Los funcionarios de autorización también realizan las autorizaciones continuas, como aprobar, denegar o interino, al tiempo que comunican los cambios en la determinación del riesgo, de alto a bajo o de bajo a alto, y la aceptación de decisiones de autorización sobre fuentes de entropía y otros controles de seguridad y privacidad. Como se esperaba, se debe desarrollar e implementar una estrategia de eliminación de sistemas.

En general, los controles de fuente de entropía deben agregarse a un plan de seguridad y privacidad, ya que los controles de alta entropía son necesarios para los activos con recursos limitados que requieren muy pocas actividades de los usuarios, especialmente en entornos virtuales.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close