Contacto
Volver

Squad, acreditada por la ANSSI como proveedor de servicios de auditoría de seguridad de los sistemas de información (PASSI)

Imagen del slider

2 de abril de 2020

Desde el primer trimestre de 2020, Squad cuenta con la certificación PASSI en todas sus camadas:

  • Auditoría de arquitectura
  • Auditoría de configuración
  • Auditoría del código fuente
  • Pruebas de intrusión
  • Auditoría organizativa y física

Esta certificación avala la legitimidad de Squad para abordar cuestiones de ciberseguridad en los organismos de importancia vital (OIV) y reconoce el alto nivel técnico de sus equipos.

Para Bruno Billaud, de DSSI & OCS Squad,«esta certificación PASSI es el resultado del esfuerzo de nuestros expertos y demuestra el dominio de las metodologías de auditoría por parte de nuestros equipos. Llevamos varios meses trabajando sin descanso para alcanzar este altísimo nivel de exigencia, que refleja nuestro compromiso diario con la ciberseguridad al servicio de nuestros clientes».

https://vimeo.com/403322306

La certificación PASSI

Con la creciente exposición de la superficie de ataque de los sistemas de información de todo tipo (mayor dependencia de las tecnologías de la información, mayor conectividad, IoT…), la implementación de estrategias de ciberseguridad se ha convertido en algo esencial para el buen funcionamiento de las empresas, independientemente de su tamaño o de sus funciones. Si bien los enfoques, las metodologías o los marcos de gobernanza pueden variar (SMSI ISO 27001, marco NIST, cumplimiento de las normas de higiene informática, homologación de seguridad, etc.), todos ellos tienen un punto en común: la realización de auditorías de seguridad.

En Francia se ha implantado una certificación con el fin de recomendar servicios de ciberseguridad probados y aprobados por la ANSSI para las auditorías: se trata de la certificación PASSI. Pero, ¿en qué consiste y qué aporta esta certificación a las empresas y a los auditores? Y, en términos más generales, ¿cómo responde a las necesidades de seguridad de las empresas? Pero, antes de nada, ¿qué es una auditoría de seguridad?

1. ¿Qué es una auditoría de seguridad?

Dado que el término se ha generalizado ampliamente en las dos últimas décadas, conviene recordar la definición formal de «auditoría», según la norma ISO 19011 (Directrices para la auditoría de sistemas de gestión):

Una auditoría es un proceso metódico, independiente y documentado que permite obtener pruebas objetivas y evaluarlas de manera objetiva para determinar en qué medida se cumplen los criterios de auditoría.

En otras palabras, una actividad de auditoría de seguridad tiene por objeto recopilar información y pruebas en relación con unos puntos de control (o un conjunto de requisitos) previamente definidos, y evaluar dicha información para formalizar los resultados e identificar vulnerabilidades en el sistema de información. A modo de conclusiones, se pueden proponer recomendaciones (en forma de medidas correctivas o de mejora), así como una evaluación global del nivel de seguridad. Todo ello de forma rigurosamente metódica, documentada y trazable.

¿Cómo se lleva a cabo una auditoría de seguridad?

El siguiente esquema ofrece una visión general del tema a través de un breve ejemplo:

Por supuesto, también hay que tener en cuenta los aspectos propios del servicio de auditoría (el marco, el motivo, la metodología deseada, el alcance de la auditoría, el formato de las conclusiones, los canales de comunicación, etc.).

Por lo tanto, llevar a cabo una auditoría de seguridad es un proceso que, aunque a primera vista parezca sencillo, en realidad resulta muy complejo si se tienen unas expectativas elevadas.

¿Para qué sirve?

Los objetivos de una auditoría de seguridad pueden ser diversos:

  • Mejora del nivel de seguridad
    • Reducción de riesgos
    • Identificación y corrección de vulnerabilidades
    • Aplicación de medidas de seguridad adicionales
  • Evaluar periódicamente el nivel de seguridad de una empresa con el fin de poner de relieve el trabajo realizado
  • Demostrar el cumplimiento de una norma para obtener una certificación o una cualificación (ISO 27001, IIS 901, RGPD…)

Como habrán comprendido, una auditoría de seguridad puede satisfacer varias necesidades a la vez.

2. Sobre la necesidad de recurrir a auditorías de seguridad

¿Por qué realizar auditorías?

Independientemente de la estrategia de ciberseguridad que se aplique, el esquema general sigue siendo bastante similar:

  • Decir lo que vamos a hacer y por qué lo vamos a hacer
  • Hacer lo que se ha dicho
  • Comprobar que lo que se ha hecho se ajusta a lo que se ha dicho
  • Corrige los errores y vuelve a empezar.

Es precisamente eltercer punto el que nos interesa aquí, el CHECK del famoso PDCA (Plan – Do – Check – Act): la realización de un análisis del estado de la seguridad en un momento t de un sistema de información. Asegurarse de que la realidad se ajusta a lo esperado. Esta etapa, tan compleja como crucial, convierte a las auditorías de seguridad en una de las actividades esenciales e ineludibles para quienes trabajan en ciberseguridad, e incluso obligatoria para algunas empresas.

RGS, NIS, LPM y homologación de seguridad

Aunque se recomienda encarecidamente realizar auditorías de seguridad de forma sistemática, estas pueden resultar obligatorias dependiendo del contexto de la empresa. La obligación puede ser de origen legal, reglamentario o contractual. Por ejemplo, la obtención de una certificación ISO 27001 o HDS (Proveedor de Servicios de Alojamiento de Datos Sanitarios), por necesidades empresariales o contextuales, requiere la realización de una auditoría de conformidad para garantizar el correcto cumplimiento del marco de requisitos.

En Francia, se distinguen principalmente tres tipos de organismos que tienen (prácticamente) la obligación de recurrir a auditorías de seguridad:

  • Las autoridades administrativas (AA), obligadas por el Marco General de Seguridad (MGS)
  • Los operadores de servicios esenciales (OSE), sujetos a la Directiva europea sobre seguridad de las redes y la información (NIS)
  • Los Operadores de Importancia Vital (OIV), sujetos a la Ley de Programación Militar (LPM)

Estas entidades tienen la obligación de llevar a cabo una homologación de seguridad de sus sistemas de información, un proceso en el que deben realizarse auditorías (entre otras medidas), tanto en la homologación inicial como durante el seguimiento operativo. El objetivo es garantizar a lo largo del tiempo que el nivel de seguridad y las medidas vigentes permiten satisfacer las necesidades y los objetivos de seguridad del SI, y que no subsista ningún riesgo que no haya sido tratado o que no haya sido aceptado por la autoridad de homologación designada.

En este contexto, y con el fin de garantizar que las auditorías realizadas sean rigurosas y metódicas, y permitan satisfacer las necesidades de seguridad de las entidades auditadas,la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) ha ido implantando progresivamente, desde 2013, la Certificación PASSI (Proveedor de Auditorías de Seguridad de los Sistemas de Información).

En virtud de la Ley de Protección de la Información (LPM) y de la Directiva NIS, el recurso a proveedores cualificados PASSI se ha convertido en obligatorio para realizar auditorías de seguridad en sistemas de información de importancia vital (SIIV – OIV) o esenciales (SIE – OSE). Aunque la lista de estos operadores sigue siendo secreta, se sabe que Francia cuenta con más de 200 OIV y más de un centenar de OSE. Por lo tanto, estas obligaciones han contribuido en gran medida al desarrollo del mercado de las auditorías de seguridad. Al menos, para los proveedores de servicios capaces de obtener la cualificación PASSI.

3. ¿Qué es la certificación PASSI?

¿De qué se trata?

A través del proceso de certificación PASSI, la ANSSI garantiza que los servicios de auditoría de seguridad sean prestados con total confianza por empresas y profesionales competentes en su ámbito. Este proceso es largo y riguroso, y permite acreditar un alto nivel de conocimientos y experiencia en materia de auditoría y ciberseguridad. Por lo tanto, no cualquier empresa o candidato puede obtener la certificación PASSI. En la actualidad, hay unas cincuenta empresas certificadas, entre las que ahora se encuentra SQUAD.

Además de las empresas, los auditores también deben acreditar su cualificación mediante exámenes orales y escritos (se espera de ellos que posean conocimientos especializados y una organización metódica). Los auditores también deben demostrar que se mantienen al día de los avances tecnológicos, de modo que estén siempre al corriente de las últimas técnicas y normas en materia de ciberseguridad. Por lo tanto, los auditores PASSI son expertos, pero también apasionados.

Cabe señalar, sin embargo, que, dado que el ámbito de competencia en materia de ciberseguridad es muy amplio, los auditores deben optar por especializarse en ámbitos concretos, módulos en los que estarán cualificados:

  • Auditoría organizativa y física
  • Auditoría de arquitectura
  • Auditoría de configuración
  • Auditoría de código
  • Prueba de penetración
  • Responsable de auditoría

Este enfoque basado en competencias que aplica la certificación PASSI implica que un auditor cualificado (por ejemplo) en los ámbitos de Arquitectura y Configuración no podrá realizar auditorías en el ámbito Organizativo y Físico. Este enfoque contribuye en gran medida a que las empresas auditadas cuenten con los recursos adecuados para abordar los problemas pertinentes.

¿Qué ventajas tiene para las empresas auditadas?

Para las empresas auditadas, la certificación PASSI de un proveedor es garantía de una auditoría fiable, que cumple con el más alto nivel posible de calidad y seguridad. Recurrir a un proveedor PASSI significa esperar la máxima exhaustividad en los resultados, así como la seguridad de que los datos recopilados no se utilizarán con fines maliciosos (ya sea de forma intencionada o por negligencia). De hecho, además de una metodología rigurosa y competencias de vanguardia, los proveedores PASSI deben implementar medidas de protección internas para el sistema de información que trata los datos de las empresas auditadas (de nivel de difusión restringida). Se trata de una garantía innegable de seguridad adicional: si un proveedor cualquiera (no PASSI) recopila y almacena información especialmente sensible sobre la empresa auditada, y esta no se trata o guarda como es debido tras la auditoría, el proveedor puede convertirse fácilmente en un vector de ataque. Recordemos que la ANSSI está especialmente preocupada por los ataques dirigidos a los proveedores de servicios.

¿Qué ventajas ofrece a los proveedores (empresas y auditores)?

Por último, en el caso de los proveedores de servicios de auditoría que aspiran a obtener la certificación PASSI, aunque esta «solo» debe acreditar los conocimientos técnicos ya adquiridos —y no las competencias que se están adquiriendo—, el proceso de certificación contribuye a elevar (en gran medida) su nivel de madurez en materia de auditoría. Estructurar su metodología, predefinir puntos de control genéricos, utilizar herramientas y una metodología común, mejorar los procesos con el tiempo... Se acabaron, pues, las auditorías cuyos resultados varían de un auditor a otro: la metodología es formal, rigurosa y requiere un dominio perfecto de la materia. Este trabajo de armonización de los conocimientos técnicos resulta, por tanto, extremadamente beneficioso y estructurante, tanto para las empresas como para los auditores.

Por último, pero no por ello menos importante, a esto se suma, para las empresas, un mercado en pleno auge. Por un lado, más de 300 empresas sensibles que tienen la obligación de recurrir a servicios cualificados; por otro, unos cincuenta proveedores cualificados. Y sin olvidar todas las demás organizaciones que se basan en la certificación para seleccionar al socio de confianza al que confiar misiones de auditoría… ¡o no! Y quizá sea esta una de las mayores fortalezas de la certificación, que se ha convertido en una auténtica referencia en la materia. Esta es cada vez más demandada por cualquier empresa que opere en el ámbito de la ciberseguridad, más allá de las simples misiones de auditoría. Se trata, por tanto, de un increíble vector de negocio, además de contribuir en gran medida a elevar el nivel general de ciberseguridad en el espacio francófono.

Enlaces externos

Requisitos de la ANSSI para los proveedores de servicios de auditoría de la seguridad de los sistemas de información (PASSI) en SSI.gouv.fr

https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/referentiels-exigences/#referentiel-passi

https://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf

Lista de proveedores de auditoría de seguridad de los sistemas de información cualificados (PASSI) en SSI.gouv.fr

https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/

https://www.ssi.gouv.fr/liste-produits-et-services-qualifies