Red Seguridad 092

84 red seguridad primer trimestre 2021 empresa entrevista Además pueden existir aspectos con- cretos que la entidad quiera revisar de manera puntual. Por ejemplo, hemos vis- to entidades que requieren a sus provee- dores que tengan unas VPN configuradas a través de unos dispositivos de una mar- ca y manera concretas para una determi- nada interconexión. No obstante, la adhesión de las enti- dades Pinakes se hace para aceptar la evaluación que salga de Pinakes, con in- dependencia de que luego puedan hacer auditorías adicionales. ¿Qué van a evaluar de un proveedor? AR: Nos hemos basado en el marco que teníamos ya en LEET Security, que lleva- mos probando cinco años, y hemos aña- dido los requisitos de todas las entidades para construir un referencial más com- pleto. Se van a evaluar desde aspectos genéricos, como pueda ser el sistema de gestión que tenga implementado el proveedor, pasando por aspectos de ope- ración de seguridad, seguridad personal, seguridad de las instalaciones, protección frente a malware , continuidad y contin- gencia, desarrollos seguros, gestión de incidencias, criptografía, monitorización... Es decir, la evaluación más completa po- sible de todos los aspectos de seguridad. Siguiendo la filosofía de la calificación, hemos establecido para la evaluación 14 dominios, 76 secciones y en torno a 350 capacidades distintas de seguridad. Lo que se evalúa son cada una de esas 350 capacidades y en esos resultados se basa Pinakes para construir la calificación final. No todas las capacidades aplica- rán en todos los casos, obviamente; por ejemplo, si se trata de un servicio que no conlleva desarrollo, pues el desarrollo no se evalúa. Si hubiera un incidente de cibersegu- ridad con alguno de los proveedores adscritos a Pinakes, ¿qué papel desem- peñaría el hub ? AR: Las propias entidades financieras nos han pedido que pudiera haber un punto único de información para simplificar el acceso al estado más actualizado posible de un incidente. Pinakes no pretende ac- tuar ni como CERT ni como mecanismo de coordinación a respuesta de emergen- cias, pero queremos es simplificar el ac- ceso a la información. Lo que nos dicen las entidades es que han tenido situacio- nes en el pasado donde un proveedor que daba servicio a 25 entidades ha teni- do un incidente. Qué ocurre, que hay 25 personas llamando al responsable de ese proveedor para preguntarle cómo está el incidente y al final no da abasto para atender al teléfono. Por eso buscamos un punto donde podamos tener un report actualizado de cómo está ese incidente y luego ya habrá que llamarle y pregun- tarle dudas puntuales. Pero no hará falta llamarle simplemente para que nos dé un status; para eso se pueden conectar a la web y ver cómo está la situación. Así descargamos un poco al proveedor y le dejamos centrarse en resolver el inciden- te, que es lo verdaderamente importante de estas situaciones. HC: Seremos cuidadosos en ese aspec- to porque hay proveedores con cláusulas de confidencialidad firmadas con sus pro- pios clientes y ahí no podemos entrar. ¿Cuál será la vigencia de las califica- ciones? HC: La calificación tiene una vigencia temporal de un año y aparejado a la ca- lificación están los servicios de coordina- ción de la información y de monitoriza- ción de incidentes. AR: Durante la vigencia de la duración del contrato de la calificación habrá por parte de Pinakes una supervisión del nivel de seguridad digital. Está basada en los típicos raiting de IP de huella en Internet del proveedor, y lo que se va a hacer es una vigilancia, una monitorización ex- haustiva de cada uno de los proveedores que estén formando parte de Pinakes para que, si se produce una modificación significativa de su nivel de calificación, el equipo de gestión Pinakes se pueda po- ner en contacto con él para preguntarle qué está pasando. Porque lo que se bus- ca no es solo la calificación inicial, sino también la supervisión y la vigilancia, que es otro de los requisitos de la EBA. Herminio del Campo. Antonio Ramos.