46 métricas para mejorar la ciberresiliencia en un servicio esencial
La protección de las infraestructuras críticas y estratégicas de nuestro país, es una tarea que debe ser compartida por todos los agentes involucrados en un marco de colaboración público privada. El CERT de Seguridad e Industria, desde el año 2015 lleva trabajando en varios proyectos piloto con los Operadores de Infraestructuras Críticas y Estratégicas para extraer un Informe del Estado de la Ciberresiliencia en las IICC Españolas, como ya se adelantó en el artículo ¿Cómo saber si una empresa está preparada para resistir un ciberataque?
Ataques contra los sistemas informáticos de centrales nucleares, contra el suministro eléctrico de una región, contra el funcionamiento de las salas de operación de un hospital, contra la red de transporte de una gran ciudad, o contra el sistema electoral de un país, son algunos de los casos que vemos en los medios de comunicación que han afectado a otros países. En España, no estamos muy alejados de estos incidentes, el CERTSI ha pasado de gestionar 134 incidentes en operadores críticos en el año 2015 a 479 en el año 2016, y durante el año 2017 estos números han seguido incrementándose.
¿Qué es la ciberresiliencia?
La ciberresiliencia como ya se definió en el artículo ¿Tu empresa es segura? Medir es el primer paso para conseguirlo, es la capacidad de anticipar, resistir, recuperarse y evolucionar frente a condiciones adversas, como los ataques contra los recursos de información o tecnológicos, por tanto, la ciberresiliencia es la estrategia que deben seguir las organizaciones, para hacer frente a una mayor explosión de sus sistemas de información y operación, y al aumento de los ciberataques que se producen a nivel mundial.
Indicadores para la mejora de la ciberresiliencia
EL CERT de Seguridad e Industria dando continuidad a los pilotos de medición de 2015 y 2016, va a poner en marcha un proyecto para ayudar a las infraestructuras críticas y estratégicas a medir su ciberresiliencia llamado Indicadores para la Mejora de la Ciberresiliencia (IMC). Este proyecto, que se desarrolla en el marco del Esquema Nacional de Seguridad Industrial (ENSI), dispone de 46 métricas agrupadas jerárquicamente por distintos entornos tecnológicos a proteger, diferenciando entre entornos de Tecnologías de la Información (TI) y entornos de Tecnologías de la Operación (TO), también conocido bajo otros nombres como tecnología industrial, SCADA o ICS.
Estas 46 métricas, miden cuatro objetivos o metas a alcanzar, y nueve categorías o dominios funcionales de ciberresiliencia a implantar, permitiendo a una organización disponer de una radiografía precisa del estado de su seguridad, que le facilita la toma de decisiones para la mejora sus sistemas de seguridad.
Ilustración 1:Metas y Dominios Funcionales de la Ciberresiliencia
Beneficios de medir la ciberresiliencia
Las organizaciones de sectores con infraestructuras críticas o estratégicas, pueden disponer de un diagnóstico autoevaluado, que les facilita la medición de su capacidad y madurez para soportar y sobreponerse a ataques contra sus sistemas informáticos, de una manera homogénea y estandarizada.
Los beneficios principales que aporta medir la ciberresiliencia son:
Ilustración 2: Beneficios de Medir la Ciberresiliencia
¿Qué oportunidades de mejora se obtienen con las 46 métricas?
En base a la experiencia de medir la ciberesiliencia durante los 2 últimos años, podemos extraer algunas de las métricas en las que se han detectado mayores oportunidades de mejora, y que las infraestructuras críticas y estratégicas deben contemplar en sus máximos órganos de gobierno:
|
|
|
|
|
|
|
|
|
|
La organizaciones deben establecer en sus políticas de Ciberseguridad mecanismos para la formalización de los acuerdos para la mutua cooperación e intercambio de información en materia de ciberresiliencia con organismos públicos, para mejorar la anticipación en la gestión de incidentes, gestión de las vulnerabilidades y continuidad de los servicios esenciales.
El análisis, gestión y tratamiento del riesgo debe contemplar criterios objetivos basados en el establecimiento de umbrales de tiempo y puntos objetivos de recuperación (RTO y RPO) que permitan un adecuado tratamiento del riesgo, su eliminación, mitigación, transferencia o aceptación.
La identificación, análisis y corrección de vulnerabilidades en los sistemas tecnológicos de la organización debe ser un proceso continuo, que permita establecer requisitos temporales, para la corrección de vulnerabilidades identificadas, que minimicen el tiempo de exposición de los activos vulnerables de la organización en función de su impacto.
Para que los servicios esenciales puedan ser restablecidos en un tiempo aceptable en caso de un incidente, se debe de tener cuantificados los tiempos necesarios para restaurar los sistemas ante distintos tipos de ataques que pueda sufrir la organización.
La organización debe establecer y definir mecanismos eficaces de comunicación externa en materia de ciberresiliencia, en caso de que se produzca un incidente con los principales afectados e interesados, clientes, proveedores, medios de comunicación, Fuerzas y Cuerpos de Seguridad del Estado, servicios de emergencia...Formulario para la medición de la ciberresiliencia
El formulario para autoevaluar los Indicadores para la mejora de la ciberresiliencia, contiene preguntas para los 9 dominios funcionales de la ciberresiliencia, que deberán ser respondidas por el responsable o los responsables de seguridad en la empresa, con el fin de abarcar todas las ramas afectadas por una posible carencia de resiliencia dentro de la organización, ya sea en el plano de la seguridad en las Tecnologías de la Información (TI), como en las Tecnologías de la Operación (TO).
El formulario debe ser respondido considerando un servicio esencial prestado por la organización, en base al principio de criticidad, considerando el servicio de mayor criticidad, es decir, que en caso de verse afectado por un incidente, ocasione un mayor impacto económico, material o de imagen dentro de la organización.
