Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de los indicadores IMC: cambios realizados y evolución

Fecha de publicación 25/06/2020
Autor
INCIBE (INCIBE)
Actualización de los indicadores IMC

¿Qué es el modelo IMC?

El modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC), es un marco de referencia de diagnóstico y medición de INCIBE-CERT y CNPIC, especialmente diseñado para ayudar a las organizaciones a autoevaluar su ciberresiliencia, o lo que es lo mismo, su capacidad de anticipar, resistir, recuperar y evolucionar para operar en condiciones adversas, estrés o de ataque a los recursos que puedan causar una interrupción o alteración en la prestación de sus servicios.

Dicho modelo está inspirado en otras referencias de modelos de indicadores, como el planteado por el MITRE, para la construcción de un marco integral de indicadores (en la página 16 de IMC_01 - Metodología Evaluación viene el detalle de las referencias mencionadas para profundizar en los frameworks de los que surge el modelo), y se ha alineado conforme con la Estrategia de Ciberseguridad Nacional del Gobierno de España. El modelo IMC se compone de tres documentos:

Desde su creación en 2014, el modelo IMC ha pasado por varias evoluciones para adecuarse al propósito de su creación: convertirse en un modelo de referencia en la medición de la ciberresiliencia en España. El modelo está basado en los conceptos de objetivos o metas y categorías o dominios funcionales, para categorizar los indicadores y facilitar la medición del estado de ciberresiliencia de las organizaciones pertenecientes a cualquier sector esencial.

¿En qué se ha actualizado el modelo?

En mayo de 2020 se ha actualizado el modelo IMC para seguir mejorando su aproximación y aplicabilidad a las empresas. En particular, esta revisión ha afectado, principalmente, al documento “IMC_02 – Diccionario de Indicadores para la Mejora de la Ciberresiliencia”. Las mejoras y evoluciones realizadas han sido las siguientes:

  • Incorporar una breve descripción de los distintos dominios funcionales.
  • Mejora en la explicación de cada indicador. Descripción más clara para simplificar la comprensión del público objetivo.
  • Reubicación de indicadores para completar de forma más robusta el objetivo de cada dominio funcional.
  • Eliminación de redundancias en indicadores.

Como resultado de estos cambios, la versión de 2020 del modelo IMC considera finalmente cuatro metas y nueve dominios funcionales:

  • Anticipar (A): mantener un estado de preparación informado, con el fin de evitar que se vean comprometidos los servicios esenciales por los ciberataques.
    • Política de Ciberseguridad (PC): disponer de una política que establezca los requisitos de ciberresiliencia, contemple los riesgos de ciberseguridad, asigne responsabilidades y sea comunicada a toda la organización.
    • Gestión de Riesgos (GR): identificar, analizar y mitigar los riesgos sobre los activos de la organización, que podrían afectar negativamente el funcionamiento y la prestación de servicios.
    • Formación en Ciberseguridad (FO): promover el conocimiento y el desarrollo de habilidades de las personas en apoyo de sus funciones, para la consecución y el mantenimiento de la ciberresiliencia operacional y la protección.
  • Resistir (T): continuar con los servicios esenciales a pesar de la ejecución con éxito del ciberataque.
    • Gestión de Vulnerabilidades (GV): identificar, analizar y gestionar vulnerabilidades en los activos que apoyan la prestación de los servicios esenciales.
    • Supervisión Continua (SC): recoger, recopilar y distribuir información sobre el comportamiento y las actividades de los sistemas y las personas, para apoyar el proceso continuo de identificación y análisis de los riesgos de los activos de la organización y de los servicios esenciales que puedan afectar negativamente al funcionamiento y prestación de estos.
  • Recuperar (R): restaurar servicios esenciales en la mayor medida posible con posterioridad a la ejecución con éxito de un ciberataque.
    • Gestión de Incidentes (GI): establecer procesos para identificar y analizar los acontecimientos, detectar incidentes, y determinar y aplicar una adecuada respuesta organizativa.
    • Gestión de Continuidad del Servicio (CS): establecer cómo la organización lleva a cabo la planificación de actividades para garantizar la continuidad de los servicios esenciales en caso de incidente o desastre.
  • Evolucionar (E): cambiar las funciones y las capacidades con el fin de rediseñar las estrategias, a fin de minimizar los impactos negativos de los ciberataques reales o previstos.
    • Gestión de la Configuración y de los Cambios (CC): establecer procesos para mantener la integridad de todos los activos (tecnología, información e instalaciones) necesarios para proporcionar los servicios esenciales.
    • Comunicación (CM): establecer procesos que garanticen la comunicación entre responsables involucrados en la operación de los servicios esenciales, tanto internos, como externos a la organización.

Durante su revisión, se han redefinido los 46 indicadores del modelo, reorganizándose y adaptándose mejor a sus metas y dominios funcionales. En el esquema que se muestra a continuación, puede verse la evolución en el reparto total de indicadores respecto de la última revisión en 2017.

indicadores_2017_2020

¿Han evolucionado también los informes de resultados?

Las mejoras no terminan sólo en la revisión del modelo, sino que también se han optimizado los informes de resultados para simplificarlos y ayudar a una mejor compresión de los resultados. Se muestra un ejemplo de visualización de los indicadores de ciberresiliencia para una categoría profesional o sector, en comparativa con el operador y su entorno, para cada uno de los dominios funcionales que componen las cuatro metas:

visualizacion_indicadores

También se incluye un nuevo análisis que permite comparar el porcentaje de participación de los operadores con la valoración global de ciberresiliencia (IMC) para cada uno de los sectores implicados en la consulta. El gráfico a continuación ilustra este concepto.

participacion_operadores

Conclusión

En definitiva, las mejoras realizadas permiten ayudar a todas las partes interesadas en medir sus capacidades de ciberresiliencia y disponer de una metodología que permita conocer el grado de madurez de sus controles de una forma más clara con el objetivo de ayudar a las organizaciones a realizar esa autoevaluación.

Puede acceder a estos documentos desde nuestra sección de guías