Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

ANTICIPAR: una de las cuatro metas de la ciberresiliencia

Fecha de publicación 11/06/2020
Autor
INCIBE (INCIBE)
Anticipar imagen decorativa

A pesar del continuo aumento de los ataques informáticos y las filtraciones de datos, no todas las empresas u organizaciones toman las medidas necesarias para garantizar su resiliencia ante un ataque o un desastre de consecuencias graves. Las organizaciones que ya han sufrido un incidente de este tipo están más concienciadas sobre la importancia de la ciberresiliencia, pero no tenemos que esperar a que suceda un incidente para prepararnos para poder resistirlo. Todas las empresas, grandes o pequeñas, hayan sufrido o no un incidente, necesitan preocuparse por su ciberresiliencia, por ello, el primer paso para conseguirlo es anticiparse.

Anticipar, en materia de ciberresiliencia, significa tener la capacidad de prevenir que se hagan realidad las amenazas, recurriendo a procedimientos establecidos por la propia organización y a tecnologías de ciberseguridad avanzada que ayuden a gestionar los diferentes tipos de riesgos detectados. Asimismo, es importante hacer énfasis en la formación que se proporciona a los empleados, porque, en caso de un evento, todas las personas de la organización tienen que ser capaces de reaccionar de forma adecuada.

Conocer el nivel de ciberresiliencia de la organización permitirá que se pongan los medios para su mejora, sobre todo si se descubre que el problema podría repercutir en consecuencias graves o pérdidas para la organización. Un caso particular son las organizaciones que soportan infraestructuras críticas del país ya que están obligadas por la Ley PIC a incorporar planes para garantizar la seguridad de sus instalaciones.

El modelo IMC permite a las organizaciones medir y mejorar su capacidad de alcanzar cuatro metas: anticipar, resistir, recuperar y evolucionar. Desarrollaremos a continuación los componentes a medir para mejorar la meta Anticipar.

Anticipar es una de las cuatro metas de ciberresiliencia. Consiste en mantener un estado de preparación informado, con el fin de evitar que se vean comprometidos los servicios esenciales en caso de que se produzca un ciberataque. Para medir los objetivos de esta meta se analizan sus tres dominios funcionales: las políticas de ciberseguridad, la gestión de riesgos y la formación en ciberseguridad.

IMC anticipar

A continuación veremos en detalle cada uno de estos tres dominios.

Políticas de ciberseguridad

El primer dominio funcional de la meta Anticipar consiste en establecer una política de ciberseguridad en la cual estén identificados los requisitos de ciberresiliencia para cada servicio esencial que preste la organización. Esto permitirá medir el grado de compromiso de la organización con la definición de los objetivos específicos de ciberresiliencia y los requisitos para cumplirlos.

En esta política, debe existir información sobre los procedimientos existentes, como, por ejemplo, la colaboración con organismos públicos y privados, CERT o entidades privadas como consultoras o proveedores, para recibir avisos de vulnerabilidades o comunicar los incidentes. Un acuerdo de colaboración o intercambio de información de ciberresiliencia con este tipo de organismos garantiza la colaboración en caso de que un ciberataque pueda producir indisponibilidad en los servicios esenciales. La existencia de estos acuerdos de intercambio de información colabora en la mejora de la anticipación en la gestión de incidentes, la gestión de vulnerabilidades y la continuidad del servicio esencial.

politica de ciberseguridad

Gestión de riesgos

El segundo dominio funcional dentro de la meta Anticipar, es la gestión de riesgos, que se define como el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas que podrán ocasionar los incidentes, conteniendo las acciones preventivas, de mejora y reducción, que deben ponerse en marcha. Los elementos que deben ser parte de una gestión de riesgos adecuada son:

  • Identificar el servicio esencial, o los servicios esenciales, estableciendo prioridades entre ellos, según el valor fijado por la organización.
  • Conocer, entender y ordenar por la gravedad de su impacto en el servicio esencial, las amenazas más importantes para la organización.
  • Prepararse para los ciberataques que logren sobrepasar las tecnologías de seguridad, con el objetivo de detectarlos, contenerlos y remediar sus acciones en el menor tiempo posible y así minimizar el daño dentro de la empresa (BIA).
  • Estimar los tiempos máximos aceptables para la recuperación y el nivel del volumen de datos en riesgo que se considera aceptable durante este tiempo.
  • Definir los umbrales de tolerancia al riesgo para disparar los distintos tratamientos del mismo: eliminación, mitigación, transferencia o aceptación.

La organización, procesos, tecnologías, herramientas y servicios de seguridad, deben revisarse y ajustarse a medida que evolucionan las amenazas en un proceso de mejora continua. Llevar a cabo un análisis de impacto dentro de la organización (Business Impact Analysis – BIA) sobre el servicio esencial resulta imprescindible para poder analizar las consecuencias de una interrupción de la provisión o alteración del mismo con el fin de identificar cuáles son los procesos y actividades críticos que soportan este servicio, para priorizar su recuperación. Una organización ciberresiliente implica adaptarse en el mínimo tiempo posible.

gestión de riesgos

Formación en ciberseguridad

El tercer dominio funcional de esta meta es la formación de todos los integrantes de una organización en materia de ciberresiliencia. La inversión para la formación en ciberseguridad ha adquirido cada vez más importancia ya que es necesaria para evitar situaciones indeseadas e incidentes en los que los activos o el servicio esencial de la organización se vean comprometidos. A pesar de contar con una gestión de riesgos establecida y documentada a la cual se le aplican acciones de mejora, todas las personas de la empresa tienen que ser capaces de reaccionar de manera adecuada frente a situaciones de riesgos.

Tener un plan de formación y concienciación dentro de la organización es la forma de crear una cultura de seguridad, es decir, hacer que cada empleado, dependiendo de su función dentro de la empresa, sea consciente de que de él también depende la ciberseguridad de la empresa y se comprometa, en su ámbito de actuación, con la misma.

El objetivo de este dominio funcional es llevar a cabo actividades de formación y concienciación en ciberresiliencia. Para ello se ha de definir y poner en marcha un plan destinado al personal implicado de alguna forma en el servicio esencial. Este plan contendrá los recursos que se han de dedicar, cómo se ha de formar o concienciar al personal y qué actividades se llevarán a cabo. Además, estarán orientadas a formar, entrenar y sensibilizar al personal de la organización en esta materia, según sus necesidades y su papel en la seguridad del servicio esencial, pudiendo incluir sesiones de capacitación, simulación de incidentes y participación en ciberejercicios. Asimismo, un plan de formación también debe ser adaptado cada cierto tiempo, ya que las amenazas evolucionan y aparecen otras nuevas. Por otra parte, en caso de ser necesario, se ha de contemplar la formación de contratistas y usuarios.

formación en ciberseguridad

Conclusión

Anticipar es el primer paso para adoptar una actitud ciberresiliente. Toda organización o empresa comprometida con la ciberseguridad conseguirá disminuir en cierta medida cualquier tipo de amenaza, o en su defecto, estará preparado para mitigarlas. Tener un nivel de madurez alto en la primera meta de Anticipar ayudará a la organización a desarrollarse mejor dentro de las otras metas de la ciberresiliencia: Resistir, Recuperar y Evolucionar.