Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Contexto en la medición de indicadores de ciberresiliencia a nivel nacional

Fecha de publicación 27/10/2022
Autor
INCIBE (INCIBE)
Contexto en la medición de ciberresiliencia a nivel nacional

Contexto de la medición de indicadores de ciberresiliencia a nivel nacional

Todas las organizaciones, independientemente de su tamaño o infraestructura, están expuestas a sufrir las consecuencias de las ciberamenazas. De hecho, tal y como constata el Instituto Nacional de Ciberseguridad (INCIBE), se gestionaron 109.126 incidentes de ciberseguridad durante el año 2021.

Entre los afectados, 90.168 correspondían a ciudadanos y empresas y 680 a operadores críticos y esenciales estratégicos. Dentro de la tipología de incidentes, casi el 30% supusieron incidentes relacionados con malware y software malicioso, seguidos de un 28,6% de fraudes y un 18,89% de ataques a sistemas vulnerables. Estos datos confirman las tendencias en incidentes de ciberseguridad de los últimos años. El aumento en el volumen de información que deben gestionar las organizaciones tiene como resultado un mayor riesgo de sufrir brechas de seguridad, por lo que invertir en el desarrollo de estrategias basadas en la ciberresiliencia, con las que proteger estos activos, se convierte en una prioridad hoy en día.

Lamentablemente, las empresas están poco preparadas para afrontar y gestionar los ciberincidentes, ya sean provocados o no. Esto se debe, principalmente, a la falta de medidas técnicas y procedimientos para mitigarlos, falta de información o recursos para hacerles frente o a la falta de evidencias con las que evaluar la capacidad real de la organización para continuar con el desarrollo de su actividad tras un ciberataque.

Partiendo de esta situación, el Instituto Nacional de Ciberseguridad lanzó en 2014 su modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC), con el propósito de mejorar y conocer el estado de la ciberresiliencia en las organizaciones.

Este modelo permite a las organizaciones medir sus capacidades de anticiparse, resistir, recuperarse y evolucionar ante los ciberincidentes que puedan afectar a la prestación de sus servicios. Consta de 4 metas, que se corresponden con las mencionadas capacidades de la ciberresiliencia, y a 9 dominios funcionales: política de ciberseguridad, gestión de riesgos y formación; gestión de vulnerabilidades y supervisión continua; gestión de incidentes y gestión de la continuidad; gestión de la configuración y cambios, y comunicación.

4 metas de IMC

- Metas de IMC: anticipar, resistir, recuperar y evolucionar. -

Desde sus inicios, y tras realizar con éxito numerosas mediciones sobre un amplio abanico de organizaciones, el modelo ha seguido evolucionando para adaptarse lo mejor posible a las necesidades y circunstancias de las entidades. Este 2022, INCIBE, junto con la Oficina de Coordinación de Ciberseguridad (OCC), difunden de nuevo esta iniciativa que ya es considerada como el modelo de referencia en la medición de la ciberresiliencia a nivel nacional.

¿Por qué son importantes este tipo de proyectos?

Las medidas de seguridad tradicionales no son suficientes. Los avances en la ingeniería social, así como en el software malicioso y la detección de vulnerabilidades de los sistemas permiten a los atacantes infiltrarse rápidamente en los sistemas informáticos de las organizaciones, por lo que detectar con antelación las brechas de seguridad y disponer de procedimientos para una mejor respuesta y recuperación tras un incidente es fundamental.

Este tipo de proyectos e iniciativas para la medición de los Indicadores para la Mejora de la Ciberresiliencia proporcionan una visión global del estado de la resiliencia del tejido empresarial español, sobre un amplio abanico de organizaciones, servicios esenciales (OSE) y otras entidades estratégicas, así como numerosos sectores (turístico, industrial, asociaciones…).

También, aportan numerosos beneficios:

  • Mejoras en la seguridad de los sistemas. Estas “consultas” o mediciones sobre los diferentes operadores permiten a las organizaciones identificar sus fortalezas y debilidades dentro del marco estratégico-institucional de seguridad de redes, sistemas de información y otros activos, así como en la gestión de riesgos y de incidentes de seguridad. Además, el análisis de los datos recogidos durante la medición, así como la compartición de estos análisis con las organizaciones por medio de informes individuales anonimizados, proporciona a los responsables de seguridad un estado fiable de su organización y una comparativa anual sobre su evolución y con respecto al resto de operadores pertenecientes a su sector y entorno.
  • Protección en la reputación. Una organización ciberresiliente tendrá un mayor control sobre las brechas de seguridad y la filtración de información sensible que pueda afectar a la imagen de la misma. A su vez, permite mantener la confianza de los proveedores, clientes y público.

  • Ventaja competitiva: al permitir que una organización tenga un tiempo menor de recuperación con el que garantizar la prestación continua de sus servicios.

  • Reducción de pérdidas económicas: partiendo de la base de que ninguna organización es inmune a los ciberataques, se estima que el coste medio de un ciberataque exitoso aumentó un 30% en el último año, hasta situarse en los 15.300€. Sin embargo, hay casos donde este coste ascendió a más de 25.000€ o, incluso, a varios millones de euros. En el caso de una organización ciberresiliente, el efecto del ataque, así como las pérdidas financieras, se verán reducidas.

  • Finalmente, permite dibujar una hoja de ruta de mejoras dentro de las organizaciones, a la vez que supone un punto de partida con el que seguir enriqueciendo el Esquema Nacional de Seguridad (ENS), en su vertiente de ciberseguridad, a la hora de aplicar estándares y requisitos específicos para la medición de la ciberresiliencia dentro de las organizaciones.

Conclusiones

Comprender los desafíos de la ciberseguridad a los que se enfrenta el tejido empresarial español es una necesidad. Todas las organizaciones están igualmente expuestas a sufrir ciberincidentes, tanto externos como internos, pero lo más importante es poder darles las herramientas con las que analizar sus defensas y vulnerabilidades, así como las recomendaciones necesarias para implementar medidas de protección efectivas y de una forma proactiva.