RESISTIR: la habilidad de las organizaciones para soportar desastres y perturbaciones procedentes del ámbito digital
En la actualidad, muchas organizaciones prestan servicios esenciales, digitales y relacionados con los sistemas de la información, que son básicos para el funcionamiento estratégico de un país. Cualquier perturbación que pueda alterar dichos servicios puede suponer un enorme impacto sobre su economía, medio ambiente o población. En este sentido, las amenazas de ciberseguridad son algunos de los riesgos que más han crecido en los últimos años y que pueden afectar de manera crítica a estos servicios. La ausencia de medidas de seguridad supone un alto riesgo de exposición a fugas, pérdidas o indisponibilidades de información, incapacidad o dificultad para la identificación de vulnerabilidades y la continuidad del servicio, aumento de las probabilidades de acabar siendo infectado, etc.
Dada la importancia de estos servicios que todo país necesita para su correcto funcionamiento, las preguntas que se plantea son evidentes: ¿podrían las organizaciones españolas resistir el impacto de una ciberamenaza y continuar con la provisión de su servicio esencial? y ¿con qué nivel de servicio? o ¿durante cuánto tiempo? Estas reflexiones son especialmente sensibles en organizaciones pertenecientes a sectores como Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de Información y las Comunicaciones (TIC) y Transporte, que son los sectores catalogados como críticos por la ley PIC 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Estas cuestiones pueden resolverse usando el modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) de INCIBE, un instrumento de diagnóstico y medición de la capacidad de anticiparse, resistir, recuperarse y evolucionar frente incidentes en las organizaciones. La capacidad de resistir permite determinar si una organización es capaz de continuar con los servicios esenciales que presta, en caso de sufrir un ciberataque.
Para medir los objetivos de esta meta, se analizan sus dos dominios funcionales: la gestión de las vulnerabilidades y la supervisión continua.
Gestión de vulnerabilidades
El dominio funcional de gestión de vulnerabilidades dentro de la meta resistir mide la capacidad de identificar, analizar y gestionar vulnerabilidades en los activos que apoyan la prestación de los servicios esenciales. A continuación, se muestran 9 acciones que nos permiten alcanzar esta meta:
- Establecer un proceso de identificación de vulnerabilidades que permita a las organizaciones descubrirlas de forma proactiva, consultando las fuentes de información disponibles (fabricantes, INCIBE-CERT...). Si el servicio esencial pertenece a un entorno OT (Operational Technologies o Tecnologías de la Operación), se trata de investigar sobre aquellas vulnerabilidades que puedan afectar a los componentes que lo integran (PLC, RTU, HMI, SCADA, Controlador, etc.).
- Establecer y mantener un proceso de clasificación, categorización y priorización de vulnerabilidades que afectan a la provisión del servicio esencial de modo que cada vulnerabilidad tenga asignado un nivel de criticidad. Por ejemplo, se puede priorizar una vulnerabilidad utilizando el sistema CVSS (Common Vulnerability Score System).
- Establecer un proceso de análisis de vulnerabilidades para obtener una valoración de su impacto, relevancia y alcance en la organización.
- Establecer y mantener un repositorio actualizado de vulnerabilidades que afecten a los sistemas, productos y software utilizados, que contenga información actualizada del ciclo de vida de éstas, con información específica de cada una de ellas, incluidas las medidas requeridas para atajarlas.
- Iniciar acciones para gestionar la exposición a vulnerabilidades identificadas para identificar y revisar posibles estrategias con las que remediar vulnerabilidades; particularmente, para el caso de aquellas que la organización considera más prioritarias o críticas.
- Observar la exposición a vulnerabilidades identificadas realizando un seguimiento periódico y notificando aquellas vulnerabilidades que no han sido resueltas.
- Estimar el tiempo medio desde la identificación de una vulnerabilidad hasta la notificación al responsable. Por ejemplo, determinando el tiempo medio que transcurre desde que un trabajador identifica una alerta en su equipo relacionada con la seguridad del equipo, hasta que es comunicado al responsable de sistemas.
- Estimar el tiempo medio desde que se anuncia un parche de seguridad hasta que se aplica a la vulnerabilidad afectada, por ejemplo, determinando el tiempo medio que transcurre desde se publica una nueva actualización de software, hasta que es aplicada en todos los equipos y sistemas de la organización.
- Estimar el tiempo medio en resolver vulnerabilidades identificadas que no pueden ser resueltas por medio de actualizaciones o parches, aplicando medidas diferentes, por ejemplo, determinando el tiempo medio que transcurre en el aislamiento del sistema, la protección de su perímetro o simplemente la eliminación del mismo.
El diccionario de indicadores, en el apartado correlación de estos puntos, puede dar ideas para profundizar algo más en estas acciones. A pesar de que estas acciones descritas son las mínimas necesarias, se pueden obtener más acciones basadas en distintas metodologías, como:
- ISO/IEC 27001:2017
- National Vulnerability Database.
- Esquema Nacional de Seguridad.
- Protección de Infraestructuras Críticas: Legislación Nacional y Europea.
- NIS
- Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
- Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Supervisión continua
El dominio funcional de supervisión continua dentro de la meta resistir mide la capacidad de recoger, recopilar y distribuir información sobre el comportamiento y las actividades de los sistemas y las personas, para apoyar el proceso continuo de identificación y análisis de los riesgos de los activos de la organización y de los servicios esenciales que puedan afectar negativamente al funcionamiento y prestación de estos. Para ello, se recomiendan los siguientes 4 ejercicios:
- Supervisar permanentemente los servicios esenciales: se trata de planificar e implantar una supervisión continua (24x7) de la provisión del servicio esencial para detectar potenciales ciberincidentes.
- Supervisar la existencia de software y hardware no autorizados en los sistemas que soportan los servicios esenciales, por ejemplo, disponiendo de una política de permisos que no permitan la instalación de software, así como un control físico que no permita la modificación y el acceso al hardware.
- Supervisar las redes de comunicaciones para detectar conexiones no autorizadas, por ejemplo, mediante un sistema de detección de intrusiones o un cortafuegos.
- Establecer un procedimiento de notificación de incidentes que facilite información sobre el tiempo que pasa desde la identificación del incidente y su escalado a los responsables de resolverlo. Se puede obtener una estimación de este tiempo como resultado, por ejemplo, de las pruebas del plan de continuidad.
Estas acciones son solo un ejemplo de las medidas sugeridas dentro del IMC (Indicadores para la Mejora de la Ciberresiliencia). Sin embargo, existen distintas alternativas y líneas de acción con las que alcanzar esta meta, como las descritas en las metodologías mencionadas (ISO/IEC 27001:2017 y NIS).
Siguiendo estas medidas, las empresas pueden hacer frente al aumento de ataques informáticos y filtraciones de datos, y estar más cerca de poder garantizar la recuperación de sus servicios con el mínimo impacto posible, una vez sufridas las consecuencias de un ciberataque.
Todas las organizaciones están expuestas a sufrir ataques, pero lo más importante es tener la capacidad de estar preparadas tanto para detectarlos como para anticiparse e implementar medidas de protección de forma proactiva. Por ello, para toda organización comprometida con la prestación resiliente de su servicio, es tan importante orientarse a conseguir las metas, anticipar, resistir, recuperar y evolucionar. Sin embargo, la meta resistir, en particular, merece una mención especial al ser aquella relacionada con la capacidad de una organización para seguir dando continuidad a sus servicios a pesar de la ejecución con éxito de un ciberataque.