46 métricas para mejorar la ciberresiliencia en un servicio esencial

Publicado el 22/11/2017, por Juan D. Peláez (INCIBE)
46 métricas para mejorar la ciberresiliencia en un servicio esencial

La protección de las infraestructuras críticas y estratégicas de nuestro país, es una tarea que debe ser compartida por todos los agentes involucrados en un marco de colaboración público privada. El CERT de Seguridad e Industria, desde el año 2015 lleva trabajando en varios proyectos piloto con los Operadores de Infraestructuras Críticas y Estratégicas para extraer un Informe del Estado de la Ciberrsiliencia en las IICC Españolas, como ya se adelantó en el artículo ¿Cómo saber si una empresa está preparada para resistir un ciberataque?

Ataques contra los sistemas informáticos de centrales nucleares, contra el suministro eléctrico de una región, contra el funcionamiento de las salas de operación de un hospital, contra la red de transporte de una gran ciudad, o contra el sistema electoral de un país, son algunos de los casos que vemos en los medios de comunicación que han afectado a otros países. En España, no estamos muy alejados de estos incidentes, el CERTSI ha pasado de gestionar 134 incidentes en operadores críticos en el año 2015 a 479 en el año 2016, y durante el año 2017 estos números han seguido incrementándose.

¿Qué es la ciberresiliencia?

La ciberresiliencia como ya se definió en el artículo ¿Tu empresa es segura? Medir es el primer paso para conseguirlo, es la capacidad de anticipar, resistir, recuperarse y evolucionar frente a condiciones adversas, como los ataques contra los recursos de información o tecnológicos, por tanto, la ciberresiliencia es la estrategia que deben seguir las organizaciones, para hacer frente a una mayor explosión de sus sistemas de información y operación, y al aumento de los ciberataques que se producen a nivel mundial.

Indicadores para la mejora de la ciberresiliencia

EL CERT de Seguridad e Industria dando continuidad a los pilotos de medición de 2015 y 2016, va a poner en marcha un proyecto para ayudar a las infraestructuras críticas y estratégicas a medir su ciberresileincia llamado Indicadores para la Mejora de la Ciberresileincia (IMC). Este proyecto, que se desarrolla en el marco del Esquema Nacional de Seguridad Industrial (ENSI), dispone de 46 métricas agrupadas jerárquicamente por distintos entornos tecnológicos a proteger, diferenciando entre entornos de Tecnologías de la Información (TI) y entornos de Tecnologías de la Operación (TO), también conocido bajo otros nombres como tecnología industrial, SCADA o ICS.

Estas 46 métricas, miden cuatro objetivos o metas a alcanzar, y nueve categorías o dominios funcionales de ciberresiliencia a implantar, permitiendo a una organización disponer de una radiografía precisa del estado de su seguridad, que le facilita la toma de decisiones  para la mejora sus sistemas de seguridad.

10 Anticipar: 4 Política de Ciberseguridad, 4 Gestión de riesgos, 2 Formación en ciberseguridad; 13 Resistir: 9 Gestión de vulnerabilidades, 4 Supervisión continua; 21 Recuperar, 9 Gestión de incidentes, 12 Gestión de continuidad del servicio; 4 Evolucionar: 1 Gestión de la configuración y de los cambios, 3 comunicación

Ilustración 1:Metas y Dominios Funcionales de la Ciberresiliencia

Beneficios de medir la ciberresiliencia

Las organizaciones de sectores con infraestructuras críticas o estratégicas, pueden disponer de un diagnóstico autoevaluado, que les facilita la medición de su capacidad y madurez para soportar y sobreponerse a ataques contra sus sistemas informáticos, de una manera homogénea y estandarizada.

Los beneficios principales que aporta medir la ciberresiliencia son:

Conocer el nivel de madurez: Capacidad de la organización en ciberresileincia, para hacer frente y resistir a ataques contra sus sistemas de información o de operación; Mejorar la ciberresiliencia: Identificar los dominios funcionales de seguridad que podrían ser mejorados en la organización, mediante un plan de acción adecuado; Revisión Continua: Disponer de un marco de revisión que permita una autoevaluación periódica para la mejora continua de la seguridad de la organización; Comparación de resultados: Facilitar la comparación de resultados frente a otras organizaciones del mismo sector y entorno tecnológico

Ilustración 2: Beneficios de Medir la Ciberresiliencia

¿Qué oportunidades de mejora se obtienen con las 46 métricas?

En base a la experiencia de medir la ciberesiliencia durante los 2 últimos años, podemos extraer algunas de las métricas en las que se han detectado mayores oportunidades de mejora, y que las infraestructuras críticas y estratégicas deben contemplar en sus máximos órganos de gobierno:

La organizaciones deben establecer en sus políticas de Ciberseguridad mecanismos para la formalización de los acuerdos para la mutua cooperación e intercambio de información en materia de ciberresiliencia con organismos públicos, para mejorar la anticipación en la gestión de incidentes, gestión de las vulnerabilidades y continuidad de los servicios esenciales.

El análisis, gestión y tratamiento del riesgo debe contemplar criterios objetivos basados en el establecimiento de umbrales de tiempo y puntos objetivos de recuperación (RTO y RPO) que permitan un adecuado tratamiento del riesgo, su eliminación, mitigación, transferencia o aceptación.

La identificación, análisis y corrección de vulnerabilidades en los sistemas tecnológicos de la organización debe ser un proceso  continuo, que permita establecer requisitos temporales, para la corrección de vulnerabilidades identificadas, que minimicen el tiempo de exposición de los activos vulnerables de la organización en función de su impacto.

Para que los servicios esenciales puedan ser restablecidos en un tiempo aceptable en caso de un incidente, se debe de tener cuantificados los tiempos necesarios para restaurar los sistemas ante distintos tipos de ataques que pueda sufrir la organización.

La organización debe establecer y definir mecanismos eficaces de comunicación externa en materia de ciberresiliencia, en caso de que se produzca un incidente con los principales afectados e interesados, clientes, proveedores, medios de comunicación, Fuerzas y Cuerpos de Seguridad del Estado, servicios de emergencia...

Formulario para la medición de la ciberresiliencia

El formulario para autoevaluar los Indicadores para la mejora de la ciberresiliencia, contiene preguntas para los 9 dominios funcionales de la ciberresiliencia, que deberán ser respondidas por el responsable o los responsables de seguridad en la empresa, con el fin de abarcar todas las ramas afectadas por una posible carencia de resiliencia dentro de la organización, ya sea en el plano de la seguridad en las Tecnologías de la Información (TI), como en las Tecnologías de la Operación (TO).

El formulario debe ser respondido considerando un servicio esencial prestado por la organización, en base al principio de criticidad, considerando el servicio de mayor criticidad, es decir, que en caso de verse afectado por un incidente, ocasione un mayor impacto económico, material o de imagen dentro de la organización.

ENSI_IMC_03-Formulario-Ciberresiliencia.xls