¿Tu empresa es segura? Medir es el primer paso para conseguirlo

Publicado el 10/11/2016, por INCIBE
¿Tu empresa es segura? Medir es el primer paso para conseguirlo

A día de hoy, muchas empresas prestan un servicio tan estratégico como indispensable para el funcionamiento de un país. Por tanto, su perturbación o destrucción supone un grave impacto sobre los servicios esenciales que prestan a la población. Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de Información y las Comunicaciones (TIC) y Transporte, son los sectores catalogados como críticos por la ley PIC 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Así, las empresas que gestionan infraestructuras relacionadas con estos sectores juegan un papel vital, ya que la responsabilidad de protegerlas recae sobre ellas.

Segun datos del CERTSI, Cert de Seguridad e Industria, los ataques registrados en España hasta septiembre de este año (90.000) doblan ya los que se atendieron en todo 2015. Hace dos años, tan solo se detectaron 18.000.

Todos tenemos en la mente casos como el de Ivano-Frankivsk, ocurrido el 23 de diciembre de 2015, en el suroeste de Ucrania, cuando se produjo un apagón a causa de un ciberataque que afectó a las principales compañías de electricidad de la región, lo cual causó que unos 600.000 hogares quedasen sin electricidad durante unas horas. Otros casos destacados en 2016 son la brecha de seguridad en Saint Francis Health System en Oklahoma, donde unos ciberdelincuentes sustrajeron 6.000 nombres y direcciones de los pacientes de hospital Saint Francis, o el de los cajeros automáticos infectados por malware en Tailandia.

¿Podría darse un ataque de estas características en España? A día de hoy, ya nadie niega la necesidad de mejorar las capacidades de ciberseguridad de las infraestructuras críticas. Pero cuando nos preguntamos cuáles son esas capacidades, las respuestas empiezan a estar menos claras.

Abarcar la protección de una empresa no es algo trivial. Son muchos los factores que atañen a esta responsabilidad. Sin embargo, la ciberresiliencia, definida como la capacidad de anticipar, resistir, recuperarse y evolucionar para sobreponerse a condiciones adversas (como los ataques contra los recursos de información o tecnológicos), se está erigiendo en los últimos tiempos como una de las propiedades más importantes que conviene asegurar para mantener el nivel de protección de la empresa. Conocer el estado de ciberresiliencia de nuestras organizaciones es el primer paso para mejorar su protección.

Metas, Dominios funcionales y Métricas de Ciberresiliencia

Desde el CERT de Seguridad e Industria, operado técnicamente por INCIBE, y bajo la coordinación del CNPIC e INCIBE, se está promoviendo un ambicioso proyecto de consulta para ayudar a las grandes empresas españolas a medir su capacidad de ciberresiliencia frente a las amenazas.

El año pasado ya se realizó una consulta piloto, pionera en la comunidad, que permitió conocer algunos datos importantes sobre el nivel de ciberresiliencia de las empresas participantes. Entre las conclusiones extraidas de esta consulta, independientemente del sector o del entorno al que pertenecieran, una de las métricas con el nivel de madurez más bajo fue el de gestión de las vulnerabilidades. Este resultado pone de manifiesto la dificultad que tienen la mayor parte de las empresas para corregir sus brechas de seguridad, incluso una vez que ya han sido identificadas. Por ello, una de las principales recomendaciones más repetidas fue la realización periódica de análisis de seguridad sobre los sistemas, poniendo especial énfasis en el registro de las fechas en las que se detecta y se corrige la vulnerabilidad.

La consulta de ciberresiliencia 2016, en la que está previsto participen más de 100 empresas, supera con creces el número empresas participantes en la consulta del año pasado. Este dato refleja la responsabilidad de las empresas por mejorar su estado de protección. En general, el objetivo de la consulta es ayudar a las empresas a conocerse mejor desde el punto de vista de la ciberseguridad. En particular, el objetivo de la consulta anual es doble:

  • Por un lado, consolidar la realización de este tipo de consultas, brindando a las empresas un firme apoyo para mejorar su ciberresiliencia con respecto a su sector y al entorno al que pertenecen.
  • Por otro lado, proporcionar a las empresas que ya participaron en la consulta del año pasado, una fotografía de la evolución de sus esfuerzos por mejorar su ciberresiliencia.

Desde una visión práctica, la consulta de ciberresiliencia 2016 se traducirá para las empresas participantes en un cuestionario anónimo de 46 preguntas que deberán contestar en función del servicio esencial que proveen. Las preguntas o métricas se agruparán jerárquicamente por categorías o dominios funcionales (por ejemplo, gestión de riesgo, monitorización continua, gestión de dependencias externas, etc), que a su vez se agrupan en función de una meta u objetivo (anticipar, resistir, recuperarse, y evolucionar).

Además, las empresas podrán indicar si pertenecen a un entorno TIC, u OT (también conocido bajo otros nombres como tecnología industrial, SCADA o ICS).

Tras el análisis de dichos datos, el CERTSI, Cert de Seguridad e Industria, proporcionará a las empresas un informe personalizado (i) comparando sus resultados con los de su sector o entorno y (ii) suministrando un plan de acción basado en las recomendaciones más útiles para ayudarlas a mantener o promocionar hacia el estado de ciberresiliencia que necesitan.

Finalmente, se elaborará un Informe anual 2016 del estado de la ciberresiliencia en las empresas que soportan las infraestructuras críticas españolas que permitirá de esta manera dar una respuesta para conocer si las empresas estratégicas de nuestro país están preparadas para resistir a un ciberataque, y tomar las medidas necesarias para que nuestro país sea ciberresiliente.