Ciberresiliencia: Clave a los Incidentes Informáticos. - INCIDE
19973
post-template-default,single,single-post,postid-19973,single-format-standard,vcwb,ajax_fade,page_not_loaded,,qode-title-hidden,side_area_uncovered_from_content,qode-theme-ver-8.0,wpb-js-composer js-comp-ver-5.0.1,vc_responsive

06 Jul Ciberresiliencia: Clave a los Incidentes Informáticos.

En la empresa, sin importar el tamaño, con que cuenten con cualquier dispositivo conectado a la Internet, ya presenta vulnerabilidades, siempre y cuando no se tengan medidas preventivas, a pesar del continuo aumento de los ataques informáticos y las filtraciones de datos, en diferentes épocas, existen picos generados por ciberdelincuentes, en el primer semestre del 2020, fue utilizado la crisis sanitaria, en donde no todas las empresas u organizaciones toman las medidas necesarias para garantizar su resiliencia ante un ataque o un desastre de consecuencias graves. Las organizaciones que ya han sufrido un incidente de este tipo están más concienciadas sobre la importancia de la ciberresiliencia, pero no tenemos que esperar a que suceda un incidente para prepararnos para poder resistirlo. Todas las empresas, grandes o pequeñas, hayan sufrido o no un incidente, necesitan preocuparse y ocuparse por su ciberresiliencia, por ello, el primer paso para conseguirlo es prevención o anticiparse.

Prevención, en materia de ciberresiliencia, significa tener la capacidad de anticiparse, visualizar que se hagan realidad las amenazas, recurriendo a procedimientos establecidos por la propia organización y a tecnologías de ciberseguridad (Antivirus, Controles de Acceso físico, Firewall o cortafuegos) que ayuden a gestionar los diferentes tipos de riesgos detectados. Asimismo, es importante hacer énfasis en la formación y/o educación que se proporciona a los empleados, porque, en caso de un evento, todas las personas de la organización tienen que ser capaces de reaccionar de forma adecuada.

Conocer el nivel de ciberresiliencia de la organización permitirá que se pongan los medios para su mejora, sobre todo si se descubre que el problema podría repercutir en consecuencias graves o pérdidas para la organización. Un caso particular son las organizaciones que soportan infraestructuras críticas del país ya que están obligadas por diversas leyes y contratos a incorporar planes para garantizar la seguridad de sus instalaciones.

La digitalización de las sociedades, los mercados globales y el aumento de la dependencia de la tecnología, llevan asociados un incremento en el número de incidentes de ciberseguridad. Este tipo de eventos no deseados amenaza a las personas, a las organizaciones e incluso a las naciones. Cuando son intencionados, los atacantes aprovechan la ubicuidad, flexibilidad e inmediatez que ofrece la tecnología para ejecutar sus acciones. Si estos ataques afectan a infraestructuras de un país o a los proveedores de servicios digitales, las actividades cotidianas de las instituciones y los ciudadanos podrían verse afectadas.

  • Los servicios esenciales, son los que establecen medidas para la protección de las infraestructuras críticas son «los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.»

El modelo Indicadores de Mejora de Ciberresiliencia (IMC )1 permite a las organizaciones medir y mejorar su capacidad de alcanzar cuatro metas: Preveniranticipar, resistir, recuperar y evolucionar.

¿Cómo implementar la ciberresiliencia?

Dada la diversidad de las organizaciones, su complejidad interna y las interdependencias entre ellas, no se puede generalizar una forma de implementar la ciberresiliencia. En cualquier caso, es fundamental iniciar un proceso de adaptación y considerar que se debe extender a todo nuestro ecosistema (Administración interna, proveedores, clientes,…). Se deben establecer los siguientes pasos:

  • Priorizar los servicios, según el impacto (económico, medioambiental, público y social, personas afectadas) que su pérdida o deterioro pueda ocasionar.
  • Conocer y priorizar según su criticidad las amenazas que afectan a los servicios.
  • Implementar acciones preventivas contra actuales y futuras amenazas.
  • Desarrollar procesos de remediación para minimizar el daño que pueden producir los incidentes.
  • Detectar vulnerabilidades continuamente y remediarlas para reducir la superficie de ataque.
  • Desarrollar y mantener procesos de comunicación dentro de la empresa.
  • Ejecutar constantemente acciones de mejora que minimicen los riesgos, y repetir el ciclo de pasos para la mejora continua.

Medir la ciberresiliencia

Conocer el estado de ciberresiliencia permite que una organización se prepare para mejorar los aspectos que protegen y mantienen el servicio. Por ejemplo, este conocimiento contribuirá a implementar procesos para detectar los incidentes antes de que sucedan y para responder a los mismos lo antes posible. De igual modo, medir su ciberresiliencia le va a permitir adquirir un nivel de madurez para recuperar, en un tiempo mínimo establecido, la provisión del servicio esencial hasta su normalidad en caso de sufrir un incidente. Por último, este conocimiento favorecerá el fortalecimiento de la ciberresiliencia, promoviendo la mejora continua de estos procesos.

Una forma de medir y mejorar el estado de ciberresiliencia de una organización es seguir un modelo de madurez, es decir, un modelo que defina los niveles establecidos para las buenas prácticas que se han de seguir. Un modelo  conocido es de Indicadores para la Medición de la Ciberresiliencia (IMC) del INCIBE adopta de los estándares los siguientes niveles de madurez:

  • INEXISTENTE: esta medida o medidas no están siendo aplicadas en este momento.
  • INICIAL / AD-HOC: cuando la organización no proporciona un entorno estable para aplicar estas medidas. El éxito o fracaso de estas depende de la competencia y buena voluntad de las personas, aunque es difícil prever su reacción ante una situación de emergencia. Pese a su naturaleza caótica, es más que no tener nada.
  • REPETIBLE, pero INTUITIVO: cuando existe un mínimo de planificación que, acompañada de la buena voluntad de las personas, proporciona una pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas.
  • PROCESO DEFINIDO: se dispone un catálogo de procesos para abordar este aspecto de la ciberresiliencia que se mantiene actualizado. Estos procesos garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos particulares al proceso general.
  • GESTIONADO Y MEDIBLE: cuando se dispone de un sistema de medidas y métricas para conocer el desempeño (eficacia y eficiencia) de los procesos para abordar este aspecto de la ciberresiliencia. La Dirección es capaz de establecer objetivos cualitativos a alcanzar y dispone de medios para valorar si se han alcanzado los objetivos y en qué medida.  
  • OPTIMIZADO: en este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los procesos para abordar este aspecto de la ciberresiliencia basada en los resultados de las medidas e indicadores.

Para evaluar cuál es su situación, la organización debe medir una serie de parámetros de sus procesos respecto a estos niveles y ejecutar las acciones necesarias para reducir la distancia entre su nivel y el óptimo. Las medidas a adoptar se conciben dentro de cuatro metas de ciberresiliencia: anticipar, resistir, recuperar y evolucionar. Por ejemplo, para una métrica de la meta, anticipar (conocer si se han establecido los requisitos de ciberresiliencia), la siguiente gráfica indica cómo se consigue cada nivel.

Para fomentar la ciberresiliencia tenemos que medirla en las infraestructuras que soportan los servicios esenciales y en los proveedores de servicios digitales, ya que, de verse afectados por un incidente, pueden causar graves daños a la economía, a la sociedad y a la seguridad nacional.

Una empresa ciberresiliente será aquella que pueda anticipar, detectar, resistir, recuperar y evolucionar ante amenazas graves que afecten la integridad de datos, información, aplicaciones e infraestructura, minimizando el tiempo de exposición y el impacto en el servicio. Sobre todo, en los ámbitos donde residen sus activos más valiosos.  ¿Estás en una organización ciberresiliente? ¿Quieres saber cómo evoluciona su ciberresiliencia a lo largo del tiempo?

Desarrollaremos a continuación los componentes para mejorar la meta PrevenirAnticipar.

PREVENIR-ANTICIPAR: una de las cuatro metas de la ciberresiliencia

Prevenir-Anticipar es una de las cuatro metas de Ciberreciliencia. Consiste en mantener un estado de preparación informado, con el fin de evitar que se vean comprometidos los servicios esenciales en caso de que se produzca un ciberataque. Para medir los objetivos de esta meta se analizan sus tres dominios funcionales: las políticas de ciberseguridad, la gestión de riesgos y la formación en ciberseguridad.

Anticiparse, resistir, recuperarse y evolucionar

En un mundo global y digitalizado ya no tiene sentido construir fortalezas inexpugnables, en su lugar se ha de desarrollar la capacidad para anticiparse a las amenazas, absorber los impactos de los ataques, y responder de forma rápida y flexible para asegurar los que los sistemas clave pueden continuar con la actividad normal. La ciberresiliencia se define como la capacidad de un proceso, negocio, organización o nación para preveniranticipar, resistir, recuperarse y evolucionar para mejorar sus capacidades de sobreponerse ante condiciones adversas, estrés o ataques a los recursos cibernéticos que necesita para funcionar.

Políticas de ciberseguridad

El primer dominio funcional de la meta PrevenirAnticipar consiste en establecer una política de ciberseguridad en la cual estén identificados los requisitos de ciberresiliencia para cada servicio esencial que preste la organización. Esto permitirá medir el grado de compromiso de la organización con la definición de los objetivos específicos de ciberresiliencia y los requisitos para cumplirlos.

En esta política, debe existir información sobre los procedimientos existentes, como, por ejemplo: la colaboración con organismos públicos y privados, entidades privadas como consultoras o proveedores, para recibir avisos de vulnerabilidades o comunicar los incidentes. Un acuerdo de colaboración o intercambio de información de ciberresiliencia con este tipo de organismos garantiza la colaboración en caso de que un ciberataque pueda producir indisponibilidad en los servicios esenciales. La existencia de estos acuerdos de intercambio de información colabora en la mejora de la anticipación en la gestión de incidentes, la gestión de vulnerabilidades y la continuidad del servicio esencial.

El segundo dominio funcional dentro de la meta Anticipar, es la Gestión de Riesgos, que se define como el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas que podrán ocasionar los incidentes, conteniendo las acciones preventivas, de mejora y reducción, que deben ponerse en marcha. Los elementos que deben ser parte de una gestión de riesgos adecuada son:

  • Identificar el servicio esencial, o los servicios esenciales, estableciendo prioridades entre ellos, según el valor fijado por la organización.
  • Conocer, entender y ordenar por la gravedad de su impacto en el servicio esencial, las amenazas más importantes para la organización.
  • Prepararse para los ciberataques que logren sobrepasar las tecnologías de seguridad, con el objetivo de detectarlos, contenerlos y remediar sus acciones en el menor tiempo posible y así minimizar el daño dentro de la empresa con un Análisis de Impacto del Negocio (Business Impact Analysis – BIA).
  • Estimar los tiempos máximos aceptables para la recuperación y el nivel del volumen de datos en riesgo que se considera aceptable durante este tiempo.
  • Definir los umbrales de tolerancia al riesgo para disparar los distintos tratamientos de este: eliminación, mitigación, transferencia o aceptación.

La organización, procesos, tecnologías, herramientas y servicios de seguridad deben revisarse y ajustarse a medida que evolucionan las amenazas en un proceso de mejora continua. Llevar a cabo un análisis de impacto dentro de la organización (Business Impact Analysis – BIA) sobre el servicio esencial resulta imprescindible para poder analizar las consecuencias de una interrupción de la provisión o alteración de este con el fin de identificar cuáles son los procesos y actividades críticos que soportan este servicio, para priorizar su recuperación. Una organización ciberresiliente implica adaptarse en el mínimo tiempo posible.

Formación en ciberseguridad

El tercer dominio funcional de esta meta es la Formación de todos los integrantes de una organización en materia de ciberresiliencia. La inversión para la formación en ciberseguridad ha adquirido cada vez más importancia ya que es necesaria para evitar situaciones indeseadas e incidentes en los que los activos o el servicio esencial de la organización se vean comprometidos. A pesar de contar con una gestión de riesgos establecida y documentada a la cual se le aplican acciones de mejora, todas las personas de la empresa tienen que ser capaces de reaccionar de manera adecuada frente a situaciones de riesgos.

Tener un plan de formación y concienciación dentro de la organización es la forma de crear una cultura de seguridad, es decir, hacer que cada empleado, dependiendo de su función dentro de la empresa, sea consciente de que de él también depende la ciberseguridad de la empresa y se comprometa, en su ámbito de actuación, con la misma.

El objetivo de este dominio funcional es llevar a cabo actividades de formación y concienciación en ciberresiliencia. Para ello se ha de definir y poner en marcha un plan destinado al personal implicado de alguna forma en el servicio esencial. Este plan contendrá los recursos que se han de dedicar, cómo se ha de formar o concienciar al personal y qué actividades se llevarán a cabo. Además, estarán orientadas a formar, entrenar y sensibilizar al personal de la organización en esta materia, según sus necesidades y su papel en la seguridad del servicio esencial, pudiendo incluir sesiones de capacitación, simulación de incidentes y participación en ciberejercicios.

Como cuarto y ultimo dominio el de Evolucionar en caso de ser necesario, se ha de contemplar la formación de contratistas y usuarios; Asimismo, un plan también debe ser adaptado cada cierto tiempo, ya que las amenazas evolucionan y aparecen otras nuevas.

Conclusión

Prevenir – Anticipar es el primer paso para adoptar una actitud ciberresiliente. Toda organización o empresa comprometida con la ciberseguridad conseguirá disminuir en cierta medida cualquier tipo de amenaza, o en su defecto, estará preparado para mitigarlas. Tener un nivel de madurez alto en la primera meta de PrevenirAnticipar ayudará a la organización a desarrollarse mejor dentro de las otras metas de la ciberresiliencia: Resistir, Recuperar y Evolucionar.

«La seguridad y la resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales» es objetivo fundamental para la continuidad de negocios u operaciones como se le conozca.

Ante el panorama de incidentes y amenazas digitales, la ciberresiliencia se perfila como una característica imprescindible para las organizaciones, y en particular para aquellas que ofrecen servicios esenciales o son proveedoras de servicios digitales.

Las organizaciones sin importar el tamaño tienen que desarrollar la capacidad para hacer frente a las crisis, iniciadas en los sistemas y redes, sin que la actividad se vea afectada. Esta es una cualidad imprescindible cuando se trata de organizaciones involucradas en la provisión de algún servicio esencial o de ciertos servicios digitales. No se trata sólo de protegerse sino también de aprender y adaptarse ante los incidentes. La proactividad y el compromiso activo de estos operadores y proveedores de servicios son por ello trascendentales.

Referencias.

https://www.incibe-cert.es/guias-y-estudios/guias/imc-indicadores-mejora-ciberresiliencia

  • Israel   Solano   Mejía
  • Actualmente cursando la Maestría en Ciberseguridad en Tecnológico de Monterrey; Ingeniero en Seguridad Computacional por Universidad TecMilenio. 2006-2009; Cap. 2/o. Inf. Ret., integrante del Sist. Intl. Mil. Por 16 años; Diversos talleres y cursos de Informática Forense, Ciberseguridad y Networking. Ex Director Municipal de Protección Civil, del Municipio de Durango, Dgo. (2016-2019)

WhatsApp: https://wa.me/5218711169575

Estamos buscando beneficios para ti y tu familia (EN TODO EL PAÍS), logrando reducir tus pagos mensuales de hipoteca. Ponte en contacto con nuestros aliados estratégicos, te sorprenderás: https://wa.me/5216622755045