Ciberresiliencia: la clave para sobreponerse a los incidentes

La digitalización de las sociedades, los mercados globales y el aumento de la dependencia de la tecnología, llevan asociados un incremento en el número de incidentes de ciberseguridad. Este tipo de eventos no deseados amenaza a las personas, a las organizaciones e incluso a las naciones. Cuando son intencionados, los atacantes aprovechan la ubicuidad, flexibilidad e inmediatez que ofrece la tecnología para ejecutar sus acciones. Si estos ataques afectan a infraestructuras de un país o a los proveedores de servicios digitales, las actividades cotidianas de las instituciones y los ciudadanos podrían verse afectadas.

En marzo de 2019,  la empresa metalúrgica noruega, Norsk Hydro  registró un ataque tipo ransomware denominado LockerGoga y, como consecuencia, tanto la red corporativa como los procesos de producción en varias instalaciones de Noruega, Qatar, Brasil y otros países, se vieron afectados. También en ese año, la compañía aérea Airbus sufrió un incidente de seguridad en los sistemas de información de su división de aviones comerciales, donde se produjo un acceso no autorizado a una serie de datos. Tribune Publishing, una compañía encargada de producir los principales periódicos de Estados Unidos, fue víctima de un ciberataque por un ransomware de la familia Ryuk. Como consecuencia, este ataque  paralizó la impresión y las entregas de varios de los periódicos más importantes del país.

En 2018, INCIBE-CERT gestionó 111.519 incidentes de ciberseguridad, de los cuales 722 afectaron a operadores estratégicos. Con estas cifras, se hace patente la necesidad de mejorar las capacidades de ciberseguridad, tanto de las infraestructuras (instalaciones, redes, sistemas y equipos físicos y de las TIC) que dan soporte a los servicios esenciales, como las que sirven de base para los proveedores de algunos servicios digitales de nuestro país.

• Los servicios esenciales, según la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (en adelante, Ley PIC), son «los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.»
• Los servicios digitales son aquellos servicios de la sociedad de la información que determina el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad en las redes y sistemas de información (transposición de la Directiva NIS) donde también se regulan las obligaciones de seguridad que han de cumplir los proveedores de estos servicios.

Anticiparse, resistir, recuperarse y evolucionar

En un mundo global y digitalizado ya no tiene sentido construir fortalezas inexpugnables, en su lugar se ha de desarrollar la capacidad para anticiparse a las amenazas, absorber los impactos de los ataques, y responder de forma rápida y flexible para asegurar los que los sistemas clave pueden continuar con la actividad normal. La ciberresiliencia se define como la capacidad de un proceso, negocio, organización o nación para anticipar, resistir, recuperarse y evolucionar para mejorar sus capacidades de sobreponerse ante condiciones adversas, estrés o ataques a los recursos cibernéticos que necesita para funcionar.

«La seguridad y la resiliencia de las redes y los sistemas de información y comunicaciones del sector público y de los servicios esenciales» es el primer objetivo de la Estrategia Nacional de Ciberseguridad 2019. Ante el panorama de incidentes y amenazas digitales, la ciberresiliencia se perfila como una característica imprescindible para las organizaciones, y en particular para aquellas que ofrecen servicios esenciales o son proveedoras de servicios digitales.

Las organizaciones tienen que desarrollar la capacidad para hacer frente a las crisis, iniciadas en los sistemas y redes, sin que la actividad se vea afectada. Esta es una cualidad imprescindible cuando se trata de organizaciones involucradas en la provisión de algún servicio esencial o de ciertos servicios digitales. No se trata sólo de protegerse sino también de aprender y adaptarse ante los incidentes. La proactividad y el compromiso activo de estos operadores y proveedores de servicios son por ello trascendentales.

La Ley PIC define sector estratégico como «cada una de las áreas diferenciadas dentro de la actividad laboral, económica y productiva, que proporciona un servicio esencial o que garantiza el ejercicio de la autoridad del Estado o de la seguridad del país.» En su anexo identifica los siguientes sectores estratégicos: administración, agua, alimentación, energía, espacio, industria química, industria nuclear, instalaciones de investigación, salud, sistema financiero y tributario, Tecnologías de Información y las Comunicaciones (TIC) y transporte. Por otra parte, los servicios digitales de los que depende el desarrollo normal de las actividades económicas y sociales, pertenecen según el RD-L 12/2018 a uno de estos tres grupos: mercados en línea, motores de búsqueda y servicios de computación en la nube.

El objetivo de la ciberresiliencia para una organización, pertenezca o no a un sector estratégico, provea o no uno de estos servicios digitales, es llevar a un nivel óptimo su capacidad para mantener su propósito principal y la integridad frente a una amenaza o ataque de ciberseguridad. Como la prevención total nunca estará garantizada, se deben establecer procesos continuos de detección.

¿Cómo implementar la ciberresiliencia?

Dada la diversidad de las organizaciones, su complejidad interna y las interdependencias entre ellas, no se puede generalizar una forma de implementar la ciberresiliencia. En cualquier caso, es fundamental iniciar un proceso de adaptación y considerar que se debe extender a todo nuestro ecosistema (partners, proveedores, clientes,…). Se deben establecer los siguientes pasos:

• Priorizar los servicios, según el impacto (económico, medioambiental, público y social, personas afectadas) que su pérdida o deterioro pueda ocasionar.
• Conocer y priorizar según su criticidad las amenazas que afectan a los servicios.
• Implementar acciones preventivas contra actuales y futuras amenazas.
• Desarrollar procesos de remediación para minimizar el daño que pueden producir los incidentes.
• Detectar vulnerabilidades continuamente y remediarlas para reducir la superficie de ataque.
• Desarrollar y mantener procesos de comunicación dentro de la empresa.
• Ejecutar constantemente acciones de mejora que minimicen los riesgos, y repetir el ciclo de pasos para la mejora continua.

Medir la ciberresiliencia

Conocer el estado de ciberresiliencia permite que una organización se prepare para mejorar los aspectos que protegen y mantienen el servicio. Por ejemplo, este conocimiento contribuirá a  implementar procesos para detectar los incidentes antes de que sucedan y para responder a los mismos lo antes posible. De igual modo, medir su ciberresiliencia le va a permitir adquirir un nivel de madurez para recuperar, en un tiempo mínimo establecido, la provisión del servicio esencial hasta su normalidad en caso de sufrir un incidente. Por último, este conocimiento favorecerá el fortalecimiento de la ciberresiliencia, promoviendo la mejora continua de estos procesos.

Una forma de medir y mejorar el estado de ciberresiliencia de una organización es seguir un modelo de madurez, es decir, un modelo que defina los niveles establecidos para las buenas prácticas que se han de seguir. El modelo de Indicadores para la Medición de la Ciberresiliencia (IMC) de INCIBE adopta de los estándares los siguientes niveles de madurez:

• INEXISTENTE: esta medida o medidas no están siendo aplicadas en este momento.
• INICIAL / AD-HOC: cuando la organización no proporciona un entorno estable para aplicar estas medidas. El éxito o fracaso de las mismas depende de la competencia y buena voluntad de las personas aunque es difícil prever su reacción ante una situación de emergencia. Pese a su naturaleza caótica, es más que no tener nada.
• REPETIBLE, pero INTUITIVO: cuando existe un mínimo de planificación que, acompañada de la buena voluntad de las personas, proporciona una pauta a seguir cuando se repiten las mismas circunstancias. Es impredecible el resultado si se dan circunstancias nuevas.
• PROCESO DEFINIDO: se dispone un catálogo de procesos para abordar este aspecto de la ciberresiliencia que se mantiene actualizado. Estos procesos garantizan la consistencia de las actuaciones entre las diferentes partes de la organización, que adaptan sus procesos particulares al proceso general.
• GESTIONADO Y MEDIBLE: cuando se dispone de un sistema de medidas y métricas para conocer el desempeño (eficacia y eficiencia) de los procesos para abordar este aspecto de la ciberresiliencia. La Dirección es capaz de establecer objetivos cualitativos a alcanzar y dispone de medios para valorar si se han alcanzado los objetivos y en qué medida.  
• OPTIMIZADO: en este nivel la organización es capaz de mejorar el desempeño de los sistemas a base de una mejora continua de los procesos para abordar este aspecto de la ciberresiliencia basada en los resultados de las medidas e indicadores.

Para evaluar cuál es su situación, la organización debe medir una serie de parámetros de sus procesos respecto a estos niveles y ejecutar las acciones necesarias para reducir la distancia entre su nivel y el óptimo. Las medidas a adoptar se conciben dentro de cuatro metas de ciberresiliencia: anticipar, resistir, recuperar y evolucionar. Por ejemplo, para una métrica de la meta, anticipar (conocer si se han establecido los requisitos de ciberresiliencia), la siguiente gráfica indica cómo se consigue cada nivel.

El modelo IMC, basado entre otros en el marco de indicadores de ciberresiliencia del MITRE,  escoge 46 indicadores para representar los distintos aspectos de la ciberresiliencia. Estos servirán para obtener una visión de las cuatro metas de la ciberresiliencia. Se organizan en nueve objetivos generales:

El Modelo IMC incluye un Diccionario con explicaciones de cada indicador, su correlación con estándares (ISO27001, NIST SP800-53, ENS, la Directiva NIS y su transposición en el Real Decreto-Ley 12/2018, de 7 de septiembre, entre otros) y un Formulario para que las organizaciones valoren periódicamente su ciberresiliencia.

Para fomentar la ciberresiliencia tenemos que medirla en las infraestructuras que soportan los servicios esenciales y en los proveedores de servicios digitales, ya que de verse afectados por un incidente, pueden causar graves daños a la economía, a la sociedad y a la seguridad nacional. INCIBE y CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) realizan periódicamente, con el modelo IMC, mediciones de la ciberresiliencia en estas organizaciones para promover la mejora de la misma en los encargados de ofrecer estos servicios a toda la población.

Una empresa ciberresiliente será aquella que pueda anticipar, detectar, resistir, recuperar y evolucionar ante amenazas graves que afecten la integridad de datos, información, aplicaciones e infraestructura, minimizando el tiempo de exposición y el impacto en el servicio. Sobre todo, en los ámbitos donde residen sus activos más valiosos.  ¿Estás en una organización ciberresiliente? ¿Quieres saber cómo evoluciona su ciberresiliencia a lo largo del tiempo?