Frameworks internacionales de ciberresiliencia para infraestructuras críticas
Frameworks internacionales de ciberresiliencia para infraestructuras críticas
La digitalización y la hiperconectividad llevada al ámbito industrial han conducido la revolución conocida como industria 4.0, amplificando la innovación y el desarrollo económico de las industrias españolas. Pero esta integración y desarrollo están sujetos a riesgos y amenazas de ciberseguridad, que deben afrontarse de manera coordinada para dar respuestas eficaces que garanticen la confianza en los servicios que ofrecen las organizaciones a la sociedad, especialmente cuando los servicios que ofrecen son de carácter esencial.
Las Estrategias de Ciberseguridad Nacionales, los modelos estándares de ciberseguridad y ciberresiliencia, así como los modelos de medición reconocidos y orientados a la evaluación de la ciberseguridad y la ciberresiliencia en las organizaciones, son instrumentos vitales para ayudar a las organizaciones a evaluar, desarrollar y mejorar sus estrategias, metodologías y procedimientos de protección frente a las ciberamenazas.
Este artículo recorre algunos de los marcos de ciberseguridad y ciberresiliencia más representativos que podemos encontrar actualmente en España, Europa, EEUU o RU, y cuya adopción puede ayudar a las organizaciones a seguir mejorando sus capacidades de protección en ciberseguridad.
ESPAÑA - INCIBE: Modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC)
El modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC), creado por INCIBE-CERT, es un instrumento de diagnóstico y medición de la capacidad de las organizaciones para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital.
El modelo IMC permite a las organizaciones medir su capacidad de anticiparse, resistir, recuperarse y evolucionar ante incidentes que puedan afectar a la prestación de sus servicios. El modelo define 4 metas, que se corresponden con las mencionadas capacidades de resiliencia, y 9 dominios funcionales: política de ciberseguridad, gestión de riesgos y formación; gestión de vulnerabilidades y supervisión continua; gestión de incidentes y de la continuidad; gestión de la configuración y cambios, y comunicación.
Metas de ciberresiliencia del modelo IMC
El modelo IMC consta de tres documentos: la metodología, el diccionario de indicadores y el formulario.
- La metodología contiene el marco conceptual. Su objetivo es ayudar a todas las partes interesadas en medir sus capacidades de ciberresiliencia y disponer de un procedimiento que permita conocer el grado de madurez de sus controles de ciberresiliencia. El modelo está destinado a un uso bajo la forma de consulta que puede lanzarse entre las organizaciones de cualquier sector esencial, o como herramienta de autoevaluación de las capacidades de ciberresiliencia para dichas organizaciones.
- El diccionario de indicadores describe las métricas que dan soporte al modelo IMC. Este diccionario describe los indicadores para la mejora de la ciberresiliencia (IMC) en organizaciones y empresas de sectores industriales e infraestructuras críticas industriales con respecto a ámbitos de IT (Information Technology) y OT (Operation Technology). Los distintos indicadores se valoran siguiendo los criterios de la escala de niveles con los que la organización identifica su estado para cada indicador: L0, L1, L2, L3, L4 o L5.
- El formulario consiste en una plantilla con la cual las organizaciones pueden analizar su ciberresiliencia según se describe en la metodología.
El modelo IMC, basado entre otros en el marco de indicadores de ciberresiliencia de MITRE, escoge 46 indicadores para representar los distintos aspectos de la ciberresiliencia. Estos indicadores se valoran siguiendo niveles de madurez.
Niveles de madurez del IMC, basado en el Modelo de Madurez de Capacidades o CMM (Capability Maturity Model)
UE - ENISA: Resilience Metrics and Measurements: Technical Report
En febrero de 2011, la European Network and Information Security Agency (ENISA) publicó un estudio relativo al marco de medición de la resiliencia de redes y servicios, con los objetivos de clarificar los conceptos clave relacionados con la resiliencia de las redes y servicios, y con respecto a las métricas y los marcos de medición en este contexto, así como de presentar un conjunto de prácticas de referencia para medir la eficacia de los esfuerzos relacionados con la resiliencia de las redes y servicios de comunicaciones, basado en las técnicas de análisis, métodos y marcos de medición actualmente existentes.
La aproximación de ENISA a las métricas de resiliencia está basada en una taxonomía de dos dimensiones:
- Dimensión temporal del incidente de seguridad, que puede encontrarse en alguna de las siguientes fases:
- Preparación: las métricas en esta dimensión miden cómo los sistemas y servicios están preparados para hacer frente a los incidentes de seguridad.
- Prestación de servicios: las métricas en esta dimensión miden la diferencia de nivel de servicio antes, durante y después del incidente.
- Recuperación: las métricas en esta dimensión miden cómo de rápido un servicio / red puede recuperarse del incidente.
- Dimensión de confiabilidad, que incluye:
- Confianza, o propiedad de un sistema de garantizar el servicio que ofrece. Por lo general, incluye las medidas de disponibilidad (capacidad de utilizar un sistema o servicio) y fiabilidad (funcionamiento continuo de un sistema o servicio), así como la integridad, facilidad de mantenimiento y la disponibilidad.
- Seguridad, o propiedad de un sistema de estar protegido frente a accesos o cambios no autorizados. Incluye aspectos, como la autenticidad, confidencialidad y no repudio.
- Operatividad, o propiedad de un sistema de ofrecer el rendimiento requerido por la especificación del servicio, tal como se describe en los requisitos de QoS (calidad del servicio).
Aproximación de ENISA a las métricas de resiliencia
Además, ENISA propone un modelo o patrón de medidas de resiliencia que contiene los siguientes campos:
Modelo de formulario de definición de métricas de ENISA
EEUU - NIST: Framework for Improving Critical Infrastructure Cybersecurity
El marco propuesto por el National Institute of Standards and Technology (NIST) de EEUU para mejorar la ciberseguridad de las infraestructuras críticas, nació en 2014. La versión más reciente es la v.1.1, que data de 2018. El Framework for Improving Critical Infrastructure Cybersecurity proporciona un lenguaje común para comprender, gestionar y expresar el riesgo de ciberseguridad a las partes interesadas internas y externas de una infraestructura crítica. Puede usarse para ayudar a identificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una herramienta para alinear los enfoques de políticas, negocios y tecnología para administrar ese riesgo. Puede utilizarse para gestionar el riesgo de ciberseguridad en organizaciones enteras o puede centrarse en la prestación de servicios críticos dentro de una organización. Diferentes tipos de entidades, incluidas las estructuras de coordinación del sector, asociaciones y organizaciones, pueden utilizar el marco para diferentes propósitos, incluida la creación de perfiles comunes.
El marco se compone de 5 funciones básicas de la ciberseguridad, que se dividen en 23 categorías y 108 subcategorías. Además, se puede utilizar para comparar las actividades de ciberseguridad actuales de una organización con las descritas en el marco principal. Mediante la creación de un perfil actual, las organizaciones pueden examinar hasta qué punto están logrando los resultados descritos en las categorías y subcategorías principales, alineadas con las cinco funciones de alto nivel: identificar, proteger, detectar, responder y recuperar.
Estructura del marco de medición de la resiliencia de NIST
A su vez, cada categoría se compone de subcategorías y de referencias o equivalencias con otros marcos de ciberseguridad.
Extracto de la ficha ‘identificar’ del marco de medición de la resiliencia de NIST
Reino Unido - NCSC: Cyber Assessment Framework 3.0
El Cyber Assessment Framework (CAF) fue originalmente parte del apoyo del National Cyber Security Center (NCSC) a la implementación del Reino Unido de la Directiva NIS de la UE, en 2018. Hoy en día, los operadores esenciales más importantes del Reino Unido están utilizando el CAF para mejorar su ciberseguridad. CAF proporciona un enfoque sistemático e integral para evaluar hasta qué punto la organización responsable gestiona los riesgos de ciberseguridad de las funciones esenciales correctamente. Está destinado a ser utilizado por la propia organización responsable (autoevaluación) o por una entidad externa independiente, posiblemente un regulador o una organización debidamente cualificada que actúe en nombre de un regulador.
Los principios de ciberseguridad y resiliencia del NCSC proporcionan las bases de la CAF. Los 14 principios, clasificados dentro de cada uno de los 4 objetivos de la directiva NIS, están escritos en términos de resultados, es decir, de especificación de lo que se debe lograr en lugar de una lista de verificación de lo que se debe hacer.
Clasificación de objetivos y principios de CAF, finalmente adoptada por la directiva NIS
El CAF agrega niveles adicionales de detalle a los principios de nivel superior, incluida una colección de conjuntos estructurados de indicadores de buenas prácticas (IGP). El resultado de la aplicación del CAF son 39 evaluaciones individuales de buenas prácticas (lo que podría asemejarse al concepto de control).
Conclusión
Las agencias de ciberseguridad nacionales cada vez trabajan más en mejorar las iniciativas que permiten acercar las buenas prácticas de ciberseguridad a las organizaciones u operadores esenciales. Una muestra de ello son los marcos que hemos presentado. Ahora bien, la responsabilidad recae sobre las organizaciones, que deben prepararse para afrontar las amenazas graves que puedan afectar la integridad de datos, información, aplicaciones e infraestructura, minimizando el tiempo de exposición y el impacto en el servicio. Sobre todo, en los ámbitos donde residen sus activos más valiosos. ¿Está tu organización preparada para el reto?