Inicio / CyberEx España

CyberEx España

CyberEx logo

Edición 2020

El Instituto Nacional de Ciberseguridad de España (INCIBE), en coordinación con el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), pone en marcha una nueva edición de CyberEx España. Puede consultar la planificación de los ciberejercicios aquí.

¿Qué es CyberEx España?

Desde el año 2012, INCIBE-CERT ha actuado como coordinador en la ejecución de ciberejercicios para el sector privado. Estos ciberejercicios consisten en distintas pruebas que tienen la finalidad de entrenar la capacidad de respuesta de una entidad ante circunstancias que se podrían dar en situaciones reales.

INCIBE logo CNPIC logo

Este tipo de ejercicios han demostrado ser muy útiles para lograr varias metas, como medir y mejorar la gestión de incidentes en términos técnicos y organizativos, enfrentarse a situaciones de crisis cibernéticas, así como establecer una cultura de ciberseguridad entre el personal de la empresa.

Asimismo, los ciberejercicios tienen como objetivo la mejora de la comunicación y coordinación, tanto interna, como con otras entidades.

¿Qué valores aporta un ciberejercicio?

La participación en los CyberEx España permitirá a todos los participantes probar e incrementar sus capacidades de defensa y resiliencia frente a ataques o situaciones de riesgo inminente. La participación en esta iniciativa proporciona algunos valores diferenciales, entre los que destacan:

  • Evaluación y mejora de la capacidad de respuesta ante incidentes.
  • Refuerzo de la coordinación interna y entre entidades.
  • Profundización en la concienciación y sensibilización de los riesgos a todos los niveles.
  • Mejora de la imagen y reputación de la organización.

¿Cómo planifica INCIBE-CERT cada ciberejercicio?

INCIBE-CERT en su papel de organizador (y aplicando el criterio de mínimo impacto en la dedicación de recursos entre los participantes) establece una planificación de las actividades a llevar a cabo a lo largo del ciclo de vida del ejercicio. En esta plantificación se contemplan los tiempos de preparación, diseño, acuerdos legales, ejecución y valoración de resultados. Se puede encontrar más detalle sobre la planificación aquí.

¿A quién va dirigido este servicio?

Los potenciales participantes son los operadores de servicios esenciales y operadores críticos, los cuales son invitados por INCIBE y CNPIC en la fase correspondiente. De todos los interesados en participar, INCIBE y CNPIC seleccionan a los participantes definitivos, puesto que existe un límite de entidades que pueden realizar los ciberejercicios por motivos logísticos. Algunos de los criterios en los que se basa la selección son los siguientes:

  • Catalogación de la entidad como operador crítico, atendiendo a la ley PIC.
  • Catalogación de la entidad como operador de servicio esencial, atendiendo al Real Decreto Ley 12/2018.
  • Existencia de un acuerdo de confidencialidad o NDA firmado con INCIBE-CERT.
  • Representatividad dentro del sector al que pertenezcan.
  • Premisa de enriquecer los ciberejercicios con representantes de todos los sectores posibles.

Perfiles implicados dentro de los operadores

Dado que la ciberseguridad es un elemento transversal a la estructura organizativa de la entidad, los CyberEx se han diseñado para implicar a todos los roles que tengan un papel que jugar en este ámbito:

  • Perfiles ejecutivos.
  • Mandos intermedios / gestores.
  • Equipos técnicos de respuesta ante ciberataques.
  • Equipos de seguridad física.
  • Perfiles no técnicos.

¿Cómo son los CyberEx España?

Alcance

Los CyberEx se llevarán a cabo en varios formatos técnicos y procedimentales para mejorar las capacidades de actuación desde los distintos enfoques de la ciberseguridad. Los ciberejercicios evaluarán el desempeño de los operadores desde tres ángulos diferentes:

  • Concienciación del personal de la entidad, ya que el factor humano es tremendamente importante en el ámbito de la ciberseguridad.
  • Capacidad y rapidez en la toma de decisiones, teniendo en cuenta que la mitigación y resolución de los incidentes de seguridad se ve mejorada a menudo por la capacidad y rapidez de respuesta a estos.
  • Análisis técnico, evaluando así el nivel técnico del personal designado de la entidad para atender situaciones de respuesta a riesgos para la ciberseguridad.

Tipos de escenarios

Para evaluar los distintos aspectos de la ciberseguridad, se realizarán pruebas enmarcadas en los siguientes escenarios:

  • Roleplay:
    • Es un ejercicio de carácter ejecutivo que consiste en la simulación de un escenario en el que se genere una situación de crisis que requiera la gestión de la misma mediante la toma de decisiones por parte de distintos estamentos ejecutivos de la entidad. A medida que avanza la ejecución, se irán proporcionando diferentes supuestos sobre los que distintos roles de la entidad deben valorar la manera de actuar y su adecuación a los procedimientos establecidos dentro de su organización.
    • Los perfiles principales a los que va dirigido son:
      • Cargos de la dirección de la entidad.
      • Mandos intermedios / Gestores que formen parte del comité de crisis.
    • La ejecución se desarrolla normalmente en una sala habilitada de las oficinas de la entidad participante y tiene una duración máxima de 3 horas. Si la situación del país impidiera la realización de reuniones presenciales, se podrían establecer mecanismos para su realización de forma remota
      .
  • Simulación de incidente:
    • Es un ejercicio de carácter técnico que comienza con la notificación de un incidente por parte de INCIBE-CERT. Desde ese momento, se proporcionan una serie de elementos para el análisis técnico y avance en la investigación. El objetivo de la prueba consiste en entrenar la capacidad para llevar a cabo la investigación de una forma ágil y solvente combinando la toma de decisiones, la colaboración y la coordinación interna y externa. Al finalizar esta prueba el incidente debe estar completamente controlado y se deben sentar las bases para la recuperación frente al impacto causado en la entidad participante.
    • Los perfiles principales a los que va dirigido son:
      • Equipos técnicos de respuesta ante ciberataques.
    • La ejecución se desarrolla de forma online a lo largo de una jornada y tiene una duración estimada de 8 horas
      .
  • Ataque dirigido:
    • Es un ejercicio de carácter práctico que se plantea como una prueba donde se trata de lograr una intrusión en la infraestructura tecnológica de la entidad participante. Para ello, se utilizan distintas técnicas y herramientas, que no se comunican previamente, similares a las que podría usar un atacante real. El objetivo final consiste en la obtención de algún tipo de evidencia que permita contrastar que el atacante ha logrado penetrar en la infraestructura tecnológica de la entidad participante.
    • Los perfiles principales a los que va dirigido son:
      • Equipos de seguridad física y lógica.
      • Equipos técnicos de respuesta ante ciberataques.
      • Empleados.
    • La ejecución se desarrolla a lo largo de 1 o más jornadas, pero no requiere de intervención planificada por parte de la entidad.

Es muy importante destacar que no se ponen en riesgo los procesos de negocio de la entidad participante durante la ejecución de los diferentes ejercicios.