Simulacro de ciberataque para proteger a la industria estratégica

Verónica Sánchez Moreno

Comienza CyberEx 2016, un ejercicio en el que operadores críticos de España pondrán a prueba su preparación y capacidad de resistencia.

El CERT (Equipo de Respuesta ante Emergencias Informáticas) de Seguridad e Industria (CERTSI), compuesto por el Instituto Nacional de Ciberseguridad de España (INCIBE) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), ponen en marcha una nueva edición de CyberEx España.

25 entidades del sector energético, financiero, agua, transporte y TIC, participarán en este ejercicio, practicando la resiliencia ante situaciones de ataque informático. El objetivo es que las organizaciones obtengan beneficios tangibles para la operativa de sus equipos de seguridad: mejora de las capacidades de respuesta, refuerzo de la coordinación entre entidades, profundización en la concienciación de los riesgos a todos los niveles y una mejora de la imagen reputacional.

Este ejercicio anual (el de 2015 se centró en entidades del sector bancario) se divide en diferentes fases. La primera inicia el proceso de selección de los participantes de entre todos los operadores invitados y posteriormente se procede a revisar y firmar los acuerdos legales pertinentes. Durante la tercera fase el CERTSI asume la mayor carga desarrollando e implementando las pruebas, mientras que la cuarta es vital para los participantes, ya que se trata de la ejecución de los ciberjercicios propiamente dicha. Una vez finalizados, el CERTSI evaluará el desempeño de los participantes en las distintas pruebas a través de varios controles predefinidos y revisará todos los datos para elaborar un informe sobre la actuación de cada uno de los operadores. Y, por último, se plantearán y evaluarán las oportunidades de mejora. El CERTSI se reunirá con cada uno de los participantes para revisar los ciberejercicios y obtener una realimentación que pueda beneficiar a las dos partes, para ello, se presentará el informe a la entidad correspondiente y se le solicitará su opinión e impresiones sobre los ciberejercicios.

Los CyberEx evalúan el desempeño de los operadores desde tres ángulos diferentes: la concienciación del personal de la entidad; la capacidad y rapidez en la toma de decisiones y el análisis técnico. Para evaluar los distintos rangos de la ciberseguridad se realizan pruebas enmarcadas en tres escenarios diferentes. El primero de ellos es el ataque simulado, un ejercicio de ocho horas de duración que comienza con la notificación de un incidente por parte del CERTSI. Desde ese momento, se proporcionan una serie de elementos para el análisis técnico y avance en la investigación. El objetivo de la prueba consiste en entrenar la capacidad para llevar a cabo la investigación de una forma ágil y solvente, combinando la toma de decisiones, la colaboración y la coordinación interna y externa. Al finalizar esta prueba es necesario que el incidente esté completamente controlado y se deben sentar las bases para la recuperación frente al impacto causado en la entidad objetivo. Seguidamente, las entidades llevarán a cabo el ejercicio de roleplaying, de tres horas de duración, que consiste en la simulación de un escenario en el que se genere una situación de crisis que requiera la toma de decisiones por parte de distintos estamentos de la entidad. A medida que avance la ejecución, se irán proporcionando diferentes supuestos sobre los que la entidad debe valorar la manera de actuar y su adecuación a los procedimientos establecidos dentro de su organización. Y la última prueba es el ataque continuado, que trata de lograr una intrusión en la infraestructura tecnológica de la entidad objetivo. Para ello se utilizan distintas técnicas y herramientas, que no se comunican previamente, asimilables a un ataque real. El objetivo final consiste en la obtención de algún tipo de evidencia que permita contrastar que el atacante ha logrado penetrar en la infraestructura tecnológica de la entidad.

Tres pruebas que pondrán, hasta la tercera semana de octubre, la ciberseguridad de las organizaciones participantes en el punto de mira.