A2 Revisión de la capacidad de respuesta a incidentes
A3
A3

Panorama de amenazas

A4 Inteligencia sobre amenazas

¿Cuál es el objetivo?

Todos los países dependen de la resiliencia digital para su prosperidad económica. El asesoramiento estratégico provisto sobre el panorama de las amenazas permite que los países identifiquen los sectores prioritarios y los peligros con el fin de tomar decisiones basadas en el riesgo y adecuadas a sus singulares circunstancias económicas.

¿Por qué hacerlo?

Comprender en detalle el impacto particular de cualquier daño o pérdida de capacidad por un ataque o accidente permite que un país centre su atención en la protección y la resiliencia en lugar de limitarse a la defensa. La revisión del panorama de los peligros presenta una visión general de las amenazas conocidas y nuevas. Esto es especialmente importante para las economías emergentes, donde el impacto de un incidente cibernético nacional podría tener repercusiones desproporcionadas en el crecimiento económico.

¿Cuáles son los resultados típicos?

  1. Servicios y organizaciones cruciales priorizados, por ejemplo, infraestructuras nacionales esenciales como los servicios públicos y las redes gubernamentales, así como las funciones y responsabilidades claramente definidas para asumir los riesgos asociados.
  2. Identificación de los causantes de las amenazas y de sus motivaciones específicas en el país.
  3. Relación del panorama de amenazas con la estrategia cibernética nacional, si existe, y si no, cómo podría relacionarse.
  4. Comprensión de los requisitos de inteligencia sobre las amenazas.

¿Cómo se presta el servicio?

Asesoramiento directo, talleres facilitados. Análisis de los principales peligros en relación con una lista priorizada de capacidades y organizaciones nacionales. Análisis de las diferencias con respecto a países similares que tengan un mayor nivel de madurez.

¿Con qué facilidad puede hacerlo un país por sí solo?

Se necesitará cierta ayuda externa para desarrollar la base y establecer el mantenimiento continuo. Una vez establecido el proceso, concientizados los encargados e identificadas las prioridades, el proceso es relativamente sencillo.

¿Qué orientaciones de buenas prácticas existen?

ENISA (de la Unión Europea, Centro Nacional de Ciberseguridad (NCSC) y todos los principales proveedores de seguridad) emiten informes periódicos sobre el panorama de las amenazas cibernéticas – los marcos de análisis de riesgos usuales ayudan a conectarlos con las vulnerabilidades específicas.

  • La eficacia de esta actividad mejora en gran medida si se conoce bien lo que es la CNI y la CII crítica, antes de proporcionar asesoramiento estratégico sobre el panorama de las amenazas. Varios talleres para desarrollar esta comprensión son fáciles de implementar y ayudan a aumentar la percepción.
  • Tener claramente definidas las funciones y responsabilidades dentro de las organizaciones que son responsables de la seguridad dirigirá el riesgo asignado a cada amenaza. Disponer de esto, así como de un buen conocimiento de las capacidades nacionales de vigilancia y detección, también añadirá valor al trabajo. Esto puede igualmente desarrollarse a través de talleres.

Costo

US$6.580 en talleres facilitados para desarrollar la comprensión, luego US$13.160 para un servicio mensual de tutoría y desarrollo de un año de duración.

Duración

Alrededor de una semana de talleres de iniciación, seguida de un proyecto de 12 meses de duración para aumentar la capacidad nacional. Dependiendo del apoyo que necesite el país, podría ser tan solo un día al mes de tutoría o cuatro días al mes para lograr una capacidad totalmente integrada y mantenida.

.

En 2019, se pidió a la firma CYSIAM que trabajara con una organización de un país de Oriente Medio que tenía la responsabilidad de la seguridad de algunas redes públicas y que acababa de sufrir un grave ciberataque. El principal empeño de CYSIAM fue ayudar a dicho país a recuperarse del ataque, realizar un análisis posterior al incidente y ayudarle a desarrollar formalmente su apreciación de las amenazas específicas a su país. Ya tenían una buena apreciación de las vulnerabilidades de las organizaciones de las que eran responsables, sin embargo, no habían llevado a cabo formalmente una labor de panorama de amenazas y, por tanto, no comprendían plenamente la amenaza estratégica. La naturaleza del incidente hizo que la organización recurriera a expertos externos e independientes para adoptar un enfoque estratégico de ciberseguridad y no centrarse únicamente en los controles técnicos.

CYSIAM se centró inicialmente en ayudar a la organización a entender la causa raíz del reciente incidente y, utilizando algunos análisis e información sobre amenazas, pudo relacionarlo con una campaña de ransomware en curso. Una vez identificada la amenaza inmediata, fue relativamente fácil relacionarla con las amenazas existentes y emergentes para ayudar a los defensores de la red y a los ejecutivos no técnicos a comprender los riesgos y elaborar un plan de corrección para este incidente aislado. Sin embargo, la organización reconoció que era necesario adoptar un enfoque más proactivo.

Dado que la organización comprendía claramente sus prioridades y vulnerabilidades existentes, CYSIAM llevó a cabo una serie de talleres de modelación del panorama de las amenazas y utilizó varias fuentes para proporcionar asesoramiento estratégico sobre los peligros actuales y emergentes. Se trataba principalmente de los informes anuales de seguridad del NCSC, el ETL de la ENSIA y el análisis de fuente abierta de Mandiant Fire-Eye sobre las amenazas existentes, nuevas y emergentes. Esta actividad de mapeo de amenazas permitió que los ejecutivos no técnicos de la organización tomaran decisiones prioritarias para la inversión actual y futura en medidas preventivas y que los ciberdefensores cambiaran su enfoque de la respuesta a la resiliencia.

Gracias al análisis de vulnerabilidad realizado en la organización, al apoyo prestado al equipo de seguridad para aprender del incidente y a una comprensión madura y una priorización eficaz de sus responsabilidades, CYSIAM pudo tomar fácilmente los datos sobre amenazas y el análisis del panorama y aplicar las partes pertinentes a su organización. Lo más importante es que las organizaciones y el personal implicado fueron capaces de lograr un cambio en su propia capacidad utilizando la combinación de concientización sobre la vulnerabilidad, la priorización de la red y los datos del panorama de las ciberamenazas de código abierto.

La próxima etapa de madurez es la articulación de su propio panorama de información sobre amenazas estratégicas una vez que se haya establecido un buen fundamento.

  1. Identificar el patrimonio técnico que deba protegerse
  2. Identificar las funciones y responsabilidades para proteger el patrimonio técnico
  3. Definir las infraestructuras y los servicios críticos
  4. Descubrir y analizar las vulnerabilidades de la infraestructura y los servicios y apoyo a la infraestructura y los servicios
  5. Realización de modelos de amenazas basados en las tendencias nacionales e internacionales de ciberamenazas
  6. Mapear las amenazas a las vulnerabilidades y aumentar la resiliencia frente a posibles ciberincidentes