> Se trata de la 2ª edición de los Ejercicios de Ciberseguridad de carácter privado promovidos por ISMS Forum Spain y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), con el apoyo de Deloitte, como coordinador y evaluador, y la participación de S21sec y Grupo SIA en el equipo atacante.

> Las empresas evaluadas en este segundo programa de ciberejercicios han sido: Acciona, Bankinter, Endesa, Gas Natural Fenosa, Grupo FCC, MAPFRE, Metro de Madrid, Neinver y ONO.

> Adicionalmente se ha contado con el soporte de Check Point, Ecix Group, Symantec y Trend Micro en el rol de observadores.

> El objetivo de las pruebas ha sido medir la capacidad de los evaluados para resistir ante un ciberataque (mediante la realización de pruebas de alta complejidad técnica), así como la formación de su equipo humano en materia de ciberseguridad.

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), en colaboración con Deloitte, como coordinador y evaluador, han llevado a cabo CYBER-EX 2013, la segunda edición del programa de ciberejercicios. El equipo atacante lo han conformado las compañías S21sec y Grupo SIA. Un total de 9 empresas españolas han puesto a prueba sus capacidades de ciberseguridad en un examen práctico: Acciona, Bankinter, Endesa, Gas Natural Fenosa, Grupo FCC, MAPFRE, Metro de Madrid, Neinver y ONO. Por su parte, Check Point, Ecix Group, Symantec y Trend Micro, han tenido un rol de observadores. Podemos afirmar que 18 grandes organizaciones españolas han demostrado así su compromiso con la ciberseguridad.

El CYBER-EX 2013 sigue una metodología de evaluación basada en criterios homogéneos para obtener resultados comparables entre las empresas participantes. De este modo, los ataques técnicos son ejecutados por el mismo equipo de personas (S21Sec y Grupo SIA, coordinados por INTECO), mientras que la evaluación la realiza un equipo independiente (Deloitte).

La puntuación media de las empresas participantes en CYBER-EX 2013 ha sido de 7 sobre 10. Una puntuación que refleja un notable nivel de madurez e implantación de medidas destinadas a responder a posibles ciberataques. Esta puntuación responde a una serie de 41 controles estructurados en varias áreas para evaluar a cada una de las entidades participantes en función de tres líneas fundamentales: la respuesta ante los ataques, las medidas organizativas (en cuanto a concienciación, compromiso de la dirección y procedimientos de respuesta a incidentes) y, por último, las medidas técnicas implementadas (en cuanto a prevención, detección, contención y forense).

En lo relativo a las medidas organizativas, en general existe un alto compromiso en esta materia por parte de la Dirección de las entidades evaluadas; al igual que, en lo que respecta a las medidas técnicas, ha destacado un nivel alto de capacidad de detección ante posibles ciberataques por parte de las empresas participantes.

El pasado mes de junio se realizaron simulacros de ciberataques con los que, entre otros aspectos, se ha tratado de medir la seguridad en los ámbitos relacionados con la recopilación de la información, los sistemas de autenticación, la gestión de sesiones y la validación de datos. Asimismo, mediante estos procedimientos, se ha evaluado paralelamente el grado de formación y conocimiento de los equipos profesionales y la calidad de los protocolos empleados.

Entre las conclusiones extraídas del ciberejercicio de este año destaca la mejora, por un lado, en la capacidad de detección de ataques por parte de las empresas (gracias, principalmente, a la mayor dotación de medios técnicos y equipos humanos), y, por otro lado, en la elaboración de procedimientos asociados.

En cambio, el aspecto donde todavía deben concentrarse los esfuerzos es la concienciación. Y es que aunque es habitual la realización de un curso de concienciación para empleados en la mayoría de las empresas, en general no se contemplan acciones complementarias ni una política definida con objetivos medibles asociados.

Por segundo año consecutivo, ISMS Forum e INTECO, en colaboración con Deloitte, realizan estos ejercicios de ciberseguridad cuyo objetivo es evaluar la capacidad de resiliencia de grandes compañías españolas ante posibles ataques a sus sistemas informáticos e infraestructuras críticas, a fin de mejorar su capacidad de respuesta.

Los Ciberejercicios de ISMS Forum en la Estrategia de Ciberseguridad Nacional

En la Estrategia de Ciberseguridad Nacional, aprobada el pasado 5 de diciembre por el Gobierno, se menciona el Programa de Ejercicios de Simulación de Incidentes de Ciberseguridad de ISMS Forum Spain dentro de la primera línea de acción (de las cuatro en las que se articula dicha Estrategia) dirigidas a fomentar la capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas.

Descarga la nota de prensa.