La Tercera Edición de los Ejercicios de Ciberseguridad organizados por el Instituto Nacional de Ciberseguridad (INCIBE) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), y promovidos por ISMS Forum Spain, se ha llevado a cabo con el objetivo de mejorar las capacidades de respuesta de las entidades participantes, reforzar la coordinación entre entidades y profundizar en la concienciación de los riesgos existentes a todos los niveles. Esta tercera edición ha contado con la participación de Banco Santander, Repsol, Gas Natural Fenosa, Endesa, Iberdrola, Banco Bilbao Vizcaya Argentaria, Mapfre, Renfe, Metro Madrid, Acciona S.A:, FCC, El Corte Inglés, Telefónica y BBG-Bahía de Vizcaya.

Se trata del mayor ciberejercicio realizado en España hasta la fecha, en el que 15 grandes empresas del sector financiero, inversiones y seguros, transportes, energía y servicios, han puesto a prueba sus capacidades de ciberseguridad. La trascendencia de esta edición de 2014 ha logrado que, por primera vez en España, se celebre un encuentro con los ministros de Interior e Industria, y el Secretario de Estado de Seguridad, en torno a la ciberseguridad y a la cooperación público-privada, junto a los máximos responsables de las empresas estratégicas para analizar las herramientas con las que reforzar la ciberseguridad.

La reunión tuvo como eje principal sensibilizar a los máximos responsables de estas compañías de la importancia de la cooperación público-privada en materia de ciberseguridad, así como informarles de las iniciativas desarrolladas tras la aprobación por el Gobierno, en diciembre de 2013, de la Estrategia de Ciberseguridad Nacional, y presentarles el CERT de Seguridad e Industria (CERT-SI) -en el que participan ambos ministerios- como el órgano de referencia en esta materia.

Metodología y evaluación

CYBER-EX 2014 ha seguido una metodología de evaluación basada en criterios homogéneos para obtener resultados comparables entre las empresas participantes. La edición de 2014 perseguía simular las fases de un ataque dirigido contra las entidades (APT), siendo el vector de entrada escogido el uso de ingeniería social para comprometer un puesto de trabajo interno. A partir de ahí, el ataque progresa para detectar equipos internos vulnerables, y finalmente, tras la notificación por parte del CERT de referencia del incidente, las entidades tuvieron que gestionar la situación, involucrando a equipos técnicos y no técnicos.

La evaluación se ha centrado en las capacidades de las entidades para detectar y actuar ante cada una de las fases del incidente simulado. De este modo, no solamente se verifica la existencia de vulnerabilidades técnicas en los sistemas como un pen-test evaluaría, sino que se mide la capacidad de reacción tanto técnica como organizativa ante este tipo de situaciones.

Por tercer año consecutivo, ISMS Forum participa en la organización de los ciberejercicios de ciberseguridad cuyo objetivo es evaluar la capacidad de resiliencia de grandes compañías españolas ante posibles ataques a sus sistemas informáticos e infraestructuras críticas, a fin de mejorar su capacidad de respuesta.