Ciberresiliencia PDF
Ciberresiliencia PDF
Ciberresiliencia PDF
Opinión
35/2015 03 de abril de 2015
CIBER-RESILIENCIA
CIBER-RESILIENCIA
Resumen:
Abstract:
Ciber-resilience is one of the principles stated in the National Cyber-Security Strategy. Resilience is an
attribute of an organization, entity, company or nation that allows to face a crisis without a
shutdown of organization processes. Due to the complexity of the current organizations, and their
dependencies on the ICT infrastructure, it is hard to set boundaries between cyber-resilience and
resilience itself. The way to reach both implies something more than the management of security. It
implies to carry out changes in the organization constitution, and to develop a technical infrastructure
secure by design. It is possible to reach an acceptable security level with short-term security policies,
but it is necessary to develop long-term policies to get real resilience.
Palabras clave:
Keywords: Resilience, cyber-resilience, risk, cyber security, National Cyber Security Strategy, Change.
*NOTA: Las ideas contenidas en los Documentos de Opinión son de responsabilidad de sus autores,
sin que reflejen, necesariamente, el pensamiento del IEEE o del Ministerio de Defensa.
LA GESTIÓN DE LA SEGURIDAD
Todo organismo, empresa, organización o estado se ve sometido a tensiones derivadas de
cambios e incidentes que se producen en su entorno, y también por eventos que se generan
en su interior. Estas situaciones de estrés afectarán a los procesos de la organización en un
grado que será tanto más grave cuanto más profundos, disruptivos o inesperados sean.
Una organización está formada por elementos humanos y materiales conectados entre sí
mediante una red relaciones que puede alcanzar una gran complejidad. Un evento mínimo,
interno o externo, puede desencadenar una reacción en cadena, produciendo un colapso de
sus procesos, que evidenciará el desgaste que se ha producido en la organización a lo largo
del tiempo debido a la operativa diaria. Muchas entidades sobreviven en estados de
equilibrio muy precarios y una alteración, que se puede considerar pequeña en relación al
tamaño del organismo o a la importancia de los procesos que ejecuta, puede precipitar una
crisis.
Hace tiempo se llegó a la conclusión de que ninguna organización, por muy perfecta y
sofisticada que sea, se encontraba libre de enfrentarse a situaciones que pudieran
perjudicarla en mayor o menor grado, e incluso hacerla desparecer. Cualquier entidad se
encuentra expuesta a una serie de amenazas, desde ataques hasta catástrofes, y es
necesario implementar un conjunto de medidas que, con carácter preventivo, protejan a la
organización frente a la materialización de dichas amenazas.
Las medidas preventivas proporcionarán una mayor seguridad y tendrán carácter
organizativo, procedimental o técnico. De ahí se deriva que esas medidas de seguridad
tendrán un coste, directo o indirecto, en la ejecución de los procedimientos de la
organización. Lamentablemente, la relación entre el nivel de seguridad alcanzado y el
número de medidas implementadas sigue el modelo de un diagrama de Pareto. El conjunto
de medidas que se podrían adoptar, y por lo tanto el gasto, no tiene límite, se podría
extender hasta el infinito sin conseguir la seguridad total. Esta carrera de incorporación de
medidas es necesario detenerla en algún punto, un punto óptimo. La determinación de ese
punto se consigue mediante un análisis de riesgos, que permite alcanzar el balance correcto
entre el coste de las medidas y el hipotético beneficio obtenido por su implementación.
Este tipo de análisis utiliza una foto fija de la organización y del entorno el que se
desenvuelve, pero ni uno ni otro son estáticos, sino dinámicos. Ambos evolucionan, de ahí
que no solo es necesario implementar mecanismos que disminuyan el impacto o la
probabilidad de un ataque o una crisis, es necesario implementar un procedimiento de
adaptación constante de las medidas de seguridad mediante un análisis crítico permanente.
Hay que ir más allá del análisis de riesgos y extenderlo a un proceso continuo que se
conocerá como gestión del riesgo cuando se habla de amenazas, o gestión del cambio
cuando se trata de la evolución ante la exposición a eventos externos.
Dentro de dicho proceso de gestión se tiene que asumir que, a pesar de todas las
protecciones que se implementen, algunos de los ataques se materializarán con éxito y
algunas catástrofes simplemente no se podrán evitar. Al ser la seguridad total un ideal
inalcanzable, se ha de estar preparado para que el impacto, que inevitablemente se va a
recibir, tenga una influencia mínima en la organización. Por lo tanto es necesario el
despliegue, no solo de medidas preventivas, sino también de planes de contingencia que
La rápida evolución de las amenazas implica que, utilizando soluciones específicas para
cada una de ellas, siempre nos colocaremos en un plano de vulnerabilidad. Para evitarlo es
necesario adoptar una aproximación basada en principios, como resiliencia. Esta es la
medida de cuán poco vulnerable es una organización por su diseño, y la gestión de la
resiliencia es la modificación de la naturaleza de la misma para llegar a lo que podríamos
denominar "security-by-design", pero extendido desde el producto a la misma organización,
pasando por cada uno de sus sistemas, consiguiendo una disminución de las
vulnerabilidades por la propia concepción de la organización y de sus procesos. La resiliencia,
y específicamente la ciber-resiliencia, se extiende a todos los dominios o planos desde los
que se puede interpretar la organización: físicos, cognitivos, sociales, etc., y estos no se
pueden tratar de forma individual, sino que se han de interpretar desde una visión unificada.
La gestión del cambio forma parte de la resiliencia de una organización. Una entidad será
resiliente cuando se enfrente de forma exitosa tanto a los cambios que se desarrollan de
forma progresiva, como a los que se desaten de forma violenta. Las alteraciones del entorno
pueden ser desde ciberataques hasta catástrofes naturales, y podrían tomar cualquier otra
forma: problemas energéticos, de suministros, políticos, financieros, contractuales, etc. Por
otro lado, considerar que la única fuente de problemas puede ser un ataque externo es un
gran error. El origen de una crisis que afecta de forma traumática a dicho organismo puede
ser de origen interno. Centrar la estrategia en repeler ataques externos, subrayando la
palabra ataques, es enfocar el problema de forma errónea. Una crisis interna puede
generarse por la influencia de agentes externos o tener carácter mixto. Puede ser el caso de
la crisis que se genera debido a una prolongada situación de estrés, condicionada por
factores ambientales, que desgasta los recursos propios. En ese caso, los recursos más
críticos son fundamentalmente humanos, sensibles a los fenómenos sociales. El personal en
riesgo no es solo el equipo clave de toma de decisiones, puede ser parte del personal menos
cualificado pero que son parte necesaria de los procesos de soporte de la organización. De
especial sensibilidad son los mandos intermedios.
El concepto de resiliencia está íntimamente ligado con el concepto de sostenibilidad. En la
mayor parte de los casos, los problemas internos que causan el colapso de una organización
ante un escenario de crisis se encuentran latentes en la misma naturaleza y estructura de
dicha organización. Por supuesto, antes del colapso se manifestarán problemas puntuales
que se podrán señalar como síntomas, y dicho colapso comenzará por el punto más débil de
la estructura. De ello se deduce que la capacidad de resiliencia no reside en una parte de la
organización, no se puede señalar y acotar en un departamento o en una función. Aún
menos es una capa o un barniz que se pueda extender en la superficie del organismo, ni es
un escudo que se superpone a su estructura. La resiliencia forma parte de la propia
naturaleza de la organización y está tan íntimamente ligada a ella que forma parte de su
esencia.
Existirán grados en la capacidad de resiliencia de un organismo. Cuanto más traumática
sea la crisis que es capaz de superar dicho organismo podemos hablar que es mayor su
capacidad de resiliencia. Una crisis puede suponer una alteración transitoria de condiciones
internas o externas, por ejemplo una huelga, un ataque informático o unas condiciones
meteorológicas anormalmente adversas. Pero también puede suponer cambios
permanentes, de carácter irreversible o con una duración prolongada en el tiempo. Puede
ser el caso de cambios políticos, de mercado, catástrofes naturales a escala regional o global.
En el primer caso, la resiliencia se estimará en el grado en el que los procesos esenciales del
organismo, los procesos de negocio en el caso de organizaciones, se vean afectados, y
durante cuánto tiempo la organización puede seguir operando en esas condiciones,
operando de forma efectiva, tal vez con una caída de rendimiento o de calidad que no sea de
carácter esencial. En el segundo caso, en el caso de cambios permanentes, será más
resiliente cuanto menos tiempo trascurra entre la crisis y la recuperación total del
organismo, y cuantas más funciones estén operativas en ese lapso de tiempo.
Las organizaciones, todas en cuanto se consideran a largo plazo, se comportan como un
organismo vivo. Ciertos cambios pueden originar un shock que paralice completamente su
funcionamiento, o esta parálisis puede ser ocasionada por ciertas carencias. Cuando una
organización se detiene tiene un plazo para reiniciar sus actividades antes de que el daño a
la misma sea irreversible. La irreversibilidad supone pérdida permanente de capacidades o la
desaparición de la misma. Este plazo de tiempo que mide el punto de no retorno es también
una medida de resiliencia.
Resiliencia es un estado. El tener dicha cualidad implica que esa adaptación se ha de
realizar en el mínimo intervalo de tiempo, a la máxima velocidad, incluso en tiempo real.
Además, la recuperación debe implicar la continuidad de las funciones esenciales y la menor
pérdida de capacidades. Por lo tanto, una organización resiliente es aquella con capacidad
de toma rápida de decisiones, y también la capacidad del sistema para implementar dichas
decisiones.
Resiliencia supone admitir que se producirán fallos, errores, y que tenemos los medios
para restaurar la operación normal y asegurar los bienes y reputaciones. Por lo tanto, un
aspecto importante que también mide el grado de resiliencia de una organización es su
capacidad de anticipación a las crisis. Una justificación fácil es que las crisis o los ataques no
son previsibles, que es imposible conocer cuándo se van a materializar, pero esto no es
cierto. Excepto algunas catástrofes naturales y muy contados ataques, la mayor parte de las
crisis de una organización se pueden prever, bien mediante un análisis de las series
históricas, bien prestando atención a los sucesos en organizaciones similares, bien llevando a
cabo una tarea efectiva de inteligencia o tan solo asumiendo lo que todos los días se lee en
los periódicos.
Finalmente, una organización no será igual de resiliente a cualquier tipo de crisis. No es
una cualidad que se pueda aplicar de forma homogénea en todas sus actividades o cada una
de sus dimensiones. Un organismo puede ser muy resiliente a ataques técnicos, pero no a
ataques sociales, o no muy preparada para crisis a corto plazo pero demasiado rígida para
cambios del entorno a largo plazo.
1
Comunicación conjunta al Parlamento Europeo, al consejo, al comité económico y social europeo y al comité
de las regiones. Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro.
Alta representante de la Unión Europea para Asuntos Exteriores y política de seguridad. Comisión europea
Bruselas, 7.2.2013 JOIN(2013) 1 final.
2
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/european-public-
private-partnership-for-resilience-ep3r
3
Estrategia de Ciberseguridad Nacional 2013 Presidencia del Gobierno
como punto de arranque de diversas iniciativas específicas en ese sentido desarrolladas por
el Gobierno Federal4.
4
Como por ejemplo el Improving cybersecurity and resilience through acquisition del DoD
http://www.defense.gov/news/Improving-Cybersecurity-and-Resilience-Through-Acquisition.pdf
5
Bahadur, A. V., Ibrahim, M., & Tanner, T. (2010) The resilience renaissance? Unpacking of resilience for tackling climate change and
disasters. Institute of Development Studies (for the Strengthening Climate Resilience (SCR) consortium): Brighton, UK
6
Ya se encuentran en Linked-in puestos de trabajo específicos para la gestión de la ciber-resiliencia
modifica y crea nuevos procesos, productos o servicios. Cada uno alterará la red de
dependencias de la organización y tendrán que ser estudiados por la dirección sobre cómo
afectan a la resiliencia del todo.
Como principio de seguridad que es, la concienciación del personal de la organización es
un aspecto de capital importancia. Pero para alcanzar un nivel adecuado de resiliencia se
necesita algo más que concienciación, se necesita el compromiso real del personal7. Si, por
un lado, en los últimos años se ha puesto de moda la necesidad de fidelización de los
clientes, por otro se ha abandonado la fidelización del personal. Al abandonar el
compromiso de la organización con los trabajadores, estos abandonan el compromiso con la
organización y se convierte en una relación de carácter utilitarista a corto plazo y en ambos
sentidos. Los resultados son aún peores cuando la falta de fidelización se produce a nivel
directivo. Para crear este compromiso mutuo la organización ha de ofrecer una carrera
profesional a sus trabajadores, más aún, un plan de vida, una seguridad, un sentimiento de
grupo, en algunos casos un ideal, y una proporcionar una serie de valores añadidos que
vayan más allá del estímulo económico directo.
Por otro lado, esa comunidad de intereses entre el personal de la organización y la
organización misma no se podrá lograr si no existe al menos un cierto grado de cohesión
social de los individuos fuera del entorno de la organización. Difícilmente se conseguirá este
objetivo si en el equipo de trabajo existe personal con problemas de segregación, exclusión,
auto-exclusión, polarización ideológica o fanatismo. Indudablemente, una organización será
un reflejo de la estructura social en la que se inserta.
La capacidad de anticiparse a las crisis es un aspecto clave en la resiliencia de cualquier
organización, de ahí la importancia de los CERT y la necesidad de potenciarlos en su
capacidad proactiva y anticipatoria de amenazas, no solo en su carácter reactivo. Esa
capacidad no se puede obtener si no es observando críticamente el estado del entorno y su
evolución. Para ello, la organización ha de llevar a cabo una auténtica labor de inteligencia.
Será necesario un grado elevado de permeabilidad en las voces que participen en el proceso
de toma de decisiones que permita un flujo real de información de abajo hacia arriba, hacia
los niveles de toma de decisión. También un alto nivel de conectividad entre unidades que
permita el intercambio de información, conocimiento y aprendizaje. Una intercomunicación
que no suponga dependencia, sino que esté ordenada de forma que permita anticipar y
gestionar el proceso del cambio. La capacidad de anticipación no es solo una cuestión de
información, sino de actitud. La dirección de la organización ha de ser consciente de que no
controla todas las variables y ha de estar preparada para esperar lo inesperado, y con la
flexibilidad mental de aceptarlo antes de que sus consecuencias sean irreversibles. La
capacidad de pensar «out-of-the-box», permitirá ser proactivo y explorar nuevas y
novedosas opciones para enfrentarse a lo incierto y lo inesperado.
Una organización resiliente será aquella en la que el árbol de relaciones humanas y
materiales que la conforman sea lo más sencillo posible. Un aspecto clave para lograr la
7
Coyle T., "Your Best Asset? An Empowered and Aware Workforce", CIO, enero 2014
http://www.cio.com/article/2865519/security0/your-best-asset-an-empowered-and-aware-
workforce.html?utm_campaign=sflow_tweet#tk.rss_all
operación, como el mantenimiento y el desarrollo. Ellos son la parte capital del Patrimonio
Tecnológico de una organización o de un país.
Un aspecto a destacar es que cada vez tienen más peso la naturaleza social de los
trabajadores de la organización. En un mundo global, las dependencias sociales y los
miembros de la organización no se centran en un entorno geográfico inmediato, sino que
tienen un alcance global mediante las redes sociales, redes de contactos, mensajería
instantánea, etc. De esa forma, los sucesos que ocurren en todo el mundo entran
directamente en la organización a gran velocidad. Una catástrofe en Malasia o un atentado
en Nueva York afecta al rendimiento y las decisiones de los miembros de la organización. La
información y los sentimientos sociales entran a través de los dispositivos personales, por lo
que el BYOD8 no es solo una amenaza técnica, sino una amenaza social. Esto no supone
despreciar virus y troyanos que puedan penetrar utilizando mensajes o conectando
elementos de control, como no hay que minimizar la información que se filtra al exterior
utilizando los mismos elementos mediante metadatos o elementos más evidentes, como son
fotografías realizadas en las propias instalaciones o conversaciones sobre aspectos internos
e inmediatos sobre la organización y su personal.
La reducción de dependencias externas ha de estar ligada también a la reducción de
dependencias internas. Esto implica que la organización ha de implementar redundancia en
sus sistemas, en su personal y en sus procesos. Por principio, se ha de evitar exponer cada
uno de los elementos claves de la organización a las mismas amenazas, y, por otro lado, los
elementos que incorporan redundancia distribuirlos por los mismos criterios: localización
geográfica, de tipo de aplicación, de fabricantes, de suministradores de red de
comunicaciones, de personal e incluso de órgano director. En conclusión, balancear el riesgo
entre todos los elementos de la organización.
Los procesos de la empresa se construyen sobre el sistema de información de la
organización, cuyos ladrillos los forman un conjunto de hardware y software suministrado
por diferentes proveedores. Si el objetivo es conseguir el «security-by-design» de la
organización y de su infraestructura TIC, será necesario garantizar el «security-by-design» de
los elementos que soportan los procesos de la empresa. Actualmente, los requisitos
establecidos para la adquisición de sistemas y de aplicaciones van poco más allá de las
descripciones funcionales. De hecho, se aceptan unas desviaciones muy grandes en la
funcionalidad y la fiabilidad de los sistemas TIC y se hace descansar la seguridad del conjunto
en las estrategias de detección y reacción ante sus brechas. Para conseguir una auténtica
resiliencia no debe existir una línea que divida la parte funcional de la parte de seguridad en
cada producto, y para ello es necesario aumentar el nivel de exigencia en la compra de los
elementos de nuestra infraestructura. El objetivo último es conseguir una verificación formal
de las especificaciones de los productos, especificaciones orientadas a la seguridad en un
entorno ciber-hostil, que permitan demostrar «a priori» la seguridad de los diseños. Este no
es un camino fácil, supone cambiar la cultura en el entorno de ingeniería de desarrollo, así
como en la ingeniería de requisitos ligada a la adquisición de productos.
8
BYOD: Bring Your Own Device. Denominación que se ha dado a la utilización del dispositivo de comunicación
personal del trabajador con fines laborales.
LA GESTIÓN DE LA CIBER-RESILIENCIA
Intuitivamente es fácil adivinar que medir la resiliencia de una organización no es algo
inmediato, pero un concepto que no se puede medir, analizar o contrastar carece de utilidad
práctica, ya que en ese caso no se podría gestionar de forma racional. Es necesario
desarrollar un modelo analizable de forma objetiva, preferentemente cuantitativa, que
tenga una aplicación práctica real, que permita realizar comparaciones, y del que se puedan
extraer reglas e inferir resultados. En otro caso el concepto de resiliencia caería víctima de
las interpretaciones no rigurosas y modas.
No es posible medir de forma directa un concepto que entraña gran complejidad. La
resiliencia es una variable compleja imposible de derivar de una lectura sencilla y directa de
una organización. El hecho de que la ciber-resiliencia implique la capacidad de adaptación y
supervivencia a cualquier tipo de cambio supone que se ha de estudiar la organización, y su
relación con el entorno, en todas sus dimensiones. Esto supone recoger una serie de
indicadores y medidas cuantitativas, de muy distinto tipo, que serán sistematizadas en una
serie de métricas que permitirán tener una caracterización de la organización como un todo
y de cada una de sus partes. Han de emplearse métricas de ingeniería, de toma de
decisiones, sobre distintas tecnologías y niveles de abstracción, de seguridad y de otras
disciplinas, así como métricas desarrolladas ad-hoc. En el caso de ciber-resiliencia, es
necesario que dichas medidas reflejen no solo el estado de los procesos dependientes de la
infraestructura TIC de forma estática, sino las relaciones dinámicas entre los elementos de la
organización y el entorno: el conjunto de elementos físicos que lo conforman, los flujos de
información, el plano cognitivo y el de relaciones sociales inter y extra organización9. Estas
medidas han de incluir métricas de coste que permitan evaluar el gravamen que supone
implementar una determinada estrategia de ciber-resiliencia, una solución concreta, un
producto o sistema o un cambio en los procesos de la organización. La medida del coste
también será multidimensional, ya que tendrá en cuenta no solo el coste directo de la
integración de la solución, sino también los costes de mantenimiento y su impacto en el
conjunto de procesos y estrategias de la organización. La ciber-resiliencia no se evaluará
como un todo o nada. Una organización tendrá un grado determinado de resiliencia que se
9
Igor Linkov, Daniel A. Eisenberg, Kenton Plourde, Thomas P. Seager, Julia Allen, Alex Kott. Resilience metrics
for cyber systems. Environment Systems and Decisions, 2013; DOI: 10.1007/s10669-013-9485-y
10
Deb Bodeau, Rich Graubart, Len LaPadula, Peter Kertzner, Arnie Rosenthal, Jay Brennan Cyber Resiliency
Metrics, ©2012The MITRE Corporation.
11
Measurement Frameworks and Metrics for Resilient Networks and Services: Technical report ENISA
European Network and Information Security Agency (ENISA), 2010
12
Measurement Frameworks and Metrics for Resilient Networks and Services: Challenges and
Recommendations. ENISA European Network and Information Security Agency (ENISA), 2010
13
Ontology and taxonomies of resilience, ENISA European Network and Information Security Agency 2011
14
Richard A. Caralli, Julia H. Allen, Pamela D. Curtis, David W. White, Lisa R. Young CERT Resilience
Management Model, Version 1.0 Software Engineering Institute, Carnegie Mellon 2010
15
Cyber resilience review: self assesment package. US-CERT - Homeland Security 2014
16
Suárez, Héctor, et al. Ciber-resiliencia Aproximación a un marco de medición. INTECO
17
Norris, F.H., Stevens, S.P., Pfefferbaum, B., Wyche K.F., Pfefferbaum, R. L. (2008) ‘Community Resilience as a
Metaphor, Theory, Set of Capacities, and Strategy for Disaster Readiness’, American Journal of Community
Psychology 41: 127–150.
*NOTA: Las ideas contenidas en los Documentos de Opinión son de responsabilidad de sus autores,
sin que reflejen, necesariamente, el pensamiento del IEEE o del Ministerio de Defensa.